SICUREZZA INFORMATICA

Ransomware: gli strumenti del NIST per valutare e analizzare i rischi

Il NIST ha rilasciato la bozza preliminare del Cybersecurity Framework Profile for Ransomware Risk Management (NISTIR 8374) con le best practice per la gestione del rischio ransomware. Ecco tutti i dettagli

08 Nov 2021
Giorgio Sbaraglia

Consulente aziendale Cyber Security, membro del Comitato Scientifico CLUSIT

Il ransomware è un tipo di attacco maligno in cui gli aggressori criptano i dati di un’organizzazione e chiedono il pagamento di un riscatto per ripristinare l’accesso; in alcuni casi, gli aggressori possono anche rubare le informazioni dell’organizzazione e richiedere un ulteriore pagamento in cambio della non divulgazione delle informazioni alle autorità, ai concorrenti o al pubblico.

Gestione del rischio ransomware secondo il NIST

Per fornire gli strumenti utili a prevenire e rispondere a eventi ransomware, il NIST ha recentemente pubblicato una nuova bozza preliminare del Cybersecurity Framework Profile for Ransomware Risk Management (NISTIR 8374), un framework di gestione del rischio ransomware.

Evento in presenza
SAP NOW, 20 ottobre | Sostenibilità e innovazione per un ecosistema digitale che rispetta il pianeta
Cloud
Datacenter

Non abbiamo indicazioni di quando verrà rilasciata la versione definitiva di questo framework, tuttavia già in questa seconda edizione (la prima era stata rilasciata a giugno 2021 e lasciata aperta a feedback pubblici fino al 9 luglio 2021, questa seconda pubblicazione è stata disponibile a “public comment” nel periodo da 8 settembre all’8 ottobre 2021) possiamo trovare molti spunti importanti.

Il documento è relativamente breve (se paragonato ad altre pubblicazioni del NIST): si sviluppa su 20 pagine, oltre alle premesse.

Come leggere il documento del NIST sulla gestione del rischio ransomware

Il framework riportato ha lo scopo di offrire alle organizzazioni strumenti di analisi e valutazione dei rischi dei ransomware. Per fare questo, utilizza il “Framework for Improving Critical Infrastructure Cybersecurity” (Version 1.1.), ben conosciuto come NIST Cybersecurity Framework (CSF), quale base e ne sfrutta le mappature di controllo esistenti.

Il CSF, infatti, definisce 5 Function: Identify, Protect, Detect, Respond, and Recover (Identificare, Proteggere, Rilevare, Rispondere e Recuperare), ciascuna delle quali contiene numerose categorie e sottocategorie.

Queste sottocategorie sono poi mappate in controlli specifici, riferibili ad altri vari framework, quali il NIST SP800-53 (“Security and Privacy Controls for Information Systems and Organizations”), COBIT 5, ISO/IEC 27001, CIS CSC, COBIT e ISA.

Sfruttando questo fondamentale framework, il NIST ha utilizzato la mappatura dei controlli esistenti sia per il NIST 800-53 che per l’ISO 27001 e poi ha selezionato controlli specifici da ciascuno di essi che si concentrano su misure e processi relativi alla prevenzione del ransomware e alla risposta agli incidenti.

Lo vediamo in dettaglio nel capitolo 2-The Ransomware Profile: qui sono riportate le classiche (e familiari per chi conosce il CSF) tabelle con le categorie e relative sottocategorie.

Vediamo uno stralcio della “Table 1: Ransomware Profile”:

Immagine

Immagine

Lo schema è quello classico del CSF: per ogni sottocategoria sono indicati le corrispondenze con gli altri framework, quali – come già detto – ISO/IEC 27001:2013 ed il NIST SP 800-53 Rev. 5.

Nella successiva colonna “Ransomware Application” possiamo vedere quali sono le corrispondenti misure di sicurezza da adottare.

Ne indichiamo alcune (riprese dalla pagina 14 del NISTIR 8374), a titolo esclusivamente esemplificativo, rimandando i dettagli alla consultazione completa del documento (peraltro molto sintetico e di facile lettura).

Funzioni: DETECT

Category: Anomalies and Events (DE.AE): Anomalous activity is detected and the potential impact of events is understood.

DE.AE-3: Event data are collected and correlated from multiple sources and sensors

Rif.: ISO/IEC 27001:2013 A.12.4.1, A.16.1.7; NIST SP 800-53 Rev. 5 AU-6, CA- 7, IR-4, IR-5, IR-8, SI-4

Ransomware Application: Multiple sources and sensors along with a Security Information and Event Management (SIEM) solution would improve early detection of ransomware.

Immagine

Come possiamo vedere, le misure di sicurezza indicate non sono diverse da quelle consigliate da altri framework. In fondo le best practice per la prevenzione e la difesa dai ransomware sono ormai note, con gli aggiornamenti resi necessari dalla continua evoluzione delle TTP (Tecniche, Tattiche e Procedure) degli attaccanti.

Ma come sempre il NIST mette a disposizione queste informazioni in modo strutturato (e correlato con le altre norme) e in forma di lista di controllo, rendendo più semplice l’attività di chi deve predisporre le misure di sicurezza.

Ransomware: una minaccia in costante aumento

Il framework del NIST era un documento in parte atteso, in quanto in questi ultimi due anni sono stati sempre più numerosi gli attacchi ransomware ad aziende in tutto il mondo: tra i più importanti ricordiamo quelli a Garmin (richiesta di riscatto 10 milioni di dollari), University of California San Francisco (1,14 milioni di dollari pagati per il riscatto), Norsk Hydro, Telecomm Argentina, United Health Services (USA), Barnes & Noble, Foxconn, Randstad, le città di Atlanta e Baltimora (USA), Duesseldorf University Hospital (Germania), Canon, ENEL, Manchester United Football Club, Accenture.

