La recente serie di attacchi ransomware e il rilascio del nuovo ordine esecutivo per la sicurezza informatica prefigurano un maggiore controllo per le aziende che gestiscono infrastrutture critiche e dati personali.

Gli attacchi ransomware si verificano sempre più frequentemente: oltre all'attacco Colonial Pipeline, la scorsa settimana abbiamo assistito a un blocco dei sistemi sanitari irlandesi e alla compromissione di AXA Partners, dopo l'annuncio che le polizze assicurative di quest'ultima non avrebbero più coperto le richieste di riscatto per ransomware.

Attacchi come il Colonial Pipeline hanno profonde implicazioni nel mondo reale: milioni di persone senza servizi, milioni di fatturato perso, reputazioni macchiate, caos e disfunzione sociale generale, nonché aggressori pagati e liberi di raggiungere altri obiettivi. Gli attacchi ransomware sono una consuetudine da ormai oltre sette anni. Molte aziende, private e pubbliche, piccole e grandi, sono state vittime di tali attacchi.

Eppure continuano a sottovalutare il rischio di attacchi informatici, specialmente di ransomware. Perché, allora, il ransomware non è una priorità assoluta per tutti? Un precedente controllo del Colonial Pipeline ha mostrato gravi lacune di sicurezza e un ricercatore ha dichiarato: "Anche un alunno delle elementari avrebbe potuto hackerare il sistema".

Il recente ordine esecutivo sul miglioramento della sicurezza informatica nazionale e le più rigorose leggi sulla privacy quali RGPD e CPRA renderanno interessanti le implicazioni connesse a un furto di dati.

La risposta della Norsk Hydro a un attacco ransomware nel 2019 è stata un modello di cambiamento che ha mostrato il profondo desiderio di apprendere, migliorare e (soprattutto) proteggere i dati che l'azienda custodiva. L'attacco è stato il pretesto per ricostruire la sicurezza della rete dalla base utilizzando architetture zero trust che connettono gli utenti direttamente alle applicazioni e limitano il movimento laterale tra i sistemi monitorando i flussi di lavoro tra diverse dislocazioni cloud.

Il Colonial Pipeline farà da esempio?

Cosa abbiamo imparato dall'attacco Colonial?

Non era un attacco mirato ai Sistemi di controllo industriale (ICS) o alla tecnologia operativa (OT). A differenza dell'attacco Saudi Aramco del 2017, questo attacco non ha indizi che riconducano a danni fisici alle pipeline o al personale delle operazioni dello stabilimento colpito. È molto probabile che si tratti di un attacco che ha bloccato i sistemi IT che gestivano l'inventario operativo e la logistica.
Il pagamento del riscatto non ripristinerà le operazioni in tempo. Una strategia di backup e ripristino ben pianificata e testata può salvare la situazione. Pagare il riscatto non fa altro che incoraggiare ulteriori attacchi. Un piano d'azione urgente di 81 pagine fornito alla Casa Bianca nell'aprile 2021 da una task force pubblica evidenzia che l'arricchire i criminali del ransomware alimenta il il crimine a livello globale, terrorismo incluso.
Le compagnie assicurative stanno iniziando a escludere i pagamenti di riscatto. In evidente contesto di leader del settore, la compagnia assicurativa globale AXA , giovedi', in Francia, ha dichiarato che avrebbe smesso di emettere polizze assicurative sulla sicurezza informatica per rimborsare i clienti dei pagamenti estorti ed effettuati verso criminali ransomware (ed è poi stata prontamente colpita da un attacco ransomware).
Il governo degli Stati Uniti sta finalmente prendendo in considerazione la situazione. Il nuovo ordine esecutivo dell'amministrazione Biden richiede alle aziende di andare oltre l'approccio basato sulla conformità. "Entro 60 giorni dalla data di questo ordine, il capo di ogni agenzia federale elaborerà un piano per attuare architetture zero trust."
La prevenzione è molto meno costosa rispetto alla mitigazione delle conseguenze degli attacchi. È facile intuire come la perdita di introiti derivante da tempi di inattività non pianificati superi di gran lunga qualsiasi investimento nella difesa da tali attacchi.

