Parte del lavoro dei responsabili della sicurezza informatica consiste nell'osservare eventi distinti e collegare i punti. Individuare modelli, delineare un quadro più ampio e andare oltre i terribili avvertimenti, verso strategie per un futuro digitale più luminoso. L'attacco ransomware Kaseya che si è verificato durante il weekend del 4 luglio, per quanto terribile, rappresenta un'importante opportunità per collegare i punti.
L'attacco a Kaseya ha colpito migliaia di vittime, la maggior parte delle quali, secondo il rapporto sui danni di Kaseya, erano organizzazioni più piccole con risorse finanziarie limitate: "studi dentistici, studi di architettura, centri di chirurgia plastica, biblioteche e simili". Ciononostante, l'attacco ha avuto un senso dal punto di vista economico per gli aggressori, poiché Kaseya ha fungito da efficiente centro di distribuzione per il loro software dannoso. Kaseya VSA, l'offerta SaaS di automazione IT ampiamente utilizzata dall'azienda, è diventata inconsapevolmente il sistema di distribuzione al servizio dei black hat.
Scioccante? Niente affatto. È la stessa strategia utilizzata nell'attacco SolarWinds alla fine del 2020. Anche in quel caso, l'infiltrazione di un fornitore SaaS ha causato danni a una lunga lista di obiettivi. E il presunto responsabile dell'attacco a Kaseya, il gruppo REvil legato alla Russia, è ritenuto responsabile anche dell'attacco ransomware del Memorial Day ai danni dell'azienda internazionale di lavorazione della carne JBS.
Collega i puntini. Le conclusioni si scrivono da sole:
- I provider SaaS che effettuano dirottamenti rendono conveniente il lancio di attacchi di massa su obiettivi di piccole dimensioni.
- Affidarsi alle tradizionali strategie di prevenzione degli attacchi ha portato, più volte, a costose e umilianti conseguenze. Malware penetra Malware nei perimetri degli obiettivi senza essere rilevato.
- La maggior parte di noi non sta rivedendo la propria posizione in materia di preparazione informatica con la metà dell'urgenza che sarebbe ora opportuno. Le somiglianze tra gli attacchi a SolarWinds, Colonial Pipeline, JBS e Kaseya sono abbastanza evidenti. Ci offrono una chiara curva di apprendimento da scalare. Nel complesso, non stiamo reagendo.
La procrastinazione ha il suo fascino, e forse è nella natura umana. Ma è meglio investire nella preparazione piuttosto che nella gestione postuma delle crisi. Dopo l'attacco a SolarWinds, Vectra ha intervistato 1.112 professionisti della sicurezza che lavorano in organizzazioni di medie e grandi dimensioni. Una scoperta fondamentale:
"È emerso un elevato livello di fiducia tra i team di sicurezza nell'efficacia delle misure di sicurezza adottate dalla propria azienda: quasi 4 su 5 dichiarano di avere una buona o ottima visibilità sugli attacchi che aggirano le difese perimetrali come i firewall".
In realtà, sappiamo bene che nessuna applicazione, rete o data center è invulnerabile. Se i responsabili delle decisioni di un'organizzazione nutrono un falso senso di sicurezza riguardo alla loro capacità di respingere gli hacker, probabilmente non dispongono degli strumenti necessari per avere successo.
L'attacco a Kaseya è l'ennesimo promemoria del fatto che l'autocompiacimento può costare caro. Poiché il rischio di danni non è più limitato alle grandi aziende con ingenti risorse finanziarie, l'incidente dovrebbe dare il via a nuove discussioni sulla sicurezza in un numero maggiore di reparti IT. È necessario un nuovo esame delle relazioni di abbonamento SaaS e delle politiche di sicurezza dei fornitori di servizi gestiti; quando la vostra azienda si affida a prodotti come Kaseya VSA, la vostra sicurezza dipende da quella del vostro fornitore. Man mano che le aziende diventano più dipendenti dall'archiviazione dei dati e dalle soluzioni SaaS esternalizzate al cloud, le vulnerabilità potrebbero aumentare.
L'anno scorso abbiamo affermato che ci sarebbero voluti mesi per comprendere la portata totale dei danni causati dall'attacco SolarWinds; ora stiamo dicendo esattamente lo stesso riguardo all'attacco ransomware Kaseya. Ciononostante, dovremmo essere ottimisti sul fatto che noi, come società digitale, riusciremo a collegare i puntini e a invertire questa tendenza. Da anni comprendiamo i vantaggi di un monitoraggio robusto della rete e di un rilevamento rapido delle inevitabili violazioni. L'ordine esecutivo del presidente Biden del maggio 2021 rende il rilevamento degli attacchi e il miglioramento delle capacità investigative e di riparazione delle priorità per il governo federale. Esorto i leader aziendali di tutto il mondo a rispondere all'attacco ransomware Kaseya accelerando la migrazione verso una strategia di sicurezza informatica più efficace.
La calamità Kaseya potrebbe un giorno essere ricordata come un punto di svolta che ha portato alla creazione di un sistema di sicurezza più efficace. Se così fosse, i pirati informatici ci avrebbero reso un servizio inaspettato e involontario.