Il 2020 è stato un anno sfidante per chiunque si occupi di Cybersecurity. Il quadro pandemico dovuto al virus Sars-Cov-2, l’attacco a Solarwind e l’introduzione di nuovi modelli di business per i player del mondo Ransomware ha creato una miscela esplosiva difficile da mitigare o da disinnescare.
Da un giorno all’altro, la pandemia ha costretto il rapido passaggio al lavoro a distanza, con una transizione verso il Cloud tutt’altro che morbida. Alcune aziende hanno dovuto implementare progetti di trasformazione nel giro di una o due settimane (e no, non sto esagerando).
Tutti noi abbiamo sicuramente visto un MEME o una vignetta molto simile a quello che trovate di seguito, e credo che rappresenti molto bene la situazione che moltissime realtà si sono trovate a sperimentare.
Il passaggio repentino al Cloud, sia esso in forma di SaaS, PaaS o IaaS, congiuntamente al massiccio uso di soluzioni di lavoro remoto (e.g.: VPN) e all’uso di postazioni personali per scopi professionali ha ovviamente comportato un’espansione della superficie d’attacco che non si è potuta tenere sotto controllo.
Ricordo un carissimo amico, CIO di un’organizzazione medio grande dirmi “Antonio, avevo in ballo il refresh delle workstation, ho dovuto convertirlo in un ordine di laptop e token (per MFA). E il tutto ho dovuto farlo con l’ordine delle workstation praticamente in transito.”
E se da un lato la superficie d’attacco è diventata improvvisamente molto più ampia, dall’altro gli attaccanti non hanno smesso di ricordarci come ci siano ancora molti aspetti a cui guardiamo poco e che sono tremendamente fragili: Solarwind è stato l’ennesimo esempio di un attacco alla Supply Chain. Non si tratta di nulla di nuovo, sono tutte cose già viste (basti ricordare NotPetya nel Giugno 2017). Altro esempio recente è l’attacco verso CodeCove.
Come se non bastasse anche il mondo Ransomware ha visto enormi evoluzioni, il modello as a service è stato abbracciato pienamente con l’introduzione del servizio RaaS per l’appunto (Ransomware as a Service) e l’introduzione di quello che è stato battezzato come quadruple extortion model:
- Single: ransom per riprendere il controllo sui propri sistemi decifrando i dati;
- Double: ransom per evitare che i dati cifrati vengano rilasciati pubblicamente e che la notizia diventi pubblica;
- Triple: la minaccia o l’esecuzione di un DDoS, generalmente in fase di negoziazione per influenzare la vittima a pagare;
- Quadruple: mail verso i clienti dell’azienda compromessa o utilizzo di call center per contattare la vittima durante la fase di negoziazione.
Il 2020 ha visto gruppi come Avaddon, che recentemente ha chiuso i battenti dopo molti attacchi condotti con successo, o come Darkside, responsabile del recente attacco a Colonial Pipeline.
Una nuova ricerca, sponsorizzata da Splunk e pubblicata recentemente in The State of Security 2021, fornisce un primo sguardo al panorama post-SolarWinds. C’è ancora molto da fare, ma ci sono ragioni per cui provare ad essere ottimisti.
I ricercatori dell’Enterprise Strategy Group (ESG), in collaborazione con Splunk, hanno intervistato più di 500 leader della sicurezza e IT in tutto il mondo solo due mesi dopo la scoperta degli attacchi SolarWinds. I dati sembrano mostrare come le organizzazioni non hanno ancora capito il rischio di uno degli attacchi alla supply chain visti fino ad oggi. In particolare, la nostra ricerca ha rilevato che:
- Solo il 47% dei CISO aveva informato la leadership o il board circa le implicazioni degli attacchi SolarWinds nei due mesi successivi alla loro divulgazione, il che implica che le tematiche di Cybersecurity della Supply Chain non sono ancora un problema all’attenzione del board, e questo nonostante siano ormai abbastanza all’ordine del giorno.
- Il 78% delle aziende si aspetta un altro attacco alla Supply Chain in stile SolarWinds.
