Gli attacchi informatici si trasformano e si arricchiscono continuamente. In gran parte non è possibile prevederli, ma è anche vero che gli errori umani e le debolezze di alcune tecnologie contribuiscono ad accentuare i rischi. Quelli legati al cloud computing, per esempio. E poi ci sono i ransowmare, una tipologia di attacco che sta mostrando il suo vero potenziale aggressivo, al di là delle singole richieste di riscatto, e che nel corso del 2019 ha già mandato in tilt sistemi informatici di enti pubblici e ospedali. Che cosa ci aspetta nel futuro? Elena Vaciago, analista resarch manager di The Innovation Group esperta di cybersicurezza, ne ha discusso con Chester Wisniewski, principal research scientist di Sophos, in un’intervista di cui vi proponiamo uno stralcio.
Chester Wisniewski, principal research scientist di Sophos
Come è cambiato il fenomeno dei ransomware?
Nel 2019 si è osservato un importante cambiamento, in quanto gli attacchi ransomware hanno diminuito il focus sul Pc che avevano in precedenza (nel 2018 erano stati infettati con il ransomware milioni di Pc) e si sono rivolti con maggiore decisione verso i server enterprise. Questo è avvenuto per due motivi: da un lato, gli endpoint sono oggi molto protetti a livello di soluzioni e processi, mentre i server lo sono di meno, e risultano maggiormente vulnerabili per il ritardo nelle attività di patching. Spesso in azienda ci si preoccupa per aspetti come uptime e affidabilità dei server, e si rimanda il patching, che in Europa – una volta che una vulnerabilità è nota – avviene normalmente tra due settimane e un mese per quanto riguarda i Pc, dopo oltre 90 giorni per quanto riguarda i server. Se parliamo poi di ambienti business critical come Erp o altro, si arriva ad aggiornamenti effettuati una sola volta all’anno… In aggiunta, si assume che i server siano protetti dalla rete aziendale, ma questi attacchi viaggiano criptati, la decriptazione avviene a livello di server e sulla rete passa tutto. Infine, in alcuni casi le aziende sono restie ad aggiungere livelli di sicurezza ai server perché non se ne vuole ridurre le prestazioni! Tutto questo porta ad avere in alcuni casi un livello di sicurezza veramente basso per i server aziendali, e gli attaccanti lo sanno: nella prima fase di attacco effettuano una scansione, individuando tutte le macchine vulnerabili e senza aggiornamenti di sicurezza.
Qual è la conseguenza per un’azienda se ad essere preso di mira dal ransomware è un server aziendale?
Gli attaccanti puntano oggi a bloccare i server con attacchi molto più studiati e con un forte coinvolgimento del “fattore umano”, ossia dell’hacker in grado di individuare la realtà da colpire, verificarne le vulnerabilità, muoversi lateralmente nel network in modo da individuare le macchine e i dati più sensibili. Il tutto per chiedere un riscatto più alto: siamo infatti passati dai 400 euro per un laptop a riscatti per milioni di euro che l’azienda, l’ospedale, la municipalità, saranno costretti a pagare per non subire danni economici, di reputazione, mancato business, di uguale portata.
Una cosa che gli attaccanti sanno bene è che la richiesta di riscatto deve essere commisurata al danno, perché chi è colpito sia indotto a pagare … Se i server sono virtualizzati, o in cloud? cambia qualcosa?
Chester Wisniewski. In realtà non cambia niente: anche virtualizzati sono poco sicuri, e se in cloud, è ancora più difficile capire cosa sta andando storto, perché di norma non ho strumenti di sicurezza in cloud. Anzi, le aziende assumono – sbagliando – che la sicurezza sia responsabilità del cloud provider. I cloud provider gestiscono la sicurezza a livello di infrastrutture, non di software del cliente che gira su queste, e la conseguenza è che alcune attività, come ad esempio l’analisi dei log (da cui possono capire se ad esempio c’è in corso un tentativo di “password guessing”) semplicemente non è possibile.
Qual è oggi la situazione con riferimento alla sicurezza del cloud?
Se da un lato l’adozione del cloud è in forte crescita, la sicurezza del cloud è qualcosa di ancora nuovo e immaturo, e il motivo principale è che si tratta di un tema complesso da affrontare. Servono competenze e un’attitudine corretta. Va detto anche che al momento neanche gli attaccanti sono molto focalizzati sul cloud, come se loro stessi stessero ancora imparando a fare attacchi rivolti a questi ambienti. In questo momento, la maggior parte dei breach che coinvolgono il cloud sono legati ad errori di configurazione, per cui, i dati sono effettivamente disponibili a tutti. Lo vediamo di continuo: basti pensare al caso recente di Microsoft, 250 milioni di record dei clienti open per errori di configurazioni. Al momento è molto facile che succeda, potrebbe capitare a chiunque: da parte dei cloud provider, serve rendere più sicuro l’uso del cloud fin dall’inizio, mentre per gli utenti e in particolare gli sviluppatori (che posizionano in cloud i propri test dello sviluppo in modo poco sicuro e poi li lasciano lì quando invece dovrebbero cancellarli) servirebbe un’attività di formazione su questi temi. Per quanto riguarda i veri attacchi rivolti al cloud, cominciamo solo ora ad osservare alcuni tentativi, molto sofisticati e focalizzati su specifiche istanze: in questo momento solo pochi hanno le competenze per farlo. È però solo questione di tempo prima che queste attività siano svolte su larga scala… Oggi vediamo solo la punta dell’iceberg.
Per scoprire le raccomandazioni dell’esperto di Sophos sulla protezione dai ransomware e sul potenziamento della sicurezza del cloud, vi invitiamo a proseguire nella lettura dell’intervista sul blog di cybersicurezza di The Innovation Group.