Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

I consigli

Data Breach Incident Response Plan: ecco come rispondere ad un attacco ransomware

I ransomware sono una minaccia attuale per aziende e pubbliche amministrazioni, a trent’anni dal primo attacco registrato. La Risk Analysis offre gli strumenti adatti a proteggersi, ideale è dotarsi di un Data Breach Incident Response Plan: vediamo di che cosa si tratta e come sfruttarlo

17 Giu 2019
I

Pierguido Iezzi

Swascan Cybersecurity Strategy Director e Co Founder


Un efficiente Data Breach Incident Response Plan rappresenta la soluzione migliore per rispondere ad un attacco ransomware che, nonostante le giuste contromisure e i giusti strumenti di difesa, potrebbe comunque consentire ai criminal hacker di riuscire ad ottenere l’accesso ai dati aziendali e riservati e ad impattarne la disponibilità.

Data Breach Incident Response Plan e GDPR

Inoltre, in seguito ad un eventuale data breach, il Data Breach Incident Response Plan è l’unica soluzione che permette di adempiere correttamente a ciò che è stato normato all’intero dell’ormai onnipresente GDPR, il Regolamento europeo 679/2016 per la protezione dei dati personali che prevede di notificare l’avvenuta violazione dei dati entro 72 ore dalla sua scoperta, qualora si ritenga che ciò rappresenti una minaccia concreta per i diritti e le libertà delle persone a cui i dati si riferiscono.

Un lasso di temo fin troppo breve e difficilmente rispettabile qualora non si disponga di un valido piano di gestione della crisi.

Ransomware: minaccia attuale per aziende e PA

Quest’anno festeggiamo una ricorrenza non troppo felice: sono infatti 30 anni dal primo attacco ransomware.

Era infatti il 1989 quando Pc Cyborg – noto anche come AIDS Trojan perché prendeva di mira i ricercatori che si occupavano di questa malattia – fece la sua comparsa. Il sistema era sicuramente goffo e macchinoso, visto che richiedeva di inviare fisicamente un assegno a Panama, ma ciò non di meno era comunque il primogenito della stirpe.

Il malware di questa categoria, come lo conosciamo oggi, è invece nato nel 2013 con il ransomware CryptoLocker.

PA, il bersaglio preferito

Le amministrazioni statali e locali sono state tra le prime organizzazioni ad essere colpite da ransomware e in questo articolo faremo una overview della situazione negli Stati Uniti.

Il primo caso noto è stato nel novembre 2013, quando il dipartimento di polizia di Swansea Massachusetts è stato infettato dal primo CryptoLocker.

Ovvio, potrebbero esserci state altre infezioni precedenti, ma ransomware non era un termine comunemente usato in quel periodo e qualsiasi attacco avvenuto prima potrebbe non essere stato segnalato come tale.

Da allora, ci sono state molte discussioni dall’altra parte dell’oceano sugli attacchi ransomware contro i network e i sistemi statali e locali, attacchi che non hanno fatto altro che continuare a crescere nel corso degli anni.

Prendendo come spunto l’eccellente ricerca condotta dal team di SecuLore attraverso il set di dati Recorded Future e incrociando queste info con le notizie riportate da quotidiani locali raccolte da un team di ricercatori è stato possibile isolare 169 incidenti ransomware che hanno colpito le amministrazioni statali e locali.

I dati in dettaglio

Un piccolo preambolo, questi dati non sono di certo definitivi, ma possono servire come base per comprendere la portata del problema.

Questo perché gli attacchi ransomware non sono sempre segnalati pubblicamente e non esiste negli Stati Uniti un’autorità di segnalazione centralizzata. Ciò significa che il numero di incidenti è molto probabilmente sottostimato.

Alcuni potrebbero, per esempio, essere stati segnalati semplicemente come un attacco malware piuttosto che specificamente come un attacco ransomware. In più, molte delle informazioni riportate arrivano da giornali locali o su notiziari televisivi locali.

Una deduzione logica considerando che la maggior parte di questi incidenti non sono abbastanza impattanti da essere considerati notizie di rilevanza soprastatale (alla fine gli Stati americani sono 50).