Il report sottolinea come gli attacchi alla Supply Chain non siano l’unica sfida per i CISO. La grossa spinta fornita dalla pandemia, sia all’utilizzo del cloud sia al lavoro remoto ha reso temi come la sicurezza di ambienti ibridi e multi-cloud e dell’accesso remoto ai dati centrali nella strategia di moltissime realtà.
La ricerca offre anche segnali incoraggianti, segno che il cambiamento sta già avvenendo. Da evidenziare è il rapporto tra i team di sicurezza e IT: l’83% degli intervistati ha convenuto che la collaborazione è migliorata durante la pandemia. Quasi il 90% delle organizzazioni ha anche affermato di aver incrementato il budget per la sicurezza e il 35% ha dichiarato di averlo fatto “in modo significativo”.
Ecco altre metriche interessanti emerse dalla ricerca:
- Il 75% delle infrastrutture dei clienti che utilizzano cloud è in realtà già oggi multicloud.
- L’87% prevede di utilizzare più fornitori di servizi cloud tra due anni.
- Il 76% degli intervistati afferma che i lavoratori remoti sono più difficili da proteggere.
- Il 53% conferma che gli attacchi sono aumentati durante la pandemia e il 12% lo definisce un aumento significativo.
Da dove possiamo cominciare per cambiare le cose?
Un buon spunto è stato fornito da Doug Merrit, CEO di Splunk, durante la RSA Security Conference: “Data is essential to an effective cybersecurity program”. I dati sono fondamentali per identificare e rispondere a qualsiasi minaccia alla sicurezza e per evolvere la propria strategia di Cybersecurity.
Viviamo nella cosiddetta Data Age, in cui la spina dorsale di qualsiasi strategia di sicurezza efficace, soprattutto dopo COVID e SolarWinds, deve incentrarsi sui dati. La strategia di Cybersecurity deve essere data-driven.
I dati non sono solo ciò che proteggiamo, sono ciò che ci consente di ottimizzare i nostri investimenti e comunicare efficacemente rischi e mitigazioni. È ciò che ci dice quando gli attori delle minacce bussano alla porta o quando sono già all’interno del nostro perimetro.
Per utilizzare i dati in modo efficace, dobbiamo iniziare abbracciando la strategia zero trust, che si basa sulla limitazione dell’accesso a dati e risorse fino a quando una connessione non si dimostra sicura.
Dobbiamo valutare continuamente le minacce esistenti ed emergenti e le tecniche, le tattiche e le procedure (TTPs) sfruttate dai threat actors, in modo da poter rimediare a eventuali punti deboli. Inoltre, dobbiamo implementare un Security Operation Center moderno (SOC) costruito su una piattaforma scalabile con funzionalità di automazione complete per rilevare le minacce, identificare le anomalie e abbreviare i cicli di risposta. Il tutto utilizzando framework di riferimento quali il MITRE ATT&CK.
Infine, dobbiamo anche utilizzare i dati per migliorare le comunicazioni, la condivisione delle informazioni sulle minacce e la fiducia dei fornitori.
Prendiamo come esempio gli attacchi alla Supply Chain: i fornitori di tecnologia, come Splunk, hanno il dovere di aggiornare regolarmente i propri fornitori e spiegare loro come mitigare il rischio di minacce emergenti. Dobbiamo quindi comunicarlo ai nostri clienti, come abbiamo fatto dopo l’operazione SolarWinds. È necessaria una piattaforma solida e flessibile per controllare e condividere questi dati su larga scala con i nostri clienti e la comunità nel suo insieme.
L’anno passato ha presentato sfide per i professionisti della sicurezza, ma ha anche aperto opportunità, sbloccato budget e galvanizzato il supporto a tutti i livelli organizzativi per costruire pratiche di sicurezza più solide.
Confido che i CIO/CIO stiano sfruttando lo slancio attuale per accelerare i miglioramenti e stare al passo con l’intensificarsi delle sfide alla sicurezza.
Per ulteriori informazioni, inclusi consigli per migliorare la tua security posture, consulta The State of Security 2021.
Autore: Antonio Forzieri – EMEA Cyber Security Specialization and Advisory, Splunk
