Team Semperis

Il cyberattacco alla Colonial Pipeline del maggio 2021 si colloca tra i principali attacchi alle infrastrutture critiche avvenuti finora. All'epoca, il direttore dei servizi di Semperis Sean Deuby aveva previsto che l'attacco ransomware-as-a-service (RaaS) fosse "un'implicazione di ciò che sta per accadere... una stagione aperta ai fornitori di infrastrutture". Un anno dopo, parliamo con Sean dello stato attuale della sicurezza informatica delle infrastrutture: quali lezioni sono state apprese, quali nuove minacce sono emerse e quali azioni i fornitori di infrastrutture possono intraprendere ora per evitare di essere il prossimo grande bersaglio.

L'anno scorso lei aveva previsto che l'attacco al Colonial Pipeline fosse l'inizio di una tendenza a colpire i fornitori di infrastrutture critiche. Lo stiamo vedendo ora?

Sean Deuby: Sulla base dei soli avvisi dell'FBI e del CISA, direi che la risposta è un sonoro "Sì". Da BlackCat a REvil a RagnarLocker, il numero e la frequenza delle minacce e degli attori delle minacce rimane elevato. E le infrastrutture critiche sembrano essere un obiettivo sempre più interessante.

La cosa da tenere a mente è che "infrastrutture critiche" è un campo di gioco piuttosto ampio. Le prime cose che ci vengono in mente quando sentiamo questo termine, almeno negli Stati Uniti, sono probabilmente il cyberattacco al Colonial Pipeline e l'attacco all'impianto di trattamento delle acque in Florida pochi mesi prima. Ma i servizi di pubblica utilità, comprese le infrastrutture del petrolio e del gas, sono solo la punta dell'iceberg quando si parla di sistemi critici. Direi che l'assistenza sanitaria è fondamentale. La prevenzione degli incendi e i servizi alla comunità sono fondamentali. Le forniture alimentari sono fondamentali. Gli ultimi due anni hanno dimostrato quanto sia vulnerabile la catena di approvvigionamento just-in-time a qualsiasi tipo di interruzione, compreso il tipo di attacco ransomware che REvil ha sfruttato contro JBS. E tutti questi settori sono obiettivi primari per i gruppi di ransomware.

"Secondo Gartner, gli attacchi ransomware sono aumentati del 400% dall'attacco Colonial Pipeline del maggio 2021, e comprendono clienti che hanno subito attacchi e sono passati attraverso il recupero".

Gartner: Come proteggere i sistemi di backup dagli attacchi Ransomware

C'è un motivo per cui i fornitori di infrastrutture sono particolarmente vulnerabili?

Beh, subito dopo: Sistemi SCADA. Dispositivi IoT. Sistemi operativi integrati con pochi o nessun aggiornamento di sicurezza. Tecnologia obsoleta e difficile da aggiornare. Sanità, sistemi di utilità... questi settori sono pieni di questi tipi di dispositivi, che sono così difficili da proteggere.

La pandemia ha anche complicato il panorama, aumentando la necessità di accesso remoto. Questo, ovviamente, aumenta la superficie di attacco. Durante il periodo di blocco, molte entità sono state costrette a mettere insieme questi metodi. Di conseguenza, non sono stati costruiti con la cura, la considerazione e la sicurezza necessarie.

A seconda del settore, i finanziamenti sono sempre un problema. Molte organizzazioni non possono o non vogliono giustificare spese aggiuntive per la difesa a più livelli o la tolleranza ai guasti. Naturalmente, se si viene colpiti da un ransomware, il costo sarà molto più elevato.

State assistendo a un aumento dell'uso di RaaS per la distribuzione di ransomware?

È sicuramente un'opzione popolare per gli attori maligni. L'obiettivo della maggior parte dei gruppi di ransomware è quello di fare soldi, nel modo più rapido e semplice possibile. Questo è l'obiettivo finale: fare soldi, potenzialmente per finanziare attività davvero brutte, dal crimine organizzato al terrorismo. Qualsiasi metodo per raggiungere questo obiettivo è lecito. Perché non ridurre l'attrito per entrare nel business? Perché non rendere le cose più facili per gli affiliati e ottenere una parte del guadagno?

Quali sono gli sviluppi dell'anno successivo al cyberattacco di Colonial Pipeline che vi hanno sorpreso?

