Appena una settimana dopo la chiusura della Colonial Pipeline a causa di un massiccio attacco ransomware, gli hacker ci riprovano. Secondo quanto riportato, venerdì scorso il servizio sanitario irlandese ha chiuso i propri sistemi informatici a seguito di un attacco ransomware mirato, mentre lo stesso giorno un'azienda chimica tedesca ha dovuto sborsare un riscatto di 4,4 milioni di dollari.
Stiamo già assistendo alle prime ripercussioni dell'attacco alla Colonial, con gli automobilisti americani di diversi Stati che non riescono a fare rifornimento a causa della carenza di carburante, e chissà quale sarà l'impatto su settori come quello dei viaggi e delle spedizioni nel prossimo futuro. Ora abbiamo un intero sistema sanitario nazionale colpito dai criminali informatici: non si tratta più solo di un problema tecnologico, ma di qualcosa di molto più grave.
Il ransomware nel settore sanitario è un'ulteriore prova della convergenza tra vita fisica e digitale, un impatto che potrebbe ridurre la qualità della vita e dell'assistenza di cui le persone hanno bisogno per vivere. Ma prima di abituarci a saltare giù dal letto e puntare il dito contro i centri operativi di sicurezza (SOC) oberati di lavoro ad ogni minimo accenno di violazione o attacco, mettiamo da parte per un attimo il gioco dello scaricabarile.
Se c'è un'entità all'interno di un'organizzazione che non vuole che accada qualcosa del genere, quella è il SOC. È anche incredibilmente probabile che il loro personale dirigenziale sia stato convinto dalle promesse di dare priorità alla prevenzione e agli avvisi di sicurezza, al punto che i SOC hanno una quota di avvisi di sicurezza da raggiungere e segnalare come parte del loro lavoro. Una cosa assurda da misurare, considerando che gli avvisi non equivalgono ad attacchi.
Gran parte del problema risiede nel fatto che troppi fornitori di soluzioni di sicurezza riempiono la sala di chiacchiere inutili sottolineando che gli avvisi sono la risposta. Ma non è così.
Alla ricerca di risposte
Director of Security Research nostro Director of Security Research, Nathan Einwechter, ha recentemente incontrato Security Boulevard per discutere dell'attacco alla Colonial Pipeline, affermando che, sebbene il gruppo responsabile dell'attacco "sia ben noto per il suo livello di sofisticazione e per la sua progressione intenzionale e lenta", nulla negli strumenti o nelle tattiche utilizzati nell'attacco era particolarmente nuovo o innovativo.
Ed è proprio questo l'aspetto più allarmante. Le tattiche utilizzate non sono nuove, eppure ci si aspetta che i team di sicurezza utilizzino gli stessi strumenti che sappiamo non funzionare, quando invece l'attenzione dovrebbe concentrarsi sulla fornitura di un supporto SOC migliore. Con il giusto supporto, saranno in grado di adeguare correttamente l'approccio complessivo al rilevamento e alla risposta.
Per andare davvero avanti e allontanarci dalla follia, dobbiamo imparare da questi incidenti e adottare un approccio diverso. Le organizzazioni dovrebbero partire dal presupposto che una violazione si verificherà e, quando ciò accadrà, questa sarà l'ennesima prova che non è possibile affidarsi esclusivamente agli endpoint per impedirla. Come menzionato nell'articolo di Security Boulevard, il gruppo responsabile dell'attacco a Colonial è noto per la sua lentezza, poiché spesso occorrono settimane o mesi prima che i suoi attacchi diventino distruttivi.
Non sappiamo per quanto tempo gli hacker siano rimasti all'interno, ma se gli aggressori sono presenti nel vostro ambiente controllando in remoto i vostri endpoint, muovendosi lateralmente per espandere l'accesso, raccogliendo informazioni, sottraendo dati o lavorando per raggiungere qualsiasi obiettivo si siano prefissati, come potete saperlo?
È importante riconoscere che gli aggressori non agiscono in modo evidente: non hanno bisogno di inviare exploit rumorosi attraverso la rete quando possono semplicemente rubare le credenziali per utilizzare i servizi amministrativi esistenti. Tutto questo ci riporta al supporto del SOC. Troppo spesso, questi reparti sono a corto di personale, con una visibilità insufficiente sui propri ambienti e generalmente non dispongono delle risorse necessarie per gestire il flusso di eventi che inevitabilmente proviene dai loro strumenti esistenti.
I SOC non falliscono per mancanza di intelligenza o perché non si impegnano abbastanza, ma perché le loro organizzazioni non forniscono loro le risorse e il supporto di cui hanno bisogno. Ciò include il supporto necessario per abbandonare il modo di operare standard e ormai superato, in cui ci si aspetta che gestiscano migliaia di eventi al giorno e riescano in qualche modo a individuare uno o due problemi critici. Si tratta di disporre di tempo e risorse sufficienti (formazione, politiche e strumenti) per affrontare qualsiasi questione urgente. Ma tenete presente che più a lungo un problema grave rimane irrisolto, più spesso ci aspettiamo di sentire questi racconti ammonitori: speriamo che stimolino l'azione e non l'indifferenza.