Le notizie su aziende vittime di attacchi ransomware che causano il blocco delle attività si susseguono ormai sempre più frequentemente ed ecco quindi che per le aziende diventa sempre più importante approntare un efficace piano di risposta per resistere agli assalti dei criminal hacker.
Indice degli argomenti
L’evoluzione dei ransomware
In effetti le modalità con cui vengono effettuati gli attacchi ransomware sono profondamente cambiate. I primi codici malevoli appartenenti a questa famiglia di malware, infatti, agivano ad ampio spettro in quanto venivano distribuiti con campagne di phishing generiche inviate a moltissimi destinatari, avevano come effetto la cifratura solamente dei dati dei PC infettati e concludevano la loro catena infettiva con la richiesta di riscatti di qualche centinaio di euro.
Adesso, invece, i ransomware più avanzati sfruttano tutte le fasi della kill chain come già avveniva per gli Advanced Persistent Threat (APT).
Si tratta quindi di attacchi mirati che prevedono una prima fase anche molto lunga di studio del target, in cui si analizzano i ruoli e le informazioni relative ai dipendenti dell’azienda target dell’attacco, seguita da una fase in cui i dipendenti individuati come target vengono fatti oggetto di campagne di spear phishing.
Attraverso le mail di phishing avviene quindi una prima infezione. A questo punto i cybercriminali cercano di acquisire credenziali e di muoversi lateralmente all’interno delle reti aziendali per identificare le informazioni più critiche, compresi i sistemi di backup e di archiviazione.
La fase finale è infine quella della cifratura dei dati critici dell’azienda e una richiesta di riscatto che può superare il milione di euro.
Di fronte a questo scenario, molte aziende sono giustamente preoccupate e si domandano quale sia la propria capacità di prevenire e di reagire ad attacchi di tipo avanzato.
Le aziende sono normalmente già dotate di soluzioni di sicurezza di tipo organizzativo, procedurale e tecnologico, quindi la domanda è se le misure implementate siano sufficienti, o, detto in termini più precisi, se tali misure siano contestualizzate su quelli che sono i rischi aziendali e i processi con cui il rischio viene gestito.
Uno dei metodi per fare ciò è quello di partire da una gap analysis rispetto a quelle che sono le best practice, usando quindi linee guida o framework, che permettano di tenere conto del contesto e delle specificità aziendali.
Perché affrontare così il problema? Perché tali strumenti sono stati pensati proprio per aiutare le organizzazioni a definire un percorso orientato alla cyber security e alla protezione dei dati che permetta di essere coerenti con i regolamenti in materia, di contenere i costi e aumentare l’efficacia.
Resistere agli attacchi ransomware: il Cybersecurity framework del NIST
Uno dei framework che può essere utilizzato la reale capacità dell’azienda a resistere agli attacchi ransomware è il Cybersecurity framework del NIST, di cui esiste anche una contestualizzazione italiana, il Framework Nazionale per la cybersecurity e la protezione dei dati.
Si tratta di uno strumento operativo utilizzabile da organizzazioni di tutte le dimensioni.
Naturalmente non si tratta dell’unico framework utilizzabile a questo scopo: potremmo considerarne anche altri come la ISO 27001, oppure i Critical Security Controls del CIS, e probabilmente i risultati non cambierebbero di molto.
Introduciamo brevemente il framework, restando ad alto livello, visto che in questo contesto il framework è solo un modo per individuare e contestualizzare le misure che permettono di prevenire e rispondere agli attacchi di ransomware.
Il framework è composto da tre componenti: il core, i profiles e gli implementation tiers:
- il core contiene le vere e proprie misure di sicurezza,
- i profiles rappresentano la postura o i desiderata in termini di un’organizzazione attraverso le attività abilitanti del core: possiamo dire che sono il componente del framework che tiene conto della specificità dell’azienda;
- gli implementation tiers rappresentano il livello di integrazione della cybersecurity nei processi di risk management: possiamo pensarli come livelli di maturità.
Le componenti del NIST Cybersecurity Framework.
I controlli di sicurezza contenuti nel core sono raggruppati su tre livelli via via più specifici:
- function;
- categories;
- subcategories.
Le function sono quelle elencate nella figura seguente: identify, protect, detect, respond, recover.
Le cinque function del NIST Cybersecurity Framework.
Quello che faremo ora sarà la contestualizzazione delle varie function sulla protezione dal ransomware, introducendo per ogni function misure di sicurezza di diverse tipologie che possano essere utili nel contrasto al ransomware.
Identify
In generale la function Identify è legata alla comprensione del contesto aziendale, degli asset che supportano i processi critici di business e dei relativi rischi associati.
Nel nostro contesto l’obiettivo è quello di identificare che cosa si vuole proteggere dagli attacchi di ransomware. L’idea di fondo è che si può proteggere adeguatamente qualcosa solo se si conosce cosa si vuole proteggere e da cosa lo si vuole protegge, ovvero se viene effettuata un’analisi dei rischi.
