Zero Trust e Ransomware, cosa bisogna fare e come
Uno è il modello di strategia di sicurezza a cui bisognerebbe tendere, l’altro è la minaccia contro ogni tipo di organizzazione che più è cresciuta nel corso del 2021 in Italia e nel mondo. Iniziamo da questi due punti per migliorare.
Possiamo dire che esiste un’emergenza nazionale relativa alla sicurezza informatica in Italia? Purtroppo, il Covid-19 ha generato tra i tanti effetti collaterali negativi anche il fatto che le aziende e gli enti pubblici, costretti ad attivare in fretta e furia il lavoro da remoto, si sono trovate più esposte, e impreparate, agli attacchi degli hacker. Forse potrebbe essere fuori luogo parlare di ‘emergenza nazionale’ per la situazione in cui versa lo stato di protezione di molte aziende che operano nel nostro Paese, anche importanti, ma certo è che il dato riportato nel recente rapporto Clusit su un incremento nei primi otto mesi del 2021 del 350% degli attacchi ransomware (rispetto allo stesso periodo del 2020), quanto meno però bisogna iniziare a preoccuparsi. Le cronache di attacchi con richieste di riscatto milionarie a primarie aziende del nostro Paese sono state riportate in diversi casi anche nelle pagine dei quotidiani nazionali, magari più come curiosità e non con la rilevanza che si dovrebbe dare a degli episodi di vera e propria ‘cronaca nera’…
Il 2021 ha quindi scoperto il vaso di pandora della scarsa attenzione che molte realtà hanno dato a questo tema. Come auspicio per il nuovo anno, in questo articoli, e negli altri di questo speciale, pensiamo quindi di fare cosa utile ritornando su due capisaldi delle strategie di sicurezza che dovrebbero essere implementate per ridurre il rischio di esposizione agli attacchi dei criminali informatici, ossia: il concetto di Zero Trust, e una breve guida introduttiva di come ci si può difendere dal ransomware.
Mettere in atto concretamente un approccio Zero Trust
Per ridurre i rischi di attacchi alle proprie organizzazioni, i responsabili della sicurezza devono non fermarsi allo studio del modello Zero Trust, per lasciare magari tutte le cose in sospeso in attesa di tempi, e di budget, migliori, ma possono già provare a implementare due progetti che si possono connotare come Zero Trust.
I modelli di sicurezza tradizionali si basano su un’architettura di difesa perimetrale, con la rete e il data center aziendale all’interno delle mura e i firewall a protezione dei confini. Tutto ciò che si trova all’esterno viene considerato potenzialmente pericoloso, mentre tutto ciò che è all’interno è ritenuto affidabile. Ma questa visione, che è stata messa in discussione da tempo, è stata proprio messa in crisi in modo eclatante dalla pandemia che ha dimostrato come sia mal riposta la fiducia basata sull’ubicazione fisica delle risorse da proteggere. Quando gli utenti sono mobili e/o remoti, ma anche quando i partner esterni richiedono l’accesso ai sistemi interni, il vecchio modello non va più bene, anche perché crea in azienda un’eccessiva fiducia implicita, un ingenuo senso di sicurezza sul quale i cyber criminali possono fare leva facilmente per portare a buon fine le loro minacce.
Le basi del modello Zero Trust
Il termine ‘Zero Trust’ viene spesso utilizzato a sproposito nella promozione dei prodotti di sicurezza. Rappresenta in ogni caso un termine pratico per descrivere un approccio che elimina la fiducia implicita dall’intera infrastruttura informatica. Al suo posto, i livelli di affidabilità vengono calcolati e adattati in modo esplicito e continuativo per consentire un accesso alle risorse aziendali contestuale e proporzionato alle esigenze.
Zero Trust è quindi un modo di pensare, non una tecnologia o un’architettura specifica e consiste di fatto nell’assenza totale di fiducia implicita, perché questo è l’elemento che bisogna assolutamente eliminare. Un modello di sicurezza basato interamente sul principio Zero Trust non è probabilmente del tutto realizzabile, ma è possibile adottare policy, atteggiamenti e iniziative che andando in questa direzione rafforzano il profilo di sicurezza della propria organizzazione.
Un primo passo utile può essere immaginare di attivarsi con due progetti che partono da un elemento sicuramente molto vulnerabile, ossia la rete aziendale.
La connettività di rete TCP/IP è nata in un’epoca in cui era possibile presumere un suo certo grado di affidabilità. Ma il suo scopo era quello di mettere in collegamento le persone e le organizzazioni, non di autenticarle. Gli indirizzi di rete, infatti, sono elementi di identificazione tutt’altro che robusti. Le iniziative Zero Trust per le connessioni di rete usano invece l’identità come elemento di base per la definizione di nuovi perimetri.
