Aziende e governi sempre più in difficoltà nella battaglia contro gli hacker, cosa stanno sbagliando?

Dove sta andando il mercato globale della difesa informatica e perché fallisce così clamorosamente nella protezione dei dati e delle risorse delle aziende e istituzioni governative più importanti e protette al mondo?

Aziende e governi sempre più in difficoltà nella lotta agli attacchi informatici, cosa stanno sbagliando?
Foto Wikimedia

È una domanda molto importante, se si considera che sono stati spesi per la sicurezza informatica 167 miliardi di dollari nel 2019 e si prevede che la spesa arriverà a 248 miliardi di dollari entro il 2023 [Fonte: Forbes]. Se si chiede a un analista di cybersecurity “cosa possono fare di più le organizzazioni per rafforzare la strategia di difesa?", egli tipicamente risponderà così: “Considerando che il livello delle minacce aumenta ogni giorno, è necessario fare investimenti sempre maggiori nella sicurezza informatica”. Se questo fosse vero, allora non risponderebbe alla domanda sul perché molte delle più grandi e meglio protette multinazionali e istituzioni governative in tutto il mondo, siano state vittime di importanti quanto sofisticati attacchi informatici, nonostante esse abbiano implementato le soluzioni di difesa più costose sul mercato. È evidente, infatti, che gli attacchi informatici stanno avvenendo con una frequenza allarmante, e spesso tali attacchi colpiscono importanti istituzioni; ambienti IT in cui credevamo i nostri dati fossero protetti e non trafugabili da qualsivoglia pirata o gruppi di criminali informatici compresi i gruppi di pirati sponsorizzati dai governi.

Società di ricerca e consulenza come Gartner hanno fatto fortuna consigliando ai clienti la loro analisi e valutazione dei migliori prodotti di sicurezza sul mercato. Hanno persino creato e promosso il loro Magic Quadrant delle funzionalità dei prodotti dei vendor informatici, una classifica che molti clienti interpretano come una "bacchetta magica" che può risolvere tutti i problemi relativi alla sicurezza informatica. Molte aziende sono consapevoli che la sicurezza informatica è una questione complessa, e utilizzano il Magic Quadrant di Gartner perché non hanno le risorse interne e/o le competenze per valutare con rigore i prodotti cyber sul mercato.

La maggior parte delle aziende e delle organizzazioni governative implementano una strategia di "defence-in-depth", che si traduce nell'implementazione di differenti e costosi prodotti di sicurezza informatica con funzionalità spesso sovrapposte e per alcuni versi disordinate, le quali con l’obiettivo di aumentare i livelli di sicurezza, moltiplicano il numero di tool utilizzati creando confusione ed inefficienze nei meccanismi di rilevamento e blocco delle minacce.

Allora perché nonostante questo grande investimento economico in campo cyber, gli attacchi informatici stanno diventando sempre più frequenti nelle grandi aziende e nelle agenzie governative e che speranza c'è per il resto delle aziende che non hanno la stessa capacità di spesa? Chiaramente le attuali strategie di difesa informatica non stanno funzionando, e non ha funzionato neanche l’aumento della spesa in cyber sicurezza, che negli ultimi 4 anni è aumentata del 38% [Fonte: Forbes].

Per meglio comprendere la portata del problema, prendiamo in considerazione alcuni grandi data breach subiti da importanti organizzazioni e comunicati al grande pubblico nel periodo dal 20 novembre al 17 dicembre 2020.  È importante notare che sono stati selezionati solo un piccolo numero di attacchi informatici notificati e pubblicamente riconosciuti.

20 Novembre 2020 - Manchester United Football Club (www.manutd.com)

I sistemi informatici del Manchester United sono stati violati nel novembre 2020, il che ha impedito al personale di accedere alla posta elettronica e ad alcune altre funzionalità per diversi giorni. Le indagini sulla gravità dell'attacco informatico sono in corso e, sebbene si ritenga che i dati dei fan non siano stati violati, il National Cyber ​​Security Center (NCSC) del Regno Unito sta aiutando il Manchester United a determinare la natura e l'entità di questa violazione della sicurezza.

