Il 7 maggio 2021 è arrivata la notizia di un attacco ransomware DarkSide alla Colonial Pipeline, un importante oleodotto di carburante degli Stati Uniti che fornisce circa il 45% del diesel, della benzina e del carburante per aerei della costa orientale. In risposta all’attacco, la società ha chiuso il suo oleodotto per diversi giorni.
L’incidente è stato ampiamente riportato. Alcune indiscrezioni suggeriscono che la decisione di sospendere temporaneamente le operazioni è stata presa tanto per questioni finanziarie quanto per la sicurezza. Altre segnalazioni indicano problemi all’interno della rete IT dell’azienda che esistevano prima dell’incidente e che potrebbero aver contribuito alla vulnerabilità dell’azienda agli attacchi. Alcuni mettono in dubbio la mancanza di un dirigente dedicato responsabile della sicurezza informatica.
Il 9 e 10 giugno, l’amministratore delegato della Colonial Pipeline Joseph Blount è stato invitato a testimoniare a un’udienza del Comitato per la sicurezza interna della Camera. La testimonianza ufficiale della durata di quattro ore include diverse rivelazioni interessanti sull’attacco, nonché alcune importanti indicazioni per altre aziende che un giorno potrebbero trovarsi in una situazione simile.
Diamo uno sguardo ad alcune delle importanti lezioni di sicurezza evidenziate da questo attacco che i difensori possono portarsi a casa.
La necessità di dare priorità alla sicurezza
Sebbene la testimonianza non abbia espressamente affrontato la mancanza di una leadership dedicata alla sicurezza informatica presso l’azienda, questa è un’area che non può essere trascurata, specialmente in un’azienda grande e importante come la Colonial Pipeline.
Un responsabile della sicurezza delle informazioni (CISO) è un ruolo fondamentale, responsabile di garantire che le aziende dispongano di un programma di sicurezza completo, una visione strategica per la sicurezza informatica e un posto al tavolo decisionale dell’azienda.
La testimonianza della Colonial Pipeline al Senato ha rivelato che negli ultimi cinque anni sono stati investiti circa 200 milioni di dollari nell’IT, ma non è chiaro quanti di questi siano stati destinati alla sicurezza informatica.
Essere in grado di stabilire le priorità di sicurezza informatica per l’organizzazione, disporre di un budget sufficiente per implementarle e dell’autorità necessaria per far rispettare tali priorità sono una parte fondamentale della sicurezza di un’organizzazione.
Mentre i ruoli di CISO dedicati potrebbero non essere appropriati e necessari per ogni azienda, la disciplina e l’attenzione che un CISO porta all’ambiente lo sono.
Ciò significa che le aziende devono almeno investire e impegnarsi a disporre di un programma di sicurezza informatica e di un piano di risposta agli incidenti in atto. Questi dovrebbero comprendere tutto, dall’implementazione degli strumenti giusti e la creazione di una cultura della sicurezza, alla conoscenza dei passaggi da seguire nel caso in cui qualcosa vada storto.
Le impostazioni predefinite contano
Durante la testimonianza, è stato confermato che il punto di ingresso iniziale nella rete della Colonial Pipeline è stata una singola password rubata.
In questo caso, come in molti dei casi in cui il team di Sophos Rapid Response indaga, la colpa è dei servizi remoti. In particolare, gli aggressori hanno utilizzato la password rubata per ottenere l’accesso a un servizio VPN che non aveva l’autenticazione a più fattori (MFA) abilitata.
Sembra che la Colonial Pipeline ritenesse che questo profilo VPN non fosse in uso. Anche questa è una situazione che abbiamo già visto.
La società ha spiegato che la password rispettava severi requisiti di complessità anche se non era abilitata con l’MFA. Gli aggressori potrebbero aver ottenuto la password da una precedente violazione e avrebbero potuto tentare di usarla sperando che fosse valida sulla rete della Colonial Pipeline.
È importante ricordare che le vecchie violazioni possono costare care e, anche se potresti non esserne responsabile, possono comunque avere un impatto drammatico sulla tua organizzazione.
È qui che una solida cultura della sicurezza può aiutare.
Avere dipendenti consapevoli di come utilizzano le proprie credenziali può mitigare gli effetti degli errori di sicurezza di terze parti. Già che ci sei, puoi aiutarli fornendo loro un gestore di password che può essere utilizzato sia per il loro lavoro che per gli account personali.
