Nel 2021 sono stati riportati 2.690 attacchi informatici riguardanti i ransomware, con un aumento del 92,7% rispetto al 2020. Le regioni più colpite dagli attacchi risultano essere il Nord America, con circa il 53% del totale, e l’Europa, con circa il 30% del totale.
Con un aumento sempre più rapido del numero e della gravità degli attacchi e la sempre maggior complessità delle proprie infrastrutture, ogni impresa e azienda affronta quotidianamente un’ardua sfida contro attori malevoli numerosi, agguerriti e completamente concentrati sui loro obiettivi di compromissione, mentre i team di cyber security si districano tra fondi e risorse limitati che devono essere opportunamente investiti.
Per fortuna esistono soluzioni che permettono di allocare queste risorse più efficacemente, ma hanno comunque necessità specifiche sulla loro messa in opera, sulla manutenzione ordinaria e straordinaria, e sul loro uso quotidiano che solitamente necessita di personale qualificato e impegnato esclusivamente su questo.
Mantenerle in maniera adeguata è essenziale per avere controllo sulla situazione all’interno così come all’esterno dell’azienda.
Nervi saldi, tattica e strategia: alla scoperta del negoziatore cyber
Antivirus, EDR e XDR: la prima linea di difesa dal ransomware
L’antivirus è una di queste soluzioni e la più storica. Ma i prodotti odierni assomigliano a quei primi antivirus di fine Anni 80 solo vagamente, e si sono resi sofisticati tanto quanto le minacce che monitorano e bloccano ogni giorno, progredendo sia tecnicamente che nella loro filosofia di funzionamento.
Oltre che con l’uso del loro bagaglio di “foto segnaletiche” costantemente aggiornate dal vendor sotto forma di firme ed hash, ben presto gli antivirus si sono dotati di algoritmi euristici che permettono di riconoscere un malware anche tramite l’analisi del comportamento di un codice, così da anticipare il verdetto di un’analisi approfondita magari effettuata da un operatore in carne e ossa.
Alla luce di come si è successivamente evoluto il panorama degli attacchi cyber e delle difese applicate, gli antivirus si sono dunque specializzati nell’offrire strumenti e aiuto a chi è incaricato della difesa di un’azienda, consentendo sia di avere visibilità (analizzare in dettaglio eventi di sicurezza, osservare traffici di rete, recuperare file e log dagli host) che di permettere di agire miratamente su una rilevazione malevola (bloccando un processo, eliminando file, isolando dalla rete un host).
Questo è ciò che un EDR (Endpoint Detection and Response) racchiude. La sua naturale evoluzione, l’XDR (eXtended Detection and Response) non ha fatto che potenziare queste nuove capacità e riproporle in altri ambiti, interfacciandosi con la rete e il cloud oltre che agli host.
Ciò fa sì, però, che uno strumento così articolato necessiti di cura nelle sue numerose impostazioni. Un consiglio pratico è innanzitutto quello di mantenere ordine tra le alberature di device e le policy applicate, e di rivedere periodicamente se queste policy possono essere ritoccate per migliorarne lo stato, testando nuove funzioni e sbarazzandosi di vecchie esclusioni.
Anche il perimetro di applicazione è importante, per evitare di lasciare scoperto parte dei propri host o della rete. Il fenomeno della Shadow IT, l’uso di servizi e sistemi non ufficiali e sconosciuti a reparti IT e di security, complica già una situazione di client e server eterogenei, magari sparsi in più sedi o non direttamente sotto il proprio controllo. Un buon asset management è essenziale per arginare queste dinamiche, che sono comunque sempre presenti in qualche misura in ogni ambiente di lavoro.
Come detto in precedenza, una delle maggiori sfide che affrontano le aziende è quella di utilizzare al meglio le proprie risorse economiche e operative. La soluzione Managed Detection and Response (MDR) viene incontro a questa esigenza fornendo un team di esperti che monitora e analizza costantemente i dati degli endpoint aziendali tramite una soluzione EDR/XDR.
