Infrastrutture critiche – Il primo passo fondamentale per una difesa efficace è capire come funzionano i meccanismi di penetrazione.
di Sean Deuby | Director of Services, Semperis
Qualunque settore colpiscano, gli attacchi informatici causano danni su vari livelli. Quando vengono prese di mira infrastrutture critiche, come i sistemi di trasporto o le aziende di servizi pubblici, possono avere gravi ripercussioni sulla vita di tutti i giorni o sulla sicurezza pubblica.
Un esempio? L’attacco ransomware che nel maggio del 2021 ha messo in ginocchio Colonial Pipeline e provocato limitazioni nella fornitura e aumenti dei prezzi del gas per la popolazione della costa est degli Stati Uniti. Per risolvere la situazione, l’azienda ha dovuto mettere parte dei sistemi offline, tra cui 8.850 km di gasdotto.
Il numero crescente di attacchi alle infrastrutture critiche pubbliche indica ormai che la battaglia è cominciata anche su questo fronte. Secondo alcuni esperti, i ransomware non servono solo a fare soldi, quanto piuttosto a portare scompiglio, interrompere l’erogazione dei servizi e a seminare panico. Quel briciolo di etica che un tempo veniva attribuito agli autori di cyberattacchi, da qualche anno è scomparso.
Lo dimostra bene un altro attacco, quello all’impianto per il trattamento dell’acqua a Oldsmar, un piccolo centro della Florida, nell’aprile 2021. Finché la violazione non è stata rilevata, i cybercriminali sono stati capaci di manomettere il sistema per aumentare la quantità di idrossido di sodio nell’acquedotto. L’attacco è stato fermato prima che la sostanza raggiungesse livelli nocivi per la salute. Ad ogni modo, è innegabile la pericolosità di questo tipo di minacce per la vita delle persone .
Le organizzazioni che gestiscono infrastrutture critiche e offrono servizi pubblici possono rafforzare le loro difese in tre mosse. Primo: individuando i punti di ingresso che i cybercriminali sfruttano per infiltrarsi. Secondo: risolvendo le problematiche proprie del settore in cui operano. Terzo: mettendo in atto nuove procedure di sicurezza contro le minacce attuali.
Risolvere i problemi dei sistemi di identità
Le aziende di infrastrutture e servizi pubblici si trovano a dover affrontare sfide particolari quando si tratta di mettere in sicurezza i sistemi di identità. Secondo un sondaggio condotto da Siemens e dal Ponemon Institute su queste aziende e a livello mondiale, altri stati e utenti malintenzionati hanno tutto l’interesse a sviluppare cyber-armi e prenderle di mira. Il motivo? Semplice, molte di esse gestiscono infrastrutture essenziali per la vita di tutti i giorni. In base a quanto riferito dagli operatori delle aziende intervistate, ci sono vari fattori che compromettono le iniziative volte a migliorare il livello di sicurezza, tra cui:
- Mancanza delle competenze tecniche necessarie per identificare le minacce
- Scarsa coordinazione tra i team IT e quelli addetti alla sicurezza per capire se la radice del problema risiede nei sistemi di identità o in altri sistemi informatici
- Procedure di sicurezza obsolete, con una scarsa conoscenza della gamma di minacce attuali e delle best practice basate sul rischio
- Mancanza di investimenti in formazione e sviluppo del personale
- Inadeguati piani di risposta agli attacchi informatici e lentezza nel reagire agli imprevisti
- Distribuzione di attrezzature digitali e connesse in rete, che offrono ai cybercriminali nuovi obiettivi da colpire, con conseguenze su vasta scala
Il risultato è un quadro scoraggiante. Solo lavorando in maniera sistematica per chiudere le falle di sicurezza nel sistema di identità, le aziende di servizi pubblici possono migliorare enormemente il livello di sicurezza delle infrastrutture critiche, e ne vale la pena dato che questi sistemi sono sempre più l’obiettivo preferito dei cybercriminali.
Chiudere i punti di ingresso nel sistema di identità
Il primo passo fondamentale per una difesa efficace è capire come funzionano i meccanismi di infiltrazione. Negli attacchi a Colonial Pipeline e Oldsmar, i cybercriminali hanno preso di mira Active Directory, che è il servizio di autenticazione di base usato dal 90% delle aziende in tutto il mondo. Date le dimensioni, la complessità e la tendenza ad avere configurazioni differenti, in particolar modo nelle grandi aziende con sistemi che risalgono a più di 20 anni fa, Active Directory è un percorso di attacco molto sfruttato dai criminali informatici.
L’attacco a Colonial Pipeline è stato rivendicato dal gruppo DarkSide, una delle tante organizzazioni ransomware-as-a-service (RaaS) che usano le loro competenze cybercriminali per mettere a segno attacchi per conto di terzi. Questi gruppi operano in maniera sistematica per ottenere l’accesso all’infrastruttura di un’organizzazione sfruttando i punti deboli della sicurezza di Active Directory:
- Utilizzando strumenti di penetrazione entrano nel sistema, quindi passano alla fase di ricognizione
- Questa può durare da giorni a settimane, se non mesi come nel caso dell’attacco a SolarWinds, con l’obiettivo di trovare le vulnerabilità e avere accesso agli account utente con privilegi
- Una volta ottenuto il controllo del sistema desiderato, portano a termine la loro missione, come avvelenare un acquedotto pubblico, crittografare i dati sensibili in cambio di un riscatto o altre gravi azioni
Per quanto DarkSide dichiari di avere dei principi, rifiutandosi ad esempio di attaccare ospedali o scuole, il gruppo colpisce solo obiettivi redditizi. DarkSide ha inoltre dato prova di una pazienza davvero enorme, nascondendosi nei sistemi anche per mesi prima di sferrare l’attacco agli asset più preziosi.
