Parte del lavoro dei leader della cybersecurity consiste nell'esaminare eventi discreti e unire i puntini. Discernere gli schemi, inquadrare un quadro più ampio e andare oltre gli avvertimenti di pericolo, verso strategie per un futuro digitale più luminoso. L'attacco ransomware di Kaseya che si è verificato durante il fine settimana del 4 luglio, per quanto terribile, rappresenta un'opportunità per unire i punti.
L'attacco di Kaseya ha colpito migliaia di vittime, la maggior parte delle quali, secondo il rapporto sui danni di Kaseya, sono organizzazioni più piccole con portafogli più sottili: "studi dentistici, studi di architettura, centri di chirurgia plastica, biblioteche, cose del genere". Tuttavia, per gli aggressori aveva senso dal punto di vista economico, perché Kaseya fungeva da efficiente centro di distribuzione per il loro software di veleno. Kaseya VSA, l'offerta SaaS di automazione IT ampiamente utilizzata dall'azienda, è diventata l'inconsapevole sistema di distribuzione al servizio dei black hat.
Sconvolgente? Tutt'altro. È la stessa strategia evidente nell'attacco a SolarWinds alla fine del 2020. Anche in quel caso, l'infiltrazione di un fornitore SaaS ha colpito un lungo elenco di obiettivi. E l'apparente colpevole dell'attacco a Kaseya, il REvil legato alla Russia, è anche ritenuto responsabile dell'attacco ransomware del Memorial Day contro l'azienda internazionale di lavorazione della carne JBS.
Unisci i puntini. Le conclusioni si scrivono da sole:
- Il dirottamento dei provider SaaS rende conveniente il lancio di attacchi di massa su obiettivi di piccole dimensioni.
- Affidarsi alle tradizionali strategie di prevenzione degli attacchi ha portato, più volte, a una costosa e umiliante sconfitta. Malware penetra regolarmente nei perimetri degli obiettivi senza essere individuato.
- La maggior parte di noi non sta rivedendo la propria posizione di preparazione informatica con la metà dell'urgenza ora appropriata. Le analogie tra gli attacchi di SolarWinds, Colonial Pipeline, JBS e Kaseya sono abbastanza chiare. Ci offrono una chiara curva di apprendimento da scalare. In generale, non stiamo reagendo.
La procrastinazione ha il suo fascino e forse è la natura umana. Ma è meglio investire nella preparazione che nella gestione postuma delle crisi. Dopo l'attacco di SolarWinds, Vectra ha intervistato 1.112 professionisti della sicurezza che lavorano in organizzazioni di medie e grandi dimensioni. Un dato fondamentale:
"[Un] alto livello di fiducia è stato rivelato tra i team di sicurezza nell'efficacia delle misure di sicurezza della propria azienda: quasi 4 su 5 affermano di avere una visibilità buona o molto buona sugli attacchi che aggirano le difese perimetrali come i firewall".
In realtà, sappiamo che nessuna applicazione, rete o data center è invulnerabile. Se i responsabili delle decisioni di un'organizzazione nutrono un falso senso di sicurezza sulla loro capacità di respingere gli hacker, è probabile che non siano dotati degli strumenti necessari per avere successo.
L'attacco di Kaseya ci ricorda ancora una volta che la compiacenza può avere un prezzo terribile. Poiché il rischio di danni non è più limitato alle grandi imprese con tasche profonde, l'incidente dovrebbe innescare nuove discussioni sulla sicurezza in molti dipartimenti IT. Si dovrebbero esaminare nuovamente i rapporti di abbonamento SaaS e le politiche di sicurezza dei fornitori di servizi gestiti; quando l'azienda si affida a prodotti come Kaseya VSA, la sicurezza è pari a quella del fornitore. Man mano che le aziende si affidano all'archiviazione dei dati e alle soluzioni SaaS esternalizzate nel cloud, le vulnerabilità possono aumentare.
L'anno scorso abbiamo detto che ci sarebbero voluti mesi per capire l'intera portata dei danni dell'attacco SolarWinds; ora stiamo dicendo esattamente lo stesso dell'attacco ransomware Kaseya. Ciononostante, dovremmo essere ottimisti sul fatto che noi, come società digitale, riusciremo a collegare i punti e a invertire la tendenza. Per anni abbiamo compreso le virtù di un solido monitoraggio della rete e di un rapido rilevamento delle inevitabili violazioni. L'ordine esecutivo del presidente Biden del maggio 2021 rende prioritario per il governo federale il rilevamento degli attacchi e migliori capacità investigative e di bonifica. Invito i leader aziendali di tutto il mondo a rispondere all'attacco ransomware di Kaseya accelerando la migrazione verso una strategia di cybersecurity più efficace.
La calamità di Kaseya potrà un giorno essere ricordata come un punto di svolta che ha portato alla fine a una migliore postura di sicurezza. Se questo avverrà, i pirati informatici ci avranno reso un servizio improbabile e non voluto.