Vale anche la pena impostare una regola che imponga che l’MFA debba essere attivo per impostazione predefinita e possa essere disabilitato solo da un’eccezione documentata. Sebbene la mancanza di MFA su questa VPN possa essere semplicemente dovuta a una configurazione errata, rimane un’opportunità di sicurezza mancata.
Questa è un’area in cui i CISO, o la leadership equivalente della sicurezza, possono impostare policy che consentono all’organizzazione di fare la cosa giusta per impostazione predefinita.
La prevenzione è l’ideale, ma il rilevamento è un must
Secondo gli investigatori, il primo segnale che gli aggressori nella rete è stato registrato il 29 aprile 2021. Ciò significa che gli aggressori sono rimasti all’interno della rete della Colonial Pipeline per almeno otto giorni prima dell’attacco ransomware del 7 maggio 2021.
La mancanza di visibilità da parte dell’azienda su ciò che gli intrusi stavano facendo in quei giorni è stato uno dei motivi per cui è stata decisa la chiusura dell’oleodotto. Ecco un estratto della dichiarazione dell’amministratore delegato:
“…in questo caso, ovviamente, era la preoccupazione che non avessimo davvero alcuna visione nei nostri sistemi IT o OT per comprendere il grado di corruzione e cifratura, e ci sono voluti davvero giorni anche con l’aiuto di esperti di livello mondiale [sic] della Mandiant per arrivarci, quindi di nuovo, ecco perché è stata presa quella decisione…”
Secondo il team di Sophos Rapid Response, il ransomware è spesso il primo segnale che avvisa le vittime del fatto che si è verificato un attacco.
Questo fa parte della progettazione. Molti degli odierni operatori di ransomware preferiscono agire in completa segretezza fino al momento di rilasciare il payload finale. Hanno violato la tua rete, stabilito la persistenza, guadagnato privilegi elevati, esfiltrato i tuoi dati e solo allora hanno distribuito il ransomware. Questo può richiedere ore, giorni o mesi. Infatti, secondo l’Active Adversary Playbook 2021 di Sophos, il tempo medio di permanenza degli aggressori è di 11 giorni, con picchi di sei o più mesi per alcune aziende.
Il fatto che la Colonial Pipeline non avesse la visibilità necessaria per capire quanto la rete fosse stata violata è, purtroppo, un problema comune a molte aziende.
I programmi di sicurezza informatica sono essenziali, ma lo sono anche gli strumenti per abilitarli. Gli strumenti di rilevamento e risposta degli endpoint (EDR) sono inestimabili, non solo per prevenire gli attacchi, ma anche per consentire alla tua organizzazione di cercare minacce latenti.
Ricorda, solo perché il tuo software di sicurezza ha rilevato e bloccato una minaccia, ciò non significa che il lavoro sia finito. Potrebbe esserci un problema più grande in agguato da scoprire nella tua rete.
Un piano in caso di fallimento
Essendo una grande azienda di infrastrutture critiche, la Colonial Pipeline non è estranea ai piani di risposta alle emergenze. Non c’è dubbio che abbia piani completi per guasti fisici di ogni tipo, dalle rotture delle condutture alle intrusioni nella sicurezza fisica. Tuttavia, la posizione dell’azienda sembra meno solida quando gli viene chiesto dei piani di risposta per gli incidenti di sicurezza informatica, sebbene abbia affermato di aver utilizzato servizi di penetration test esterni.
Questo è importante. Le organizzazioni di tutte le dimensioni dovrebbero eseguire una sorta di valutazione dei propri controlli di sicurezza. Alcune delle valutazioni possono essere effettuate internamente, ma dovrebbero anche essere supportate da una consulenza esterna. Tra i rischi di affidarsi esclusivamente agli audit interni c’è una miopia sulle tue capacità e una tolleranza al compromesso perché “è sempre stato così”.
Dopo le tue valutazioni, dovrai elaborare piani per a) migliorare le aree in cui sei più debole, b) preparare un piano per quando le cose andranno male e c) testare le tue difese rispetto ai miglioramenti e al piano di risposta.