Addirittura, nell’attacco al Duesseldorf University Hospital (settembre 2020) una donna è morta a causa dell’impossibilità di essere assistita, perché l’ospedale era bloccato dal ransomware. Rappresenta il primo caso noto di morte direttamente collegata ad un attacco informatico.

Abbiamo registrato anche molti casi in Italia. Ne citiamo alcuni, ma l’elenco potrebbe essere ben più lungo: Campari (2019, riscatto richiesto 16 milioni), Enel (due attacchi nel 2019), Bonfiglioli (2019), Zambon (2020), Geox, Luxottica, Agenzia Territoriale per la Casa di Torino (2021), Comune di Brescia (2021), fino al caso più recente e clamoroso della Regione Lazio, colpita ad inizio agosto 2021.

Il fenomeno ransomware è quindi sempre più in auge e continua a generare danni.

Un dato estremamente significativo ci viene dal Rapporto Clusit 2021. Come evidenziato nell’infografica sottostante, i ransomware rappresentavano:

  • un quarto di tutti i malware nel 2018;
  • quasi la metà del totale nel 2019;
  • sono diventati nel 2020 il 67%.

Numeri che, di fatto, ci dicono che oggi due attacchi su tre sono ransomware

Immagine
.

Secondo uno studio condotto da Check Point Software Technologies, negli ultimi 2 anni (2020-2021) il 66% delle aziende intervistate ha dichiarato di aver subito almeno un attacco informatico.

Nel 2021 ci sarà un attacco ransomware alle aziende nel mondo ogni 11 secondi.

Tutto questo aggravato dalla comparsa nel mercato del ransomware della “Double Extortion”: la doppia estorsione che ha drammaticamente complicato la vita per le aziende colpite.

Il “pioniere” della Double Extortion è stato Maze nel 2019, poi questa tecnica è stata utilizzata anche da molti altri ransomware quali NetWalker (uno dei più attivi), RagnarLocker, DoppelPaymer e Sodinokibi (alias REvil).

Oggi, nel 2021, la doppia estorsione è ormai diventata quasi la regola. L’ultimo caso noto è l’attacco che ha recentemente colpito la SIAE, portato dal gruppo cybercriminale Everest, con la minaccia di pubblicare circa 60 gigabyte di dati degli iscritti ed una richiesta di riscatto è di 3 milioni in bitcoin.

A fronte di questa emergenza, anche il Garante Privacy ha emesso un documento in merito: “Attenzione al ransomware. Il programma che prende “in ostaggio” il tuo dispositivo”.

Everest: chi è e come agisce la gang del ransomware che ha rubato l’archivio dati della SIAE

DarkSide e l’attacco a Colonial Pipeline: un punto di svolta

Nel 2021 gli Stati Uniti hanno subito alcuni attacchi ransomware particolarmente gravi perché hanno colpito aziende e infrastrutture strategiche. Questi eventi hanno rappresentato un punto di svolta, dando evidenza dell’estrema vulnerabilità di aziende primarie, nonostante gli innumerevoli allarmi emessi da forze dell’ordine e da aziende di sicurezza.

Due casi hanno – più di altri – trasformato i ransomware in un’emergenza nazionale, con l’intervento addirittura del Presidente Biden.

Uno è stato l’attacco al colosso della lavorazione della carne JBS, la più grande azienda di lavorazione della carne del mondo, con stabilimenti anche in USA a Greeley (Colorado), da dove è probabilmente partito l’attacco.

JBS appresenta circa il 20% della capacità di macellazione di bovini e suini negli Stati Uniti, quindi, l’attacco ha causato un’interruzione significativa della catena di approvvigionamento alimentare negli Stati Uniti.

Ma l’attacco che ha avuto l’impatto più alto di ogni altro in precedenza negli USA è stato quello che il 7 maggio 2021 ha paralizzato con un ransomware la società Colonial Pipeline, l’operatore del più grande oleodotto che trasporta carburanti tra il Texas e la costa orientale degli Stati Uniti.

Attacco a Colonial Pipeline, il prima e dopo che stanno cambiando lo scenario del cyber crime

L’oleodotto fornisce circa il 45% dei carburanti degli Stati Uniti (2,5 milioni di barili di carburante al giorno).

Le scorte di benzina, diesel, olio per riscaldamento domestico, carburante per jet e forniture militari sono state così pesantemente colpite che la Federal Motor Carrier Safety Administration (FMCSA) il 9 maggio ha dichiarato lo stato di emergenza in 18 stati. In alcune città tra cui Atlanta, il 30% delle stazioni di servizio sono rimaste senza benzina. Il blocco è durato circa una settimana, fino a quando la società ha ceduto al ricatto ed ha pagato il riscatto di 4,4 milioni di dollari ai cybercriminali del gruppo DarkSide.

Oltre a criptare i file, dei sistemi informatici di Colonial Pipeline, DarkSide ha anche rubato oltre 100 GB di dati aziendali, con doppia estorsione.

Ma l’impatto dell’attacco non è stato solo economico, ha messo in crisi l’intera economia USA al punto che lo stesso Presidente Biden è intervenuto con un ordine esecutivo per rafforzare la sicurezza informatica nazionale.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 3