Norsk Hydro, azienda internazionale incentrata sulla produzione di alluminio, è stata colpita da un attacco ransomware nel 2019. Remarc Bognar, head of Network Architecture, spiega come l’azienda si è ripresa e le best practice su come rafforzare il livello di sicurezza della rete
Secondo il World Economic Forum 2020 Global Risk Report, il ransomware è stato il terzo tipo di attacco malware più comune e il secondo più dannoso registrato nel 2020. Con una media di pagamenti pari a 1,45 milioni di dollari per incidente, è facile capire perché i criminali informatici stiano sempre più ricorrendo a questa nuova tattica di estorsione. È facile capire perché così tante aziende cedano alla pressione dei gruppi criminali che compiono attacchi ransomware: l’operatività aziendale può essere rapidamente azzerata. Quando Norsk Hydro ha subito un attacco ransomware nel marzo 2019, ha deciso di non avviare nemmeno i negoziati con gli autori dell’attacco. I team preposti alla sicurezza e alla gestione delle infrastrutture hanno deciso di spegnere tutti i server a livello globale per limitare ulteriori danni e prevenire la perdita di dati. Hanno così assunto il controllo e tagliato fuori gli hacker in modo da iniziare le attività di ripristino dell’infrastruttura IT il secondo giorno dopo l’attacco.
«Riattivare tutti i server da zero e introdurre un modello di tiering è come fare un’operazione al cervello, senza anestesia. Si dimentica tutto ciò che si conosce della gestione dei servizi e dei processi di cambiamento. Ciò che conta è reagire in modo rapido ed efficiente» – spiega Remarc Bognar, head of Network Architecture di Norsk Hydro. Ripensando al processo, durato tre mesi, per riprendersi dall’attacco e ripristinare applicazioni e dati dal backup, commenta: «È stato un processo faticoso. Posso solo raccomandare di concentrarsi sulla prevenzione, perché è molto più facile rispetto alla gestione post incidente».
UN FALSO SENSO DI SICUREZZA
Il massiccio aumento degli attacchi ransomware registrati nel 2020 dimostra che le aziende non si stanno ancora concentrando abbastanza sulla prevenzione. Cruciale per il livello di sicurezza di oggi alla Norsk Hydro è garantire che l’ispezione SSL sia attiva in ogni sede. Poiché i criminali informatici utilizzano sempre di più il traffico crittografato per dissimulare i loro attacchi e i percorsi di comunicazione, la scansione SSL è un mezzo per rilevare e bloccare queste attività fin dall’inizio per evitare che si infiltrino nei sistemi. Poiché Remarc è responsabile dell’infrastruttura di rete globale della sua azienda, ha implementato l’approccio Zero Trust come parte integrante della sua rete di sicurezza. Tali tecnologie permettono ai team IT di ridurre la superficie di attacco, rendendo effettivamente invisibili le applicazioni, e di prevenire il movimento laterale degli aggressori. Se i criminali informatici non possono vedere l’infrastruttura di rete, la superficie d’attacco è notevolmente limitata. Più ostacoli un hacker deve superare per ottenere l’accesso all’infrastruttura di un’azienda, meno ne è interessato.
ZERO SPOSTAMENTI LATERALI
I tradizionali approcci alla sicurezza utilizzano ancora l’hardware esposto a Internet, fornendo così un vettore di attacco. L’approccio Zero Trust Network Access stabilisce un microtunnel sicuro tra un utente o qualsiasi entità che una risorsa utilizzi e l’applicazione per cui ha i diritti di accesso. Sulla base dell’identità dell’utente e del dispositivo, l’accesso è mediato attraverso un cloud di sicurezza, che monitora continuamente la connessione. Un tale approccio sostituisce l’accesso alla rete con l’accesso dell’utente a livello di applicazione. Poiché la connettività non è più fornita a livello di rete, un approccio Zero Trust non solo impedisce il movimento laterale di un malintenzionato all’interno di una rete, ma impedisce l’attacco iniziale.
COME RIPRISTINARE LA RETE
Norsk Hydro ha scelto Zscaler come partner per implementare il servizio Zero Trust Network Access. Un approccio a più livelli ha permesso di fare il primo passo nella definizione dei diritti di accesso alle applicazioni in base ai diritti dei gruppi di utenti da autorizzare per l’accesso alle applicazioni. È un percorso lungo ma che porta risultati efficaci per limitare la superficie di attacco, ed è meglio intraprenderlo in anticipo piuttosto che ad attacco avvenuto.