Identificare e risolvere in maniera sistematica le vulnerabilità di Active Directory è essenziale per difendersi dagli attacchi informatici. Anche i gruppi RaaS più all’avanguardia preferiscono usare quando funziona la via più breve invece di escogitare nuove tattiche. Attuare una pulizia e mettere in sicurezza l’ambiente di Active Directory è un processo fattibile, sebbene lungo e noioso. Ci vogliono obiettivi, tempo e risorse.
Proteggere le aziende prima, durante e dopo un attacco
Il primo passo per difendersi dagli attacchi ai sistemi di identità consiste nell’individuare e risolvere le vulnerabilità più utilizzate dai cybercriminali. Nelle grandi organizzazioni con sistemi datati di Active Directory, è possibile che si siano accumulate impostazioni che nel tempo diventano rischiose, creando falle nella sicurezza facili da sfruttare.
Ad esempio, alcuni degli errori di configurazione più frequenti e rischiosi in Active Directory sono legati al processo di autenticazione. Supponiamo che un’organizzazione utilizzi un’applicazione che non è integrata direttamente con Active Directory, ma che debba eseguire query su Active Directory per rilevare gli utenti attivi. Per agevolare questo processo, la cosa più semplice da fare è consentire l’accesso anonimo ad Active Directory, ma se ciò avvenisse senza gli opportuni controlli, il profilo di rischio dell’organizzazione potrebbe aumentare notevolmente. Ed è solo un esempio di criteri blandi di identificazione che possono aprire le porte ai cybercriminali.
Un altro sistema consiste nel concedere un numero eccessivo di autorizzazioni. Questo metodo, se da un lato fa risparmiare tempo e/o risolve la necessità di un accesso urgente ad applicazioni e servizi essenziali, dall’altro crea punti deboli nella sicurezza. In moltissimi casi, una volta concesso l’accesso, l’urgenza passa ma i privilegi non vengono mai rivisti. Nel tempo, il numero di autorizzazioni non fa che crescere. Spesso negli ambienti di Active Directory c’è un numero ingiustificato di amministratori di dominio. Gli account di servizio con autorizzazioni eccessive rappresentano un notevole rischio, perché hanno password senza scadenza e in molti casi queste sono semplici e prevedibili.
Per identificare e risolvere questi rischi, le organizzazioni devono investire tempo e risorse per valutare le impostazioni pericolose di Active Directory. Con una scansione regolare di Active Directory è possibile avere informazioni sul livello di sicurezza e ridurre il rischio di modifiche non autorizzate o configurazioni improprie che passano inosservate. Un valido aiuto per questo scopo è offerto da Purple Knight, uno tool gratuito per valutare la sicurezza di Active Directory che analizza l’ambiente per rilevare eventuali indicatori di compromissione o esposizione.
Oltre a bloccare le falle nella sicurezza di Active Directory, le aziende di infrastrutture e servizi pubblici possono adottare soluzioni per controllare continuamente la presenza nell’ambiente di modifiche dannose . Le aziende capaci di rilevare gli autori di attacchi che si muovono trasversalmente attraverso la rete, possono limitare molto i danni. Ad esempio è possibile chiudere i percorsi di attacco prima che gli utenti malintenzionati siano in grado di distribuire il malware. Inoltre, impostare un processo di correzione automatica può rivelarsi utile per neutralizzare un attacco subito, senza perdere tempo prezioso. Gli attacchi informatici sono in grado di infettare i sistemi connessi a livello globale in pochi minuti, perciò la capacità di annullare le modifiche dannose è utile per arginare le conseguenze.
In caso di attacco informatico, uno dei fattori principali per la ripresa dei servizi è appunto riuscire a ripristinare Active Directory a uno stato di sicurezza noto e in tempi rapidi. Come può confermare qualsiasi amministratore IT, ricostruire una foresta di Active Directory è un processo lungo e complicato, soggetto a errori e ricostruirla mentre è in corso un attacco è un vero e proprio incubo. È buona pratica che ogni organizzazione debba avere un piano comprovato e documentato per il ripristino di Active Directory, perché di fatto è il sistema utilizzato per autenticare e concedere l’accesso a tutti gli altri sistemi.
Garantire la sicurezza delle aziende contro gli attacchi informatici
Le aziende di infrastrutture e servizi pubblici, pur essendo nel mirino dei criminali informatici, possono migliorare le loro difese contro gli attacchi più sofisticati. Queste organizzazioni hanno gli strumenti per contrastare le minacce e continuare a fornire servizi pubblici di prima necessità. Come? Valutando il livello di sicurezza dell’ambiente di Active Directory, impostando un monitoraggio per rilevare modifiche dannose e adottando un piano convalidato per il ripristino di Active Directory.

Per contattare la redazione di Innovareweb :
Via Spadolini 7, 20141 – Milano
Tel. +39 02 864105