Nel contesto del ransomware è chiaro da cosa ci si vuole proteggere, occorre quindi valutare cosa si vuole proteggere, identificando i dati critici, andando a vedere dove sono e come girano, assegnando loro dei valori di impatto in termini di riservatezza, integrità e disponibilità.
Altro punto importante è l’inventario degli asset e dei software utilizzato nell’azienda e le loro vulnerabilità, vedremo fra poco il perché. Infine, molto importante soprattutto parlando di ransomware, è l’identificazione degli utenti, dei loro ruoli e dei rischi loro associati.
Questo punto spesso è trascurato nella pratica perché richiede il coinvolgimento di altre funzioni aziendali rispetto all’IT e si tende a saltare direttamente alle altre function.
Protect
La function Protect è associata all’implementazione di quelle misure volte alla protezione dei processi di business e degli asset aziendali, indipendentemente dalla loro natura informatica. Nel nostro contesto l’obiettivo è quello di evitare che il ransomware attecchisca.
Poiché la maggior parte dei ransomware richiede una qualche forma di interazione da parte di almeno un utente, la consapevolezza degli utenti su cosa sia un ransomware e come si propaga è fondamentale.
Oltre a programmi di formazione mirati sulle varie tipologie di utenti può essere utile sottoporre gli stessi a campagne di phishing simulato. Agli utenti vengono inviate mail di finto phishing e vengono monitorate le loro reazioni. Questa misura permette di tarare gli interventi di awareness sugli utenti che effettivamente ne hanno bisogno e individuare temi che, alla luce della campagna di phishing simulato, occorre approfondire.
Altro punto importante per la protezione dal ransomware è la necessità di limitare la visibilità dei dati più critici, per esempio segmentando la rete e applicando politiche di controllo degli accessi: su questo ci riallacciamo a quanto detto a proposito dell’identificazione dei dati e dell’assegnazione di valori di impatto.
Un discorso a parte relativamente al controllo accessi lo meritano gli account privilegiati, ovvero gli amministratori di sistema. Si tratta di utenti che, visto gli ampi privilegi e le ampie possibilità in termini di dati a cui possono avere accesso, necessitano di attenzione particolare.
Per gli utenti privilegiati è bene disaccoppiare le utenze utilizzate durante l’attività ordinaria, accesso al web alle mail e via dicendo da quelle utilizzate per l’amministrazione dei sistemi. Meglio ancora, è possibile obbligare gli amministratori ad utilizzare un sistema intermedio, un jump server, e non accedere direttamente ai sistemi amministrati.
Questo può essere fatto attraverso l’utilizzo di sistemi PAM, Privileged Access Management, che possono essere impostati affinché sia il sistema stesso che gestisca le password amministrative, che non sono conosciute neanche all’amministratore stesso.
Altre raccomandazioni per la protezione sono quelle di tenere aggiornati i sistemi e correggere le vulnerabilità: dovrebbe essere una cosa assodata, ma spesso si tratta di una misura disattesa; questo è uno dei motivi per cui è importante tenere un inventario dell’hardware e del software utilizzato in azienda.
Poi, importanti per la prevenzione dal ransomware, sono i sistemi di sicurezza per il web e ancora più per la mail, visto che la maggior parte del ransomware entra nelle aziende attraverso mail di phishing.
Inoltre, naturalmente, gli strumenti antimalware. Sebbene gli antivirus tradizionali basati su signature non sono più adeguati a proteggere da questa tipologia di attacchi, gli strumenti antimalware Enterprise si stanno evolvendo comprendendo anche funzionalità antiransomware. Sono comunque disponibili soluzioni di sicurezza rivolte agli endpoint più specifiche contro il ransomware.
Infine, sono da considerare le informazioni di cyber threat intelligence contenenti gli IOC degli attacchi di ransomware, possibilmente integrate automaticamente sugli strumenti di protezione e di detection. Si tratta in realtà di una misura utile sia in fase di protection che di detection.
Detect
La function Detect è associata alla definizione e attuazione di attività appropriate per identificare tempestivamente incidenti di sicurezza informatica. Nel nostro contesto l’obiettivo è quello di rilevare l’infezione il prima possibile. Ci troviamo quindi al punto in cui l’infezione è già entrata e vogliamo rilevarla prima che faccia danni.
Gli strumenti che possiamo avere a disposizione in questa fase sono strumenti di anomaly behavior, che possono lavorare sia a livello di traffico di rete che a livello di comportamento degli utenti. Altri strumenti utili sono le sandbox per l’esecuzione controllata del potenziale ransomware.
Sarebbe molto utile che gli strumenti di detection potessero comunicare con gli strumenti di prevention e di response. Si tratta di funzionalità che ora cominciano faticosamente ad essere implementate, spesso solo per strumenti di uno stesso vendor. La possibilità di bloccare automaticamente un ransomware e di prevenire che attecchisca su altri sistemi una volta individuato, fornisce un vantaggio notevole.
Una misura organizzativa molto importante ai fini del rilevamento del ransomware, naturalmente non solo, è la necessità di un processo di monitoraggio continuo della sicurezza, che, a partire dagli eventi generati dai sistemi e dalle applicazioni aziendali e da altre informazioni come inventario degli asset, vulnerabilità e informazioni di Cyber Threat Intelligence e supportati da strumenti tecnologici come i SIEM, abbia l’obiettivo di rilevare attacchi, tentativi di attacco o altri problemi di sicurezza. Il monitoraggio della sicurezza necessita di un team dedicato e competente, che può essere interno oppure esterno mediante servizi di Security Operation Center (SOC).
Respond
La function Respond è associata alla definizione e attuazione delle opportune attività per intervenire quando un incidente di sicurezza informatica sia stato rilevato. L’obiettivo è quello di essere preparati a fronteggiare l’emergenza, avendo chiari ruoli e procedure. Ci troviamo quindi al punto in cui l’infezione è stata rilevata e occorra organizzare una risposta.
Qui la misura più importante è innanzitutto organizzativa e procedurale e solo secondariamente tecnologica. Dobbiamo infatti preparare un processo per la gestione degli incidenti. Quando ci si trova a fronteggiare un’emergenza senza essere preparati è facile farsi prendere dal panico e fare mosse azzardate che possono compromettere l’efficacia della risposta: ecco perché occorre definire ruoli, responsabilità e strumenti.
Il processo di gestione degli incidenti comprende, secondo il NIST, diverse fasi evidenziati nella figura seguente.
L’Incident Response Life Cycle secondo il NIST (NIST SP 800-61 Computer Security Incident Handling Guide).
La fase di contenimento, eliminazione e ripristino rende l’idea di come si risponde ad un incidente. In un primo momento occorre agire per contenere il malware ed evitare che si propaghi ulteriormente, poi si procede alla sua eliminazione; eliminazione vuol dire anche sanificare l’ambiente per evitare che gli attaccanti ritornino e quindi presuppone che vi sia comprensione di come il malware si è mosso e poi al ripristino dei dati, che vedremo a breve.
La fase di analisi post-incidente ha lo scopo di analizzare come l’incidente è stato gestito per portare alla luce eventuali errori e migliorare il processo.
In queste fasi è importante la forensics “readiness”, ovvero che l’azienda sia preparata all’eventualità di dover affrontare un’investigazione digitale. Spesso questo aspetto non è considerato dalle aziende, viene visto solo come una cosa di cui devono eventualmente occuparsi le forze dell’ordine.
Le tecniche di digital forensics possono invece essere utilizzate in fase gestione degli incidenti per capire come è avvenuta l’infezione, come è entrato il malware e come si è propagato, indipendentemente dalla possibilità di utilizzare le evidenze raccolte in un tribunale.
Può aiutare a rendere più efficaci le fasi di contenimento, eliminazione e ripristino e di analisi post incidente. Quindi, durante la risposta agli incidenti, bisogna fare attenzione a preservare le evidenze.
Come per la fase precedente, è necessario avere un team di risposta agli incidenti addestrato e competente, che può essere completamente interno oppure supportato da un SOC esterno.
Recover
La function Recover è associata alla definizione e attuazione delle attività per la gestione dei piani e delle attività per il ripristino dei processi e dei servizi impattati da un incidente.
Ci troviamo quindi al punto in cui il ransomware ha fatto il suo lavoro e i dati sono stati persi: l’obiettivo è quello di recuperare i dati persi.
Quello che dobbiamo fare in questo caso è quindi ripristinare partendo dai backup dei dati compromessi. A differenza delle procedure di ripristino previste nei casi di disastro e descritte nei piani di disaster recovery aziendali, non è sufficiente ripristinare i dati degli ultimi backup disponibili, perché i dati di backup potrebbero essere stati oggetto dell’attacco e quindi essere stati compromessi.
Per questo motivo è di fondamentale importanza prevedere una validazione dell’integrità dei dati di backup prima del loro ripristino.
Se, per il tipo di incidente verificatosi, non è possibile rispettare gli RPO e gli RTO previsti occorre approvare e attivare dei “workaround” per avvicinarsi il più possibile ai requisiti.
L’azienda dovrebbe quindi essere dotata di un recovery plan specifico per gli scenari di cyber attacchi, tra cui gli attacchi ransomware, allo scopo di aumentare la resilienza dell’azienda e minimizzare gli impatti dell’incidente.
Dal punto di vista tecnologico, si può valutare la possibilità di mantenere, per i dati identificati come critici, copie di backup inaccessibili via rete e preventivamente validati, in modo da poter abbassare i tempi di ripristino e ripristinare dati più aggiornati, garantendo il rispetto degli RTO ed RPO stabiliti.
Conclusioni
In questo articolo è stato illustrato come il Cybersecurity Framework del NIST possa essere utilizzato dalle aziende per valutare la propria capacità di prevenire, reagire e resistere agli attacchi ransomware avanzato.
Ad ogni function del framework sono state associate possibili misure di sicurezza utili nell’affrontare il ransomware. Per forza di cose ciò è stato fatto in modo molto generale; in realtà ogni azienda dovrà individuare tali misure a partire dal proprio specifico.