Mi viene in mente un’organizzazione che mi ha parlato dei loro esercizi trimestrali a tavolino, in cui simulavano e lavoravano su problemi IT per valutare la loro prontezza e imparare come rafforzare i loro piani esistenti. Durante uno di questi esercizi, hanno simulato un attacco ransomware contro la loro infrastruttura e hanno adattato il loro piano di risposta in base a quanto appreso dall’esercizio.
Poco dopo l’esercitazione, hanno subito un enorme guasto alla rete di archiviazione (SAN). Ironia della sorte, l’errore della SAN si è presentato molto simile a un attacco ransomware e, poiché avevano eseguito l’esercizio, sapevano esattamente come rispondere rapidamente e riprendersi dall’incidente.
Non sai mai quando o come qualcosa andrà storto ed essere preparati in modo dimostrabile è l’unico modo per ridurre al minimo le interruzioni e i tempi di inattività.
La condivisione è la cura
Un’altra domanda interessante emersa durante le audizioni è se la Colonial Pipeline partecipa a un Centro di condivisione e analisi delle informazioni (ISAC). La società ha risposto di sì.
I centri di condivisione e analisi delle informazioni (ISAC) aiutano i proprietari e gli operatori di infrastrutture critiche a proteggere le loro strutture, il personale e i clienti da minacce alla sicurezza fisica e informatica e da altri pericoli. Gli ISAC raccolgono, analizzano e diffondono informazioni sulle minacce attuabili ai propri membri e forniscono loro gli strumenti per mitigare i rischi e migliorare la resilienza.
Gli ISAC sono composti da aziende operanti nello stesso settore che si supportano a vicenda condividendo importanti e rilevanti informazioni sulle minacce. Sebbene gli ISAC tendano a concentrarsi principalmente sull’infrastruttura strategica, ciò non significa che tu non possa partecipare a un (o avviare il tuo) gruppo equivalente.
Ad esempio, Sophos partecipa a numerose iniziative di condivisione di alto profilo, tra cui CompTIA ISAO, Global Cyber Alliance (GCA) e Cyber Threat Alliance (CTA). L’obiettivo è aumentare la resilienza contro gli attacchi, fornendo una migliore protezione attraverso una condivisione collettiva delle informazioni.
Questi gruppi di condivisione non devono nemmeno essere specifici del settore, puoi anche partecipare a gruppi locali, come i molti gruppi DEF CON locali. Possiamo anche sfruttare i consigli pubblicati da agenzie governative che hanno sviluppato linee guida basate su anni di protezione di informazioni altamente sensibili, come CISA, NCSC e ASD.
In conclusione, come abbiamo sperimentato nella pandemia, la nostra migliore prospettiva per sconfiggere i criminali informatici passa attraverso uno sforzo informato e collettivo.
La Colonial Pipeline si impegna a condividere il rapporto Mandiant non appena completato. Speriamo che onorino davvero questo impegno e tutti noi possiamo imparare dalla loro esperienza.
Raramente il riscatto paga
Spesso ci viene chiesto se sia giusto che le aziende paghino il riscatto e come possiamo fermare questo flagello. La risposta a entrambe queste domande, come a tanti quesiti sulla sicurezza, è: è complicato.
La Colonial Pipeline ha dichiarato di aver pagato il riscatto per aiutare l’azienda a riprendersi il più velocemente possibile. Purtroppo molte aziende si trovano in questo scenario e la decisione di pagare o non pagare è spesso dettata da molti fattori.
Ad esempio, ci sono molti esempi di aziende che sono state costrette a pagare un riscatto perché i loro backup erano corrotti o mancanti. Un semplice test avrebbe potuto stabilire la disponibilità e l’efficacia di quei backup.
Altre scelgono di pagare per riportare online la rete il più rapidamente possibile, e alcuni hanno scelto di pagare perché era più economico del costo del ripristino. Altri ancora scelgono di pagare per evitare di avere dati esfiltrati venduti o esposti pubblicamente.
Poiché il costo del ransomware continua ad aumentare di anno in anno, le aziende devono far fronte a costi crescenti sia per l’importo del riscatto che per le spese di recupero. Ecco perché avere un piano di ripristino degli incidenti e testarne l’efficacia è così importante.
