L’incidente di sicurezza occorso in questi giorni a seguito di attacco informatico alla Regione Lazio sembrerebbe riconducibile ad un malware del tipo ransomware.
Nulla di nuovo, verrebbe da dire: sono infatti già diversi anni che questo tipo di attacchi interessano le più diverse organizzazioni.
Se non fosse che stavolta l’attacco ha interessato una struttura pubblica, bloccando e rendendo non disponibili importanti servizi, inclusi quelli di prenotazione dei vaccini anti-Covid.
Quello che preoccupa di più della vicenda in oggetto, è la difficoltà di ripristinare tempestivamente il sistema informatico: sembrerebbe infatti che anche le copie di backup siano state criptate e rese pertanto inutilizzabili dal malware…
Diventa importante e urgente, quindi, comprendere la natura del problema rappresentato dagli attacchi ransomware, per poter adottare delle misure efficaci ed adeguate a garantire non solo la sicurezza del patrimonio informativo, ma anche per predisporre soluzioni organizzative che consentano il rapido ripristino dei sistemi informatici, riducendo al minimo il periodo di indisponibilità dei servizi (specie se di interesse pubblico).
È quello che cercheremo di fare in questo intervento.
Ransomware “in a nutshell”
Cominciamo con un’analisi sommaria delle funzioni fondamentali che caratterizzano i malware del tipo ransomware.
Il ransomware è un software malevole finalizzato a bloccare i computer vittima mediante la cifratura dei dati in essi residenti, chiedendo un riscatto in denaro per la consegna della chiave di decrittazione, necessaria per ripristinare l’accesso ai dati stessi.
Nella maggior parte dei casi, l’infezione da ransomware si verifica a seguito di attacchi phishing, realizzati mediante la diffusione di collegamenti malevoli all’interno di email o sms (smishing).
A seconda del tipo di ransomware, l’intero sistema operativo o i singoli file vengono crittografati e resi indisponibili ai legittimi proprietari.
Alla vittima viene quindi chiesto un riscatto, solitamente in criptovalute come bitcoin.
Ransomware e prevenzione: necessario tracciare e proteggere i dati nelle diverse fasi
Dall’analisi delle caratteristiche funzionali dei ransomware, appare chiaro che le misure di prevenzione devono proteggere l’integrità dei dati oggetto di trattamento.
Tra le misure di prevenzione standard (oltre alle norme “igieniche” consistenti nel non aprire collegamenti sospetti all’interno di email e sms) vi sono le procedure di backup: esse tuttavia, seppur necessarie, non solo purtroppo sufficienti.
Spesso, infatti, anche le copie di backup possono essere compromesse dal ransomware, o perchè rappresentano copie di dati già compromessi a seguito dell’attacco, oppure perchè le copie stesse di backup sono state oggetto dell’attacco ransomware…
È necessario quindi monitorare costantemente l’integrità dei dati, inclusi quelli residenti nelle copie di backup, al fine di garantire il ripristino degli stessi all’occorrenza.
Questo è possibile soltanto adottando misure organizzative oltre che tecniche che consentano la tracciatura dei flussi informativi (mediante ad es. sistemi documentali) nelle diverse fasi in cui i dati si possono presentare, vale a dire:
- a riposo;
- in transito;
- in esecusione;
Proteggere i dati “in transito” (ovvero quando vengono trasmessi sulla rete) senza tuttavia curarsi di proteggerli quando sono “a riposo” (vale a dire archiviati nei database o nelle copie di backup) o “in esecuzione” (vale a dire trattati mediante applicazioni) e viceversa, non consente di garantire la necessaria integrità e affidabilità degli stessi.
Anche l’adozione di procedure di anomaly detection e prevention basate su soluzioni di Machine Learning può essere utile per individuare tempestivamente eventuali attacchi nella loro fase iniziale, consentendo di conseguenza l’adozione di misure di threat management.
Occorre infatti tenere presente che la complessità dei protocolli di cifratura implementati dai ransomware richiedono un consistente lasso di tempo per completare le operazioni di cifratura dei dati (alla luce anche delle attuali dimensioni delle periferiche di archiviazione di massa, che hanno ormai raggiunto l’ordine di centinaia di gigabytes).
Un’eventuale attività anomala della CPU (sintomo di un’attività cpu-intensive in corso, tipica nel caso delle operazioni di cifratura) verrebbe infatti tempestivamente rilevata dalle procedure di anomaly detection, consentendo così di evitare il peggio…
Il Cloud come soluzione definitiva contro i ransomware?
Da più parti si invoca sempre più spesso l’adozione diffusa, anche per la Pubblica Amministrazione, delle infrastrutture di Cloud Computing come soluzione ai problemi di Cybersecurity.
Lo stesso ministro Colao ha di recente confermato l’intenzione di adottare il cloud per “mettere in sicurezza” i server della P.A.
Tuttavia, nel caso degli attacchi ransomware, l’adozione del cloud potrebbe rivelarsi addirittura controproducente, se non abbinata ad una corretta gestione dei flussi informativi.
Proprio il Cloud Computing sembrerebbe rappresentare in futuro lo scenario e il contesto d’elezione per una nuova classe di attacchi ransonware, ancora più pervasivi di quelli attuali.
A seguito della pandemia di Covid iniziata nel 2020, molte organizzazioni, sia pubbliche che private, hanno adottato forme di remote working (impropriamente definite con il neologismo di “smart working”).
In conseguenza di questo fatto, le piattaforme e i servizi SaaS sono diventati sempre più critici per il successo aziendale e sono diventati sempre più un obiettivo per i criminali informatici.
Poiché queste minacce continuano a evolversi, le organizzazioni si troveranno nel prossimo futuro a dover affrontare nuove tipologie di ransomware cloud-based.
Questa nuova generazione di attacchi ransomware è progettata esplicitamente per diffondersi attraverso il cloud e crittografare i dati SaaS associati ai servizi cloud.
Ransomware: soluzioni ad hoc per le differenti organizzazioni
Da quanto abbiamo detto, appare evidente che non esistono soluzioni preconfezionate valide per tutte le organizzazioni (al contrario, tali soluzioni possono addirittura aggravare l’emergenza ransomware).
È necessario invece adottare soluzioni organizzative e tecniche specifiche per le diverse tipologie di infrastrutture IT, valutando attentamente i flussi informativi e le tipologie di dati trattate dalle diverse organizzazioni.
Sei interessato a conoscere la soluzione adeguata per la tua Azienda?
Richiedi un preventivo gratuito, utilizzando il form sottostante!
© Alessandro Parisi - All rights reserved - Riproduzione Riservata