Per ulteriori informazioni su questo, vedere: Attacco informatico del Manchester United Football Club

30 Novembre 2020 - Embraer (www.embraer.com)

Il gigante aerospaziale brasiliano Embraer produce aerei commerciali, business e militari ed è il terzo produttore di aeromobili al mondo dopo Boeing e Airbus. A fine novembre l'azienda ha annunciato di aver subito un attacco informatico ransomware con conseguente divulgazione di dati “attribuiti all'azienda”. L'attacco informatico ha comportato la crittografia di una grande quantità di dati, inclusi database server e dati di backup. A seguito di questo attacco, la società ha avviato le proprie procedure di emergenza per indagare e risolvere l'incidente e ha iniziato a isolare proattivamente alcuni dei suoi sistemi per proteggere l'ambiente IT, compromettendo così temporaneamente alcune operazioni aziendali di vitale importanza.

Per ulteriori informazioni su questa violazione, vedere Embraer Cyber ​​Attack

5 Dicembre 2020 - Leonardo (www.leonardocompany.com)

Leonardo è un’azienda italiana specializzata nei settori dell'aerospazio, della difesa e della sicurezza che annovera tra i propri clienti la NATO. Come qualsiasi società di grandi dimensioni che possiede un’enorme quantità di informazioni di sicurezza altamente sensibili, Leonardo investe molto nella protezione di questi dati sia con un team dedicato di esperti di cyber security, sia attraverso l’utilizzo di differenti tool di sicurezza informatica. Nonostante ciò, due dei loro ex dipendenti sono riusciti a impiantare un keylogger in grado di registrare ogni battitura digitata sui sistemi dell’azienda per due anni, dal 2015 al 2017. 

Per due anni questi due ex dipendenti sono stati in grado di esportare indisturbati e senza essere scoperti i dati da 94 dispositivi sul dominio fujinama.altervista.org. Nonostante Leonardo disponga di numerosi prodotti di cybersecurity che utilizzano l’Intelligenza Artificiale e il Machine Learning, l’azienda non è stata ancora in grado di quantificare l'impatto di questo attacco informatico, e tre anni dopo l’unica cosa certa è che 10 GB di dati riservati e segreti militari sono stati compromessi.

Per ulteriori informazioni su questa violazione, vedere: Leonardo Data Breach

14 Dicembre 2020 - Symrise (www.symrise.com)

Symrise è un produttore tedesco di fragranze e aromi, che si trovano in oltre 30.000 beni di consumo e prodotti alimentari, compresi quelli di Nestlé, Coca-Cola e Unilever. La società si trova appena al di fuori del principale indice azionario DAX e ha un fatturato di oltre € 3,4 miliardi (dati 2019).

Nel dicembre 2020, Symrise AG ha dichiarato di essere stata l'obiettivo dell'attacco Clop Ransomware: criminali informatici sono riusciti a crittografare 500 GB di dati aziendali, provenienti da oltre 1000 dispositivi infettati. La società, in seguito, ha annunciato di aver bloccato tutti i sistemi essenziali, la produzione dell’impianto e la chiusura di intere strutture per valutare la portata e le conseguenze dell'attacco e prevenire ulteriori problemi. Il prezzo delle azioni è sceso del 2,3% subito dopo l'annuncio e si prevede che l’azienda rimarrà in sofferenza fino a quando la produzione non riprenderà a pieno regime, nelle prossime settimane.

Per ulteriori informazioni su questa violazione, vedere: Symrise Cyber ​​Attack

14 dicembre 2020 - SolarWinds (www.solarwinds.com)

SolarWinds Inc. è una società americana che sviluppa software per le aziende per la gestione delle loro reti, dei sistemi e delle infrastrutture informatiche. La loro piattaforma Orion Cybersecurity ha oltre 300.000 clienti in tutto il mondo, inclusi clienti prestigiosi come AT&T, Ford Motors, Cisco, SAP, Intel, Cox Communications, Deloitte, Nvidia, Fujitsu, Belkin, US Treasury, US Department of Homeland Security, US Department of Defense and Commerce. Anche Microsoft utilizza SolarWinds Orion inserendolo come componente in alcuni dei propri prodotti di sicurezza.