I vantaggi di avere un servizio di questo tipo sono:
- applicazione del fattore umano ai dati raccolti;
- minor carico di lavoro per le risorse aziendali interne;
- riduzione delle tempistiche di intervento in caso di incidente;
- possibilità di avere subito a disposizione un personale già formato e specializzato;
- ricerca proattiva di vulnerabilità;
- possibilità di creare report schedulati.
Per l’implementazione di un sistema MDR esistono principalmente due macro casistiche:
- utilizzo di una soluzione EDR già presente;
- installazione di una nuova soluzione EDR.
Nel primo caso, il servizio MDR verrà applicato su un’infrastruttura già esistente. Da parte del fornitore del servizio sarà necessario effettuare una fase di collaudo per verificare la corretta funzionalità del sistema, come ad esempio la connettività tra endpoint e piattaforma, verifica delle policy e delle esclusioni attive e verifica di eventuali integrazioni.
Una volta verificato che il sistema stia funzionando correttamente, sarà possibile iniziare l’attività di monitoraggio da parte del team di analisti.
Nel secondo caso, il fornitore del servizio MDR proporrà, in base alle esigenze del cliente, una soluzione EDR/XDR e si occuperà, insieme al team tecnico interno, dell’installazione della piattaforma e degli agent, nonché della stesura delle policy da applicare sugli endpoint.
Sistemi XDR (eXtended Detection and Response): cosa sono, a cosa servono, come funzionano
Il firewall a protezione dell’infrastruttura aziendale
Sebbene il paradigma principale del castello fortificato sia sempre più spesso messo in discussione, i firewall sono ancora tanto predominanti quanto necessari nella protezione di un’infrastruttura aziendale. Il loro ruolo originale è di definire il perimetro della rete aziendale, identificando dunque cosa sta dentro (la rete locale, i server interni, i client), cosa fuori (il resto del mondo e di Internet) e cosa si trova nella zona cuscinetto intermedia (la DMZ).
Questo consente, come avveniva per i confini di un tipico castello, di verificare cosa transita tra ognuna di queste zone, cercare di mantenere fuori dalle mura esterne un attore malevolo e, nel caso peggiore, tentare di contenerlo in una zona intermedia in cui si possono limitare i danni che potrebbe provocare. Inoltre, si può verificare la provenienza di chi cerca di bussare al proprio ponte levatoio, tramite geo-filtering, e negare l’ingresso a chi non proviene da paesi con cui non si hanno legami commerciali o notoriamente fonti di azioni offensive.
Ma i firewall consentono anche di separare logicamente reti in sezioni, solitamente sulla base della funzione aziendale e dell’ambito, o su base geografica.
L’uso di segmentazione, esclusivamente affiancata a una definizione chiara e non troppo permissiva delle regole di comunicazione tra queste reti, permette di ottenere una funzione simile alle camere stagne di una nave: in caso di incidente grave in una sezione (che sia un allagamento o un ransomware) si è sufficientemente sicuri che ciò rimanga contenuto in quella sezione e, se necessario, la si può facilmente isolare dal resto dell’infrastruttura.
Diventa importante, dunque, testare la tenuta delle porte stagne, sia quando sono “aperte” (permettendo in tempo di pace le comunicazioni concesse) che completamente chiuse (al momento di contenere un attacco), chi deve chiuderle e chi deve deciderlo.
Nel momento in cui avviene qualcosa, è poi importante avere sempre aggiornato e adeguatamente corredato il proprio “diario di bordo”, composto dai log non soltanto dei dispositivi di rete ma anche di tutti i sistemi che concorrono al funzionamento e alla sicurezza dell’azienda.
Avere traccia di queste informazioni per un tempo sufficiente (considerato che si possono rilevare attacchi ben più tardi di quanto siano incominciati, si è stimata una media di 24 giorni) è essenziale nel momento in cui deve svolgersi un’analisi per comprendere come agire nel contenimento ed eradicazione di un attacco cyber e studiarne il modus operandi e le vulnerabilità sfruttate per poter applicare le corrette remediation non appena rientra l’allarme.
