Questo articolo fa parte di una serie che mira a educare i professionisti della sicurezza informatica sulle lezioni apprese dalle vittime di violazioni. Ogni lezione includerà semplici consigli, molti dei quali non richiedono alle aziende di acquistare alcuno strumento.
Il mondo della sicurezza informatica è incredibilmente dinamico e si svolge come una gigantesca partita a scacchi in tutto il mondo, con mosse, contromosse e un insieme di giocatori in continua evoluzione. Se disponi di un qualsiasi tipo di tecnologia informatica nella tua organizzazione, non hai altra scelta che giocare anche tu! Ma il gioco non è a tuo favore. I tuoi avversari sono attivi a tutte le ore del giorno, tutti i giorni dell’anno. Possono essere ovunque nel mondo, nascondere le loro mosse e sono sempre alla ricerca di punti deboli nella tua difesa; e useranno persino i tuoi pezzi contro di te.
Nel mondo reale questo significa che anche le tue capacità di difesa informatica devono funzionare a tutte le ore del giorno. Devi individuare le tue debolezze e porvi rimedio prima che un avversario le trovi. Devi anche essere consapevole di cosa potrebbe fare l’avversario se trova un tuo punto debole.
Patching
L’applicazione di patch al sistema operativo e alle applicazioni è importante e deve essere continua, ma farlo sui tuoi sistemi pubblici è fondamentale. Secondo il Sophos Active Adversary Playbook 2021, lo sfruttamento delle applicazioni rivolte al pubblico è una delle prime cinque tecniche utilizzate per ottenere l’accesso iniziale durante una violazione. Esempi recenti di alto profilo includono gli exploit di Microsoft Exchange ProxyLogon (alias Hafnium) e ProxyShell e una vulnerabilità di Confluence che è stata sfruttata entro una settimana dalla divulgazione durante il fine settimana festivo della Festa dei lavoratori degli Stati Uniti. Anche quest’anno sono state sfruttate le soluzioni di Virtual Private Network (VPN) di diverse importanti aziende. WordPress, l’applicazione alla base di molti siti Web, ne è una vittima costante.
L’unica vera soluzione è disporre di un solido inventario dei propri sistemi pubblici, monitorare le possibili vulnerabilità e correggerle non appena possibile. Non aspettare la notizia di un exploit o di un fornitore che ha emesso una notifica di CVE (Common Vulnerability and Exposure): Microsoft ha fornito patch per Exchange ad aprile e maggio 2021 contro ProxyShell, ma notoriamente non ha rivelato le vulnerabilità fino al 13 luglio, portando molti a pensare che le patch non fossero importanti.
Il panorama delle minacce
Tenere il passo con le tattiche, le tecniche e le procedure più recenti degli autori di minacce è una parte importante della tua difesa. Conosci il tuo nemico. Se vedi una storia sulle credenziali di 500.000 utenti VPN trapelate sul dark web e utilizzi la stessa tecnologia VPN, esaminala. Se hai letto di Exchange sfruttato per la distribuzione di ransomware e usi un server Exchange, indaga ulteriormente.
Alcune risorse suggerite sono elencate di seguito:
- https://www.bleepingcomputer.com
- https://us-cert.cisa.gov
- https://www.ncsc.gov.uk/section/keep-up-to-date/reports-advisories
- https://www.cyber.gov.au
- https://news.sophos.com
- https://nakedsecurity.sophos.com
Shadow IT
Non è insolito per il lato “business” di un’organizzazione aggirare l’IT e implementare una soluzione autonomamente, nota come “Shadow IT”. Le persone potrebbero voler evitare un esame accurato o accelerare un progetto, o potrebbe essere che l’IT abbia detto “no” quindi si stia cercando di trovare un altro modo. Anche se la soluzione Shadow IT non è stata approvata, ciò non significa che possa essere ignorata. Assicurati che sia completamente isolata o riportala sotto il tuo controllo. Lavorare a stretto contatto con l’azienda per trovare soluzioni di successo aiuta a prevenire lo Shadow IT, ma è anche necessario monitorare nuovi sistemi e applicazioni che potrebbero lasciarti esposto.
Consapevolezza costante della situazione
Potresti essere molto a tuo agio con la situazione attuale della tua sicurezza. Ma basta un solo account compromesso, una modifica innocente del firewall o un exploit zero-day per consentire a un cyber criminale di fare breccia. E anche se l’avversario potrebbe trovare questo accesso durante il tuo orario di lavoro, aspetterà e lo utilizzerà quando il tuo livello di guardia si è abbassato. Un recente alert di sicurezza dell’FBI e della CISA ha avvertito le organizzazioni che i rischi di attacco sono maggiori nei giorni festivi e nei fine settimana, citando come esempi violazioni di alto profilo di Colonial Pipeline, JBS e Kaseya. Come notato sopra, Confluence è stata sfruttata all’inizio del fine settimana festivo del Labor Day negli Stati Uniti.
Consigliamo alle organizzazioni di cercare un servizio gestito in grado di affrontare una violazione al posto loro alle 2 del mattino del sabato di un lungo weekend. Uno che abbia consapevolezza della situazione globale e possa tradurla nel miglioramento del grado di esposizione ai rischi dell’azienda. Assicuratevi di selezionare un fornitore in grado di agire, non solo di avvisare, a meno che vogliate fare pratica di difesa (e abbiate l’esperienza per farlo) mentre cercate di godervi un po’ di tempo libero lontano dall’ufficio.