Ma adesso diamo un occhio ai dati. In primo luogo, sembra che gli attacchi ransomware contro infrastrutture governative siano in aumento, se nel 2016 erano 46, nel 2018 questo numero è salito a 53 e nei primi quattro mesi del 2019 ne sono già stati segnalati 21.

I dati, come accennato, sono comunque molto incerti, alcuni di quelli qui presenti sono stati segnalati settimane o addirittura mesi dopo il loro verificarsi, spesso durante le riunioni di consiglio o di bilancio.

La seconda constatazione è che, nonostante l’uso della parola “mirati”, non sembra che si tratti di attacchi mirati in senso tradizionale. Quelli contro la PA tendono ad essere più bersagli di opportunità, che spesso hanno inizio da un’email di phishing aperta da un ignaro dipendente statale.

Gruppi come Ryuk e SamSam, criminal hacker di un certo livello, sembrano quasi trovarsi per caso a prendere d’assalto le strutture governative, magari accedendo attraverso Wi-Fi non sicuri o pc di dipendenti non protetti adeguatamente.

Certo, una volta che questi gruppi si rendono conto di trovarsi in un obiettivo di questa levatura, ne approfittano puntando i dati più sensibili o preziosi.

Una terza, e forse sorprendente, constatazione è che i dipartimenti statali e locali statunitensi hanno meno probabilità di pagare il riscatto rispetto ad altri settori.

Secondo un rapporto del 2019 di CyberEdge, il 45% delle organizzazioni che sono state colpite da ransomware ha pagato il riscatto (questo numero è in aumento rispetto al 38,7% del 2018).

Ma quanto emerge dalla analisi fatta a livello PA, solo il 17,1% degli enti che sono stati colpiti hanno pagato definitivamente il riscatto e il 70,4% delle agenzie ha confermato di non aver pagato il riscatto. Dei 169 attacchi menzionati all’inizio, 24 erano contro sistemi informatici di scuole o collage.

Anche in questo caso, questi attacchi non sembrerebbero essere mirati, ma si è trattato più una questione di opportunità. 41 degli attacchi erano contro le forze dell’ordine, anche se c’è una certa sovrapposizione, perché diversi attacchi iniziati con i computer del governo locale si sarebbero diffusi anche ai sistemi di questi ultimi.

Le tipologie di ransomware

Osservando l’analisi delle tipologie dei ransomware utilizzati negli attacchi ci accorgiamo che il 76% di tutti quelli presi in considerazione non sono stati ancora riconosciuti con certezza.

La segnalazione del tipo di variante utilizzata in questi attacchi è ahimè ancora limitata. Solo in 40 dei 169 incidenti segnalati è stato identificato il tipo di ransomware utilizzato nell’attacco.

Le varianti utilizzate in questi attacchi sembrano rispecchiare le famiglie di ransomware utilizzate contro altri settori. Dal 2013 al 2016 le principali segnalate sono state CryptoLocker e CryptoWall.

Nel 2017 e nel 2018, il passaggio a WannaCry e SamSam (sebbene gli attacchi WannaCry siano stati per lo più strettamente raggruppati in maggio e giugno 2017). Più recentemente, tra la fine del 2018 e l’inizio del 2019, le principali famiglie di ransomware sono state GandCrab e Ryuk.

I trend

La tendenza degli attacchi contro le amministrazioni statali e locali segue uno schema interessante. Per esempio: nel 2016 c’è stato un aumento degli attacchi, poi diminuito nel 2017. Ciò rispecchia il trend generale degli attacchi di ransomware nel 2016 e nel 2017.

Ciò che è interessante è che, mentre nel 2018 si è assistito a una piccola ripresa degli attacchi ransomware in generale, c’è stato un forte aumento degli attacchi ransomware contro amministrazioni statali e locali, aumento proseguito nel 2019.

Sebbene i governi, come accennato non paghino i riscatti con la stessa frequenza degli altri obiettivi, essi generano una copertura mediatica spropositata a causa dell’effetto che questi attacchi hanno sul funzionamento delle infrastrutture e dei processi di vita quotidiana essenziali.