Firewall: cos’è, come funziona e come configurarlo su Windows e Linux
Active Directory Hardening: mitigare i rischi nel dominio aziendale
Con il paradigma sopra esposto, rimane comunque la possibilità che un attaccante, una volta che ha rilevato una vulnerabilità e l’abbia sfruttata per superare le difese perimetrali, sia all’interno della rete e si adoperi per raggiungere i suoi obiettivi seguendo principalmente due strade: elevamento dei propri privilegi, allo scopo di guadagnarne a sufficienza per le proprie attività malevole, oppure movimento laterale, spostandosi su altre reti o altri sistemi alla ricerca di nuove opportunità.
Uno dei principali modi in cui si svolgono queste attività è tramite Active Directory, strumento tanto ubiquo e utile quanto complesso e propenso ad abusi di ogni genere.
Tanto più che gli attaccanti, di loro natura, preferiscono osservare questo vasto insieme di opportunità come un grafo connesso, formato dalle entità del dominio e legate da permessi, privilegi e concessioni; ai difensori, se non tentano di immedesimarsi nei loro avversari, restano le dettagliate tabelle e liste che non evidenziano però le eventuali brecce presenti nel dominio che qualcuno potrebbe sfruttare a proprio vantaggio.
Mantenere ordinate le share di rete, le group policy, utenti, gruppi, computer ed OU, è il primo passo lungo il percorso indicato dall’AD hardening, che mira ad identificare i rischi presenti in un dominio e a mitigarli opportunamente.
Threat Intelligence
Se le attività di monitoraggio e logging permettono in qualche modo di conoscere sé stessi, è altrettanto fondamentale conoscere il proprio nemico tramite le attività afferenti alla Threat Intelligence.
Gli esperti osservano costantemente le attività malevole sia a livello nazionale che globale, studiando gruppi criminali o militari, hacktivist e altri movimenti.
Questa conoscenza viene distillata nelle comunicazioni di CSIRT ed altri enti, nei report e nelle direttive, e si ripercuote sugli strumenti e servizi presenti sul mercato. Ma si possono prendere simili misure applicate nel contesto aziendale, come ad esempio un’attività di threat modeling, andando dunque a definire la tipologia di attori che possono avere interesse ad attaccare l’azienda, o le loro TTPs – Techniques, Tactics and Procedures – al fine di compiere scelte più ponderate sulla propria postura in ambito cyber.
Usare un DNS sicuro per contrastare i ransomware
Ogni dispositivo che comunica su una rete utilizzerà, prima o poi, il protocollo DNS (Domain Name System). Il nostro uso quotidiano ne è molto dipendente, dal momento che ci permette di scrivere in un browser “cybersecurity360.it” senza doversi ricordare che corrisponde a 108.156.60.75.
Questa ubiquità porta però a darne per scontato la presenza, oltre che a complicarne il suo monitoraggio, permettendo invece a un attore malevolo di approfittarne a piacimento. Questo avviene sia più direttamente, abusando quindi del protocollo DNS, non per risolvere domini ma bensì per esfiltrare dati o comunicare con server di Command&Control (C&C) e proseguire un attacco più articolato. I DNS vengono poi ovviamente anche utilizzati senza specifici abusi da malware, risolvendo gli IP dei server ai quali inviare dati o dai quali ricevere comandi e lancio di azioni specifiche.
Per mitigare questi rischi le moderne soluzioni di DNS sicuro permettono il monitoraggio delle richieste fatte da ogni dispositivo sia dentro che fuori il perimetro aziendale, ma soprattutto mantengono liste aggiornate di domini malevoli e ne bloccano immediatamente ogni risoluzione, risultando un efficace metodo di prevenzione di attacchi e un campanello d’allarme che può segnalare azioni malevole anche nei primissimi momenti di un’offensiva.
Tutte queste misure di sicurezza possono essere messe in campo per strutturare un insieme di protezioni sovrapposte, come strati di una cipolla, che consentano di avere sia sufficiente visibilità dei principali componenti di una infrastruttura sia, al contempo, di rendere difficile la vita a chi voglia sferrare un attacco cyber.
Questi due effetti vanno però efficientati, per far sì che la visibilità venga messa in uso e allerti in tempo tutte le misure controffensive e che si abbia chiaro quali rischi si stiano correndo.