Secondo il report The State of Ransomware 2021 di Sophos, le aziende che hanno pagato il riscatto hanno recuperato, in media, solo il 65% dei loro dati. Solo l’8% delle aziende è riuscito a recuperare tutti i propri dati e il 29% ha recuperato meno della metà. Inoltre, dopo il recupero, devi ancora eseguire il lavoro di riparazione per affrontare il danno e l’interruzione causati dall’attacco e assicurarti che ciò non accada di nuovo.
Detto questo, la decisione di pagare o meno è a discrezione della vittima, ma la prevenzione e la preparazione possono rendere tale decisione molto più chiara.
Inoltre, in primo luogo stiamo ancora lottando con un modo per impedire che gli attacchi ransomware si verifichino. Una soluzione ovvia è rendere più difficile per i criminali penetrare nelle nostre reti implementando tecnologie avanzate di prevenzione e rilevamento.
C’è poi la questione degli incentivi e della deterrenza. I possibili guadagni finanziari per i criminali ransomware attualmente superano la paura di essere catturati e perseguiti. Questa mancanza di deterrenza e punizione ha permesso a questi criminali di diventare più audaci nelle loro operazioni.
Per avere successo avremo bisogno di un forte partenariato pubblico e privato, insieme a diplomazia e legislazione, e un quadro etico che garantisca che la vita delle persone non sia messa a repentaglio. La dichiarazione del G7 pubblicata il 13 giugno è un inizio, ma bisognerà aspettare e vedere come verrà attuata e quali sono le sanzioni per il mancato rispetto.
Chiedere aiuto
Se la tua organizzazione non ha le competenze interne per gestire efficacemente la sicurezza e gli incidenti di sicurezza, ci sono molti partner a cui puoi rivolgerti che possono aiutarti. Parte della risoluzione di questo problema è riconoscere quali competenze possiedi rispetto a quelle che potrebbero funzionare meglio se esternalizzate.
Si è parlato molto di una carenza di competenze in materia di sicurezza informatica che impedisce alle aziende di mantenere un alto livello di preparazione. La realtà è che ciò che è necessario per costruire una solida base di sicurezza non richiede un cyber-ninja altamente qualificato. Ad esempio, garantire che tutti i tuoi sistemi, servizi e applicazioni siano corretti è qualcosa che può essere fatto facilmente dai professionisti IT più competenti e contribuisce notevolmente alla tua posizione difensiva.
Man mano che sorge la necessità di competenze più complesse, non aver paura di chiedere aiuto. Esistono servizi come il servizio Sophos Managed Threat Response progettati per supportare le organizzazioni che non possono farlo da sole o semplicemente hanno bisogno di un piccolo aiuto in più da un team d’élite di cacciatori di minacce.
Non devi farlo da solo, né dovresti.
Un percorso verso una sicurezza più forte
Non dovrebbe essere necessario un attacco per la tua organizzazione per correre ai ripari. Prenditi del tempo ora per valutare le tue policy di sicurezza e agisci immediatamente per migliorare dove puoi.
In sintesi, il tuo percorso verso una migliore sicurezza inizia con:
- Dare priorità alla sicurezza in modo che tutti i membri dell’azienda comprendano il proprio ruolo nel mantenere un’organizzazione sicura
- Fornire al team di sicurezza l’autorità e un budget ragionevole per raggiungere i propri obiettivi
- Utilizzare modalità “protette per impostazione predefinita” per tutte le tue implementazioni e operazioni
- Assicurarti di avere visibilità su ogni aspetto della tua organizzazione in modo da poter individuare i problemi prima che diventino emergenze conclamate
- Mettere a punto un piano per quando sarà necessario riprendersi da un grave attacco malware. Non solo ti renderà più resiliente, ma ridurrà anche i tempi e abbasserà i costi di recupero
- Partecipare alla comunità della sicurezza condividendo i tuoi successi e fallimenti. Non solo ne trarrai beneficio, ma aiuterai anche gli altri
- Se sei una vittima, concentrati sul recupero e sulla riparazione, piuttosto che sull’arricchimento dei criminali informatici (se può essere evitato)
- Non esitare a chiedere aiuto prima di averne bisogno. Sarai felice di averlo fatto
Alla fine, l’FBI è stata in grado di recuperare alcuni dei bitcoin che l’azienda aveva pagato nel DarkSide, il che è un’ottima notizia, ma ancora non riesce a sbloccare la rete né a riparare il danno procurato.