Questo, probabilmente, crea la percezione tra gli aggressori che si tratta di obiettivi potenzialmente redditizi. In realtà i dati ci mostrano che, come detto, le agenzie governative hanno meno probabilità di pagare il riscatto rispetto alle altre vittime (una probabilità su cinque).

Il vero addendum è il risvolto che possono avere sul profilo dei gruppi che si rendono protagonisti di questi atti. Infatti, questi obiettivi possono aumentare la caratura dell’aggressore (nel bene o nel male), poiché è più probabile che queste agenzie si rivolgano ad organismi come l’FBI per rispondere alla violazione

Come proteggersi

Ovviamente dinnanzi a uno scenario così complesso e potenzialmente disruptive, anche qui nel vecchio continente, la prima domanda che ci poniamo è: come difendersi da queste minacce? La risposta è complessa, ma al contempo lineare e passa da numerosi step e aree di intervento.

Il primo passo è necessariamente quello di comprendere il livello di rischio potenziale a cui potrebbero essere esposti i nostri sistemi.

L’attività di risk analysis è la pietra fondante di ogni cyber security framework di successo, ma non è sempre facile effettuarla correttamente e in maniera esaustiva se non si hanno a disposizione i giusti strumenti.

Per ottenere la visione d’insieme più completa ed esauriente su tutte le possibilità vulnerabilità, quindi, si rendono indispensabili i seguenti strumenti:

  • penetration test: questo esamina i punti deboli relativi ad una infrastruttura IT aziendale e, dopo averli scoperti, prova ad exploitarli in maniera sicura e controllata. Un penetration test si spinge il più a fondo possibile nell’infrastruttura IT aziendale per arrivare agli asset elettronici di una azienda. L’obiettivo non è quello di colpire duramente il bersaglio al primo tentativo, ma è quelli di colpire anche più duramente nei tentativi seguenti così da esplorare tutti i possibili scenari a cui possono essere soggette le aziende;
  • Vulnerability Assessment: si tratta di un’analisi di sicurezza che ha l’obiettivo di identificare tutti le vulnerabilità potenziali dei sistemi e delle applicazioni. Come? Spottando e valutando il danno potenziale che l’eventuale “attaccante” può infliggere all’unità produttiva attraverso tools altamente automatizzati in una prima fase, per poi avvalersi delle competenze di un personale altamente qualificato che, in un secondo momento, integra e verifica i risultati attraverso una meticolosa attività manuale. Queste attività hanno lo scopo di rifinire la ricerca evidenziando eventuali errori commessi durante il processo;
  • Network Scan: Si tratta di uno scan specifico e dettagliato che analizza l’IP di un network in modo da identificare le sue vulnerabilità e i suoi punti deboli. Questo strumento può essere usato da chiunque, che sia una multinazionale con centinaia e centinaia di computer o che sia una piccola compagnia con un network di soli pochi dispositivi.

In concomitanza con l’analisi del rischio un intervento comprensivo deve essere effettuato sull’altra parte più critica di un sistema: il fattore umano.

Qui l’azione deve essere duplice, dobbiamo lavorare sulla generale awareness dei dipendenti nei confronti delle minacce più comuni e al contempo dobbiamo integrare le loro conoscenza attraverso attività di formazione mirata al perfezionamento.

Una delle metodologie migliori per fare una sintesi di queste due attività è quella di usare un servizio di:

  • Phishing Simulation Attack: Questo tipo di attacco oramai si è evoluto ad altissimi livelli di sofisticazione, destinata solo ad aumentare nel prossimo futuro. Le soluzioni di Phishing Simulation Attack permettono alle aziende e alle amministrazioni di contrastare questo fenomeno attraverso un test dello human factor e garantendo anche una efficace attività di training e awareness. Il servizio adotta lo stesso modello di un attacco standard (di fatto simulandolo) permettendo di misurare il livello di esposizione al rischio phishing aziendale e al contempo effettua una attività di formazione e awareness efficace dei dipendenti. È riduttivo sottolinearlo, ma anche le misure più efficaci di Cyber difesa si possono rivelare inutili se in azienda le persone continuano a cadere vittima di questi inganni.

