Appena una settimana dopo la chiusura del Colonial Pipeline a causa di un massiccio attacco ransomware, gli aggressori ci riprovano. Si apprende ora che il servizio sanitario irlandese ha chiuso i suoi sistemi informatici venerdì scorso in seguito a un attacco mirato di ransomware, mentre un'azienda chimica in Germania ha dovuto pagare un riscatto di 4,4 milioni di dollari lo stesso giorno.
Stiamo già vedendo le prime ramificazioni dell'attacco a Colonial, dato che gli automobilisti americani in diversi Stati non sono in grado di riempire i loro serbatoi di benzina a causa di una carenza di carburante, e chissà come questo avrà un impatto su settori come i viaggi e le spedizioni nel prossimo futuro. Ora il sistema sanitario di un intero Paese è stato colpito da criminali informatici: non si tratta più solo di un problema tecnologico, ma di un problema molto più grande.
Il ransomware nel settore sanitario è un'ulteriore prova della convergenza tra vita fisica e digitale, un impatto che può ridurre la qualità della vita e delle cure di cui le persone hanno bisogno per vivere. Ma prima di abituarci a saltare dal letto e a puntare il dito contro i centri operativi di sicurezza (SOC) sovraccarichi a ogni accenno di violazione o attacco, mettiamo da parte il gioco delle colpe per un attimo.
Se c'è un'entità all'interno di un'organizzazione che non vuole che accada qualcosa del genere, è il SOC. È anche incredibilmente probabile che il loro C-staff sia stato convinto delle promesse di dare priorità alla prevenzione e agli avvisi di sicurezza, al punto che i SOC hanno una quota di avvisi di sicurezza da raggiungere e da riferire come parte del loro lavoro. Una cosa assurda da misurare, considerando che gli allarmi non equivalgono agli attacchi.
Gran parte del problema è che troppi venditori di sicurezza riempiono la stanza di aria fritta affermando che gli avvisi sono la risposta. Non è così.
Alla ricerca di risposte
Il nostro Director of Security Research, Nathan Einwechter, ha recentemente parlato con Security Boulevard per discutere dell'attacco al Colonial Pipeline, affermando che mentre il gruppo dietro l'attacco "è ben noto per il suo livello di sofisticazione e per la sua progressione lenta e intenzionale", nulla degli strumenti o delle tattiche utilizzate nell'attacco era particolarmente nuovo o inedito.
Ed è proprio questo l'aspetto più allarmante. Le tattiche utilizzate non sono nuove, eppure ci si aspetta che i team di sicurezza sfruttino gli stessi strumenti che sappiamo non funzionare, quando invece l'attenzione dovrebbe essere rivolta a fornire un migliore supporto al SOC. Con il giusto supporto, saranno in grado di adattare correttamente l'approccio generale al rilevamento e alla risposta.
Per andare veramente avanti e allontanarsi dalla follia, dobbiamo imparare da questi incidenti e applicare un approccio diverso. Le organizzazioni devono partire dal presupposto che una violazione si verificherà e quando si verificherà, questa è ancora una volta la prova che non ci si può affidare esclusivamente agli avvisi endpoint per fermarla. Come si legge nell'articolo di Security Boulevard, il gruppo dietro l'attacco Colonial è noto per la sua progressione lenta, che spesso richiede settimane o mesi prima di diventare distruttiva.
Non sappiamo per quanto tempo gli hacker siano rimasti all'interno, ma se gli aggressori si trovano nel vostro ambiente controllando da remoto i vostri endpoint, spostandosi lateralmente per ampliare l'accesso, raccogliendo informazioni, esfiltrare dati o lavorando per qualsiasi obiettivo siano determinati a raggiungere, come farete a saperlo?
È importante riconoscere che gli aggressori non fanno mosse ovvie: non hanno bisogno di inviare exploit rumorosi via cavo quando rubare le credenziali per utilizzare i servizi amministrativi esistenti va benissimo. Tutto ciò si ricollega al supporto del SOC. Troppo spesso, infatti, i SOC sono privi di personale, hanno una visibilità insufficiente sui loro ambienti e, in generale, non hanno le risorse necessarie per inseguire la marea di eventi che inevitabilmente escono dai loro strumenti esistenti.
I SOC non stanno fallendo per mancanza di intelligenza o di impegno, ma sono le loro organizzazioni a non fornire le risorse e il supporto di cui hanno bisogno. Questo include il supporto per abbandonare il modo di operare standard e scorretto, in cui ci si aspetta che gestiscano migliaia di eventi al giorno e che trovino in qualche modo uno o due problemi critici. Si tratta di disporre di tempo e risorse sufficienti (formazione, politiche e strumenti) per affrontare qualsiasi problema urgente. Ma tenete presente che più a lungo il problema più grande non viene affrontato, più frequentemente ci aspetteremo di sentire queste storie di ammonimento: speriamo che spingano all'azione, non all'indifferenza insensibile.