Un nuovo modello per l’accesso alla rete
Un approccio che si usa spesso, quando gli utenti escono dalla rete aziendale interna ‘affidabile’, è realizzare questa nuova connettività utilizzando le VPN in modo da estendere le loro capacità di accesso anche al di fuori del perimetro aziendale. Se un hacker però riesce a rubare le credenziali di un utente, può facilmente accedere alla rete aziendale.
L’accesso di rete Zero Trust, invece, astrae e centralizza i meccanismi di accesso, il cui controllo è controllato, e monitorato nel caso la propria sicurezza sia affidata a un Soc (security operation center), dagli operatori del sistema di sicurezza. Il modello assegna le autorizzazioni di accesso in base all’identità della persona e dei suoi dispositivi, considerando anche altri elementi contestuali come la data e l’ora, la geolocalizzazione, i pattern di utilizzo storici e lo stato del dispositivo. Il risultato è un ambiente più sicuro e resiliente, che supporta una maggiore flessibilità e un monitoraggio più efficace.
“L’adozione su larga scala del lavoro a distanza durante la pandemia di Covid-19 ha creato un forte interesse per un modello così impostato (che generalmente viene indicato con i termini in inglese ‘Zero Trust network access’), al punto che molti hanno proclamato la ‘morte’ delle VPN”, sostiene l’analista di Gartner Neil MacDonald. “Sebbene la sostituzione delle VPN rappresenti uno dei principali obiettivi alla base dell’adozione del modello Ztna, l’effetto che si ottiene è in genere quello di potenziare, piuttosto che sostituire, le VPN. Abilitando l’accesso degli utenti alle risorse di cui hanno bisogno, e adottando le offerte Ztna basate sul cloud, le aziende possono infatti evitare di sovraccaricare l’infrastruttura della VPN. In un’ottica di lungo termine, il modello di sicurezza Ztna potrà continuare a essere utilizzato anche quando le persone torneranno negli uffici, nella cosiddetta ‘nuova normalità’.
Segmentazione basata sull’identità
La segmentazione basata sull’identità, nota anche come micro segmentazione o segmentazione Zero Trust, rappresenta un metodo efficace per impedire che gli aggressori si spostino lateralmente nella rete una volta effettuato l’accesso in una sua determinata area.
La segmentazione basata sull’identità riduce l’eccesso di fiducia implicita permettendo alle organizzazioni di spostare i singoli carichi di lavoro in un modello ‘default deny’ (rifiuto predefinito) anziché ‘implicit allow’ (autorizzazione implicita). Questo approccio utilizza regole dinamiche che valutano l’identità del carico di lavoro e dell’applicazione per stabilire se abilitare o meno la comunicazione sulla rete.
Quando si avvia una strategia di segmentazione basata sull’identità, è consigliabile iniziare con un piccolo insieme di applicazioni e server ad alta criticità per le prime implementazioni ed espandere il modello a partire da quel nucleo. Una volta implementato il modello Ztna e la segmentazione basata sull’identità, si potrà passare ad altre iniziative per estendere l’approccio Zero Trust all’intera infrastruttura tecnologica. Per esempio, sarà possibile rimuovere le autorizzazioni di amministrazione remota dai sistemi degli utenti finali, sperimentare una soluzione di isolamento dei browser remoti, crittografare tutti i dati a riposo nel cloud pubblico e iniziare ad analizzare i container creati dagli sviluppatori per le nuove app.
Mitigare il ransomware
Come detto in apertura di questo articolo, il Rappotro Clusit recentemente presentato ha evidenziato come nei primi otto mesi del 2021, gli attacchi ransomware in Italia sono cresciuti del 350% rispetto allo stesso periodo del 2020. Mentre l’anno scorso gli incidenti dovuti a malware possono essere attribuiti, a livello mondiale, per il 27% sempre a questa categoria di minacce (fonte: EMA).
Per un’azienda, il ransomware – una forma di estorsione informatica in cui un software infetto si infiltra nei computer e crittografa i dati, tenendoli in ostaggio finché la vittima non paga un riscatto – può avere un impatto più grave rispetto ad altre violazioni dei dati. Nell’immediato, il ransomware può costare alle aziende milioni di euro, ma a lungo termine può comportare perdite potenziali ancora più ingenti, per l’impatto che può avere sulla sua reputazione e sulla sua affidabilità. Importanti aziende sanitarie, catene commerciali, utility, ma anche aziende manifatturiere di grandi e medie dimensioni, in Italia, così come all’estero, sono stati oggetto di attacchi ransomware che hanno bloccato le attività aziendali per diverso tempo e perciò questa minaccia si sta dimostrando un pericolo costante per la sicurezza informatica. Questo perché in molti casi di recenti di attacchi ransomware, le organizzazioni colpite hanno versato somme enormi ai ricattatori, e questo è certamente una delle ragioni per cui questi attacchi si stanno moltiplicando a vista d’occhio.