È proprio il prodotto SolarWinds Orion a diventare l'obiettivo di un cyber attack: con il malware SUNBURST che ha infettato gli aggiornamenti del software creando una backdoor in 18.000 clienti. Questa intromissione particolarmente sofisticata della piattaforma di sicurezza SolarWinds è stata meticolosamente pianificata ed eseguita infettando la libreria con firma digitale del software orion.dll per comunicare tramite HTTP con server di terze parti.

Il malware dopo un periodo iniziale di inattività - fino a due settimane- recupera ed esegue i comandi chiamati “JOBS”, che includono la possibilità di trasferire e/o eseguire file, profilare il sistema, riavviare la macchina e disabilitare i vari servizi di sistema. Il malware maschera il proprio traffico di rete come protocollo Orion Improvement Program (OIP) e memorizza i risultati della ricognizione all'interno di file di configurazione dei plug-in legittimi, consentendo di integrarsi con l'attività legittima di SolarWinds. La backdoor utilizza più blocklist offuscate per identificare strumenti forensi e antivirus in esecuzione come processi, servizi e driver.

FireEye, Microsoft e molti altri prodotti Cybersecurity sono stati implementati insieme alla piattaforma Orion praticamente in ognuno di questi 18.000 clienti infetti, ma nessuno di questi sistemi di "defence-in-depth" ha rilevato il malware SUNBURST. La portata complessiva di questo attacco informatico è talmente grande e diffusa che la valutazione dell’impatto e dei danni provocati non saranno mai realmente quantificati.

Per ulteriori informazioni su questa violazione, vedere SolarWinds Cyber ​​Attack

17 Dicembre 2020 - Autorità di Sicurezza del Governo Vietnamita

L'autorità di certificazione del governo vietnamita (VGCA) ha subito un attacco alla catena di approvvigionamento che ha compromesso il toolkit della firma digitale dell'agenzia per installare una backdoor sui sistemi delle vittime. L'attacco "SignSight" ha comportato la modifica degli installatori di software ospitati sul sito Web della CA ("ca.gov.vn") per inserire uno strumento spyware chiamato PhantomNet o Smanager.

Allora qual è il futuro per il settore della sicurezza informatica che sta fallendo la missione con i propri clienti?

È chiaro che l'implementazione di uno qualsiasi dei prodotti all'avanguardia raccomandati da Gartner o dagli esperti di cybersecurity non è una protezione sufficiente per combattere criminali informatici sofisticati e determinati. Anche le organizzazioni che combinano insieme e implementano costosi prodotti di sicurezza, dunque, non sono protette efficacemente da determinati attacchi informatici come dimostra il caso SUNBURST e gli altri attacchi menzionati in precedenza.

Il problema dei prodotti di sicurezza informatica

L'unica conclusione è che tutte le principali piattaforme di sicurezza hanno un unico difetto che viene ripetutamente sfruttato dai cyber-criminali, ovvero sono tutti prodotti reattivi che monitorano reti e piattaforme e, nel migliore dei casi, rilevano quando si è già verificato un attacco ed il sistema è irrimediabilmente compromesso. Quindi quei costosi prodotti per la sicurezza offrono una soluzione reattiva che potrebbe essere in grado di identificare se il malware è stato installato in un’infrastruttura informatica probabilmente dopo che i dati sono già stati compromessi, ma con la possibilità che in alcuni scenari possa essere prevenuto. Questa situazione relativa alla debolezza della protezione della sicurezza informatica è difficile da accettare da parte delle aziende, ma è quello che gli attuali tool di cyber security offrono. E anche l'implementazione di diversi strumenti di sicurezza non riesce ad evitare la compromissione o l’attacco ai sistemi informatici di un’azienda.

Il problema degli attuali sistemi di cyber sicurezza consiste nel fatto che si studiano le caratteristiche della singola minaccia per bloccarla (ogni volta che nasce una nuova e/o variante), non la sua origine. Quindi basta una piccola modifica e tutto il sistema di protezione e la ricerca fatta su quella minaccia risulteranno nulle.