Forse sono più sorpreso dal fatto che non abbiamo assistito a un numero maggiore di attacchi informatici veramente efficaci. Credo che la maggior parte degli esperti di IAM sia sempre sul filo del rasoio, in attesa che il prossimo NotPetya faccia la sua brutta figura. Soprattutto alla luce di alcuni eventi globali verificatisi nell'anno successivo al cyberattacco di Colonial Pipeline, sono piacevolmente sorpreso dal fatto che non abbiamo visto di peggio. Spero che questo sia un indicatore del fatto che le organizzazioni stanno adottando misure più efficaci per proteggere le loro reti e i sistemi di identità come Active Directory, che è spesso l'obiettivo finale del ransomware.

Un altro sviluppo, anche se non sorprendente, è il riemergere di alcuni giocatori del DarkSide nel gruppo BlackCat. Direi che è interessante piuttosto che sorprendente. Una cosa da notare su molti di questi gruppi che prendono di mira le infrastrutture critiche: Dopo che DarkSide è stata presa di mira dal governo statunitense in seguito all'attacco al Colonial Pipeline, gli attori non statali delle minacce hanno cercato di mantenere gli attacchi abbastanza piccoli da evitare un serio intervento governativo. Questa è una minaccia reale al loro potenziale di profitto. Quindi, vedere gruppi che si sciolgono e si riformano in altre versioni non è inaspettato. E dal punto di vista della sicurezza informatica, potrebbe indicare il tipo di tattiche che vedremo dai nuovi gruppi, in base alle precedenti affiliazioni dei loro membri.

Quindi, alla luce di tutto questo, quali sono le misure che gli enti che si occupano di infrastrutture critiche possono adottare fin da ora per proteggersi?

Noi di Semperis consigliamo sempre alle organizzazioni di "pensare come un attaccante". Dovete davvero guardare alla vostra sicurezza come farebbe una persona priva di bussola morale o con una bussola morale estremamente distorta. Dove si trova il massimo profitto? È la vostra proprietà intellettuale? I dati dei clienti? Per le infrastrutture critiche, quando si parla di ransomware, spesso si tratta semplicemente della quantità di denaro che gli attori delle minacce possono guadagnare bloccando i vostri sistemi in genere dopo che hanno esfiltrazione di dati organizzativi preziosi. Un ospedale che utilizza molte apparecchiature IoT per fornire servizi vitali - medicazioni, ventilazione e simili - ha molte più probabilità di pagare in fretta rispetto a un'organizzazione che può sospendere la fornitura di servizi per giorni.

A parte i consigli più ovvi - patch, politiche di password forti e simili - la segmentazione della rete e l'implementazione di forti controlli sull'accesso remoto sono passi importanti. L'accesso remoto, come ho già detto, amplia la superficie di attacco. Quindi, maggiore è la protezione che si può garantire in questo ambito, meglio è. Per le organizzazioni come le aziende di servizi pubblici, isolare i sistemi informatici e di autenticazione dai sistemi di controllo dei processi e garantire che non vengano utilizzate credenziali duplicate in entrambi, può almeno far guadagnare tempo durante un attacco.

Qualche altro pensiero da portare con noi nel resto del 2022?

La cosa da tenere a mente riguardo al ransomware è che gli aggressori che riescono a invadere un sistema iniziano immediatamente a cercare un accesso privilegiato. Si muovono lateralmente, passo dopo passo, utilizzando Active Directory. Una volta raggiunto il jackpot dell'amministratore, possono scatenare ogni genere di caos. Ecco perché è così importante avere una soluzione di difesa specifica per AD. Potreste dover difendere migliaia di endpoint e account utente. La probabilità che qualcuno o qualcosa sfugga alle maglie della rete è alta. L'implementazione di una solida sicurezza attorno ad Active Directory - la capacità di automatizzare gli avvisi contro gli indicatori di sicurezza noti di esposizione e compromissione, il rollback delle modifiche ad Active Directory fino a quando il team di sicurezza non può rivederle e approvarle e, nel peggiore dei casi, il ripristino da un backup recente senza reintrodurre il malware - è la vostra migliore scommessa quando si tratta di tenere le luci accese.

Il nostro ultimo rapportoPurple Knight ha mostrato che le infrastrutture critiche, la pubblica amministrazione, la sanità e i trasporti possono apportare molti miglioramenti alla sicurezza degli account e alla sicurezza dei Criteri di gruppo, in particolare. Incoraggerei le organizzazioni a utilizzare lo strumento di valutazione gratuito Purple Knight per avere un'istantanea della situazione della sicurezza di Active Directory.

Grazie per aver parlato con noi, Sean!

Volete saperne di più sulla difesa delle infrastrutture critiche da disastri come il cyberattacco al Colonial Pipeline? Consultate queste risorse: