Infrastrutture Critiche - Come Proteggerle Dagli Attacchi Informatici

Infrastrutture critiche – Il primo passo fondamentale per una difesa efficace è capire come funzionano i meccanismi di penetrazione.

di Sean Deuby | Director of Services, Semperis

Qualunque settore colpiscano, gli attacchi informatici causano danni su vari livelli. Quando vengono prese di mira infrastrutture critiche, come i sistemi di trasporto o le aziende di servizi pubblici, possono avere gravi ripercussioni sulla vita di tutti i giorni o sulla sicurezza pubblica.

Un esempio? L’attacco ransomware che nel maggio del 2021 ha messo in ginocchio Colonial Pipeline e provocato limitazioni nella fornitura e aumenti dei prezzi del gas per la popolazione della costa est degli Stati Uniti. Per risolvere la situazione, l’azienda ha dovuto mettere parte dei sistemi offline, tra cui 8.850 km di gasdotto.

Il numero crescente di attacchi alle infrastrutture critiche