Dunque, la cyber security di qualsiasi organizzazione può notevolmente migliorare se si implementa un sistema di sicurezza proattivo/offensivo insieme a quella reattivo. Ciò implica affrontare il punto debole trovato nei prodotti esistenti, implementando nei sistemi di sicurezza, un prodotto completo, offensivo e anti-sorveglianza, SIEM (Security Information and Event Management) e EDR (Endpoint Detection and Response).

Ho sostenuto questa posizione in un libro sulla sicurezza informatica che ho scritto nel 2014 (Penetration Testing with BackBox) e ora ho concretizzato quella visione nel prodotto ACSIA, creato dalla mia azienda 4Securitas (www.4securitas.com).

Questa è la prima volta che le aziende possono implementare una soluzione di sicurezza completa a 360 gradi che impedisce attivamente ai criminali informatici di eseguire la sorveglianza e pianificare gli attacchi alle piattaforme IT.

Consideriamo ad esempio un’attività criminale “importante” come rapinare una banca, è ovvio che prima di procedere con il colpo ci sarà una fase di perlustrazione, monitoraggio delle consuetudini della banca - orari di apertura e chiusura, approvvigionamento contanti, modalità di accesso dipendenti etc -  e in seguito un’attenta pianificazione del colpo che prenderà in considerazione tutte le abitudini analizzate nella fase precedente, anche l’insidioso social engineering, spesso trascurato in molte aziende.

Allo stesso modo, un criminale informatico competente, deve attivare una prima fase di perlustrazione, di monitoraggio del sistema che si vuole colpire, raccogliendo quante più informazioni possibili per pianificare al meglio l’attacco, quindi indagherà ad esempio su: le porte di rete utilizzate, i protocolli, i prodotti hardware e software implementati, le versioni dei prodotti utilizzati etc. Solo tramite la raccolta di queste informazioni è possibile pianificare un attacco informatico.

ACSIA è stato progettato e realizzato per interrompere in modo aggressivo le fasi di pianificazione di un attacco informatico, implementando una soluzione di sicurezza multistrati che utilizza algoritmi sviluppati da 4Securitas.

In conclusione, sostengo che i fornitori di Cybersecurity dovrebbero smettere di sviluppare soluzioni di sicurezza progettate solamente da data scientist e software engineer. Un prodotto Cybersecurity deve essere progettato da un esperto quindi dei Cybersecurity Architects e costruito con l'assistenza di data scientist e software engineers, cioè pensare, sviluppare, implementare prodotti di Cybersecurity che pensano alla maniera e “modus operandi” della mente di un “hacker”, ma preferisco usare la parola pirata o cracker o criminale informatico, perché hacker per la nostra comunità è la parola che identifica un esperto informatico etico non un criminale.

Alcuni riferimenti e letture extra

La prevenzione è l'approccio migliore per affrontare una minaccia


Il vicepresidente della strategia di Tripwire, Tim Erlin, sostiene che ogni organizzazione oggi deve essere preparata per un attacco ransomware e aggiunge: "mentre tendiamo a concentrarci sulla risposta al ransomware, la prevenzione è ancora il modo migliore per affrontare la minaccia. Il ransomware non compare magicamente sui sistemi, e i metodi con cui viene introdotto in un ambiente sono generalmente ben compresi: phishing, exploit di vulnerabilità e configurazioni errate. Identificare e affrontare i punti deboli della tua posizione di sicurezza può aiutare a prevenire il ransomware, così come altri attacchi." Sebbene Erlin si concentri solo sul ransomware, ha ragione nel sostenere che l'intero progetto dell'attuale ecosistema dei fornitori di sicurezza informatica è sbagliato.

Perché l'attuale approccio alla gestione della sicurezza informatica sta fallendo

In questo articolo brillantemente scritto, Lockheed Martin parla dei cyber-blind-spots. Si riferisce al processo prima che si verifichi un attacco, la fase pre-attacco. Parla quindi dell'approccio proattivo e lo identifica come il modo migliore per contrastare gli attacchi informatici. O almeno per tenere il passo con gli attacchi informatici invece di restare un passo indietro.