Perché la risposta della Norsk Hydro a un attacco ransomware ha rappresentato il perfetto esempio da seguire?

Gli attacchi ransomware possono essere mitigati e prevenuti. Aziende come la Norsk Hydro hanno dovuto affrontare tali attacchi in passato e hanno condiviso la saggezza derivatane con il resto del mondo. Cosa hanno fatto?

Norsk Hydro non ha pagato il riscatto.
L'azienda ha comunicato la notizia dell'attacco ed è stata trasparente riguardo al suo piano di risposta.
Ha segnalato l'attacco alle autorità e ha lavorato a stretto contatto con il settore della sicurezza per prevenire attacchi ad altre società.
Norsk Hydro ha colto l'occasione per ricostruire, riprogettare e rafforzare sicurezza e infrastruttura.
L'azienda è consapevole della probabilità di futuri attacchi.

Anche con la migliore pianificazione, l'effettivo successo di un attacco è molto più difficile. Ad esempio, in Norsk Hydro non è stato possibile utilizzare nessuna delle stampanti per stampare le procedure di sicurezza per il personale dell'impianto.

"Se Hydro non avesse a quel tempo già spostato le comunicazioni su un servizio cloud gestito come O365, la situazione sarebbe stata più grave". - Chief Financial Officer (CFO), Eivind Kallevik.

Cosa dovrebbe fare la tua azienda per pianificare e prevenire gli attacchi ransomware?

Valuta il rischio aziendale dell'architettura IT e OT e riduci la superficie di attacco:

non accedere direttamente al monitoraggio delle minacce ICS senza analizzare l'intera superficie di attacco.
Poni le giuste domande durante la valutazione dell'approccio alla sicurezza. Hai una rete piatta? Le tue reti IT e OT condividono le stesse risorse (ad esempio controller di dominio)? Le soluzioni di sicurezza IT di diversi fornitori lavorano insieme in modo nativo (come il Secure Web Gateway che si integra con la sicurezza degli endpoint e la soluzione SIEM) per rompere la kill chain?
Considera la possibilità di estendere lo zero trust negli ambienti OT. Gli aggressori non possono accedere ai sistemi che non possono vedere su un Internet aperto.

Le reti OT con air gap non soddisfano le esigenze aziendali:

consenti l'accesso a Internet per le workstation ICS tramite isolamento del browser. I dipendenti ICS con due portatili possono creare complessità che porta a problemi di sicurezza.
Sostituisci le VPN con accesso alla rete zero trust (zero trust network access, ZTNA) utilizzando un approccio perimetrale definito da software per l'accesso remoto dei sistemi OT.

Applica la segmentazione:

Segmenta le reti di controllo, gestione e sensori IIoT negli ambienti OT.
Non mirare a una micro-segmentazione completa, poiché non ci sono tempi di inattività sufficienti sulla rete OT per implementarla. Proteggere l'intersezione tra OT e IT offrirà i maggiori vantaggi.

Utilizza il cloud a tuo vantaggio:

Impara dall'esperienza di Norsk Hydro e sposta tutte le funzioni sul cloud. Ciò consente un ripristino più rapido e una migliore protezione dei sistemi critici.
Secure Access Service Edge (SASE): l'implementazione basata su criteri di sicurezza è un modo semplice per ridurre la superficie e la complessità degli attacchi della rete ICS.

Nell'attacco SolarWinds, una password interna debole per il privileged software ha portato a un'enorme violazione dei dati e delle risorse di migliaia di imprese e organizzazioni governative, compromettendo la sicurezza nazionale. Le password condivise utilizzate nello stabilimento di elaborazione dell'acqua in Oldsmar hanno messo a rischio la vita di un'intera città.

Il recente ordine esecutivo dimostra l'impegno a migliorare la posizione di sicurezza delle infrastrutture critiche degli Stati Uniti. Poiché le società private ne gestiscono la gran parte, si spera che l'ordine si estenda anche a loro.

Le azioni delle aziende che gestiscono infrastrutture critiche influiscono su milioni di persone. Le aziende responsabili dell'infrastruttura critica devono utilizzare le procedure di sicurezza consigliate per garantire la sicurezza e il benessere pubblici.