Il Data Breach Incident Response Plan

Come dicevamo, il Data Breach Incident Response Plan è l’unica soluzione che permette di adempiere a ciò che stato normato all’intero del GDPR: l’articolo 33 stabilisce infatti l’obbligo per l’organizzazione di comunicare, all’autorità di controllo competente, l’avvenuta violazione di dati personali entro un termine di 72 ore dalla sua scoperta, qualora si ritenga che ciò rappresenti una minaccia concreta per i diritti e le libertà delle persone a cui i dati si riferiscono.

La notifica all’autorità di supervisione deve fornire una descrizione della natura del data breach, includendo il numero approssimato e le categorie dei record di dati personali e dei soggetti a cui si riferiscono.

Inoltre dovrebbe descrivere le probabili conseguenze della violazione e le misure proposte per rimediare all’incidente. In sostanza, un compito veramente arduo se non impossibile da svolgere, senza il Data Breach Incident Response plan.

Il servizio permette di:

  • gestire l’incident e supportare l’azienda nel ripristino delle attività;
  • analizzare la natura della violazione;
  • identificare le evidenze, le prove e le informazioni tecniche;
  • determinare la tipologia dei dati compromessi;
  • stabilire quali dati sono stati compromessi;
  • formalizzare lo stato delle misure di sicurezza in essere;
  • predisporre il piano di remediation.

Le fasi di un Data Breach Incident Response Plan

Nel dettaglio il processo si svolge in 5 fasi ben strutturate:

  • Cyber security investigation: questo primo step ha come obiettivo l’identificazione dei vettori d’attacco, dei punti d’ingresso, dei target colpiti e delle tecniche usate per portare a fondo l’assalto. Questi risultati vengono ottenuti attraverso l’attività di log analysis, tracking dell’attacco, target analysis e data compromise discoveries. L’output di queste attività viene trasformato in un executive summary e un technical report, facilmente consultabile.
  • Forensic investigation: questa fase ha come scopo la cristallizzazione delle evidenze legali e delle prove raccolte tramite computer e altri device. L’obiettivo è di esaminare i dispositivi digitali seguendo processi di analisi forense al fine di indentificare, preservare, recuperare e analizzare i dati raccolti. Anche in questo caso vengono resi disponibili un executive summary e un technical report oltre alla copia forense.
  • ICT integrity checkup: è la fase di verifica dell’integrità della struttura. Questa consiste nel controllare e verificare se all’interno dell’infrastruttura non siano presenti elementi malevoli installati dagli attaccanti. L’intero step viene portato a termine attraverso assett inventory, malware assessment e ICT assessment. La produzione è, come prima, di un executive summary e un technical report.
  • Vulnerability checkup: questo step ha lo scopo di preservare l’integrità dell’infrastruttura informatica. L’analisi delle criticità ha l’obiettivo di identificare e determinare le eventuali vulnerabilità sfruttate da terze parti per un possibile attacco a livello di infrastruttura esposta su internet e infrastruttura interna. Tutto ciò avviene mediante penetration test, vulnerability test e network scan. Come sempre vengono prodotti un executive summary e un technical report.
  • Reporting/remediation plan: L’ultima fase consiste nel redigere la documentazione relativa alle informazioni necessarie per la completa e corretta compilazione della notifica al Garante oltre a fornire indicazioni di dettaglio per la corretta security governance aziendale. Questo avviene attraverso attività di report e remediation plan. Il risultato è l’intera overview della tipologia dei dati compromessi, l’elenco di questi, la metodologia e la modalità dell’attacco, i target vittime, le misure di sicurezza adottate e la creazione di un security remediation plan.

Oggi la cyber security non richiede solo impegno proattivo interno, ma implica anche responsabilità oggettive anche verso terzi. Il GDPR l’ha sancito, ora la palla passa noi.

Le minacce sono qui, ma anche le soluzioni. Come procedere da ora in avanti nell’ambito della cyber security diventerà sempre di più questione cardine per aziende e PA.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4