Ma piuttosto che ‘pagare il riscatto’, per ridurre le perdite dovute al ransomware, le aziende devono concentrarsi soprattutto sulle azioni di preparazione e mitigazione del danno che può derivare da un attacco andato a buon fine. I Ciso e i responsabili della sicurezza possono ridurre il rischio di attacchi ransomware, limitare l’esposizione alle vulnerabilità e mettere al sicuro le loro organizzazioni adottando un piano di mitigazione. Un approccio di questo tipo può essere implementato in sei tappe successive. Vediamole insieme qui di seguito.
1. Valutate inizialmente il ransomware
Eseguite valutazioni del rischio e penetration test per determinare la superficie di attacco e lo stato attuale di resilienza e preparazione della vostra infrastruttura in termini di strumenti, processi e competenze per la difesa dagli attacchi. Per evitare che il pagamento del riscatto sia l’unica possibilità, è necessario valutare anche la possibilità di utilizzare l’uso di un software per la decrittazione del ransomware.
2. Applicate una governance ad hoc
Istituite processi e procedure di compliance che coinvolgano i principali decisori dell’organizzazione, anche prima di preparare la risposta tecnica agli attacchi ransomware. Un problema di ransomware può evolversi velocemente in una vera e propria crisi, costare all’azienda importanti perdite di ricavi e danneggiare la sua reputazione. È necessario che alle attività di preparazione partecipino figure di primo piano come il capo azienda, il consiglio di amministrazione e gli altri stakeholder importanti. In caso di attacco ransomware, è probabile che giornalisti e altri stakeholder esterni cerchino di informarsi sulla risposta messa in atto contattando il consiglio di amministrazione, non i responsabili della sicurezza o il Ciso.
3. Preparate il processo di risposta
Organizzate esercitazioni e simulazioni frequenti per verificare che i sistemi siano sempre in grado di rilevare gli attacchi ransomware. Inserite verifiche periodiche degli scenari di risposta agli incidenti nel piano di reazione. Eseguite e ripetete i test a intervalli regolari per verificare che non vi siano vulnerabilità, sistemi non conformi ed errori di configurazione. Controllate che i processi di risposta agli incidenti non dipendano da sistemi IT che possano essere colpiti dagli attacchi ransomware o diventare indisponibili in caso di incidenti seri.
4. Backup
Eseguite il backup non solo dei dati, ma anche di tutte le applicazioni non standard e dell’infrastruttura IT di supporto. Controllate frequentemente che le capacità di backup e ripristino siano pienamente affidabili. Se i vostri backup sono online, verificate che non possano essere crittografati dal ransomware. Irrobustite i componenti dell’infrastruttura di backup e ripristino aziendale esaminando regolarmente l’applicazione di backup, le risorse di storage e l’accesso alla rete, confrontando i risultati con l’attività prevista o di riferimento. Per prepararvi al ripristino delle applicazioni critiche in caso di attacco ransomware che colpisca un intero sistema, create parametri specifici per RTO (Recovery Time Objective) e RPO (Recovery Point Objective) in modo da salvaguardare i supporti di backup e la loro accessibilità.
5. Applicate il principio del privilegio minimo
Rendete più restrittive le autorizzazioni e negate gli accessi non autorizzati ai dispositivi. Rimuovete le autorizzazioni di amministrazione locali degli utenti finali e bloccate l’installazione delle applicazioni da parte degli utenti standard, sostituendola con un modello di distribuzione del software gestito centralmente. Ciso e responsabili della sicurezza dovranno applicare ove possibile processi di autenticazione a più fattori, in particolare per gli account con privilegi. Rafforzate l’autenticazione degli accessi su tutti i server critici, le appliance di rete e i servizi di directory, verificando che i log non vengano eliminati. Segnalate qualsiasi attività sospetta ai team responsabili della sicurezza e verificate che questi indaghino attivamente sui tentativi anomali di login o su quelli di autenticazione non riusciti.
6. Istruite e preparate gli utenti
Consultate le direttive emanate dalle autorità statali e dai regolatori di settore sulle azioni raccomandate alle aziende per fortificare la vostra infrastruttura di rete contro il ransomware. I Ciso e i responsabili della sicurezza potranno usare queste linee guida per creare un programma di formazione di base per tutto il personale dell’organizzazione. Tuttavia, per ottenere migliori risultati è importante che la preparazione al ransomware venga personalizzata in funzione della realtà dell’organizzazione.
Si può inoltre anche prevedere l’utilizzo di strumenti di simulazione delle crisi informatiche per condurre analisi e attività di formazione che siano vicine alle situazioni reali, in modo da preparare meglio gli utenti finali a reagire al ransomware. Questo e altre forme di malware sono tattiche di attacco in continua evoluzione. Una strategia di preparazione può rivelarsi uno strumento utile per contenere le perdite e proteggere la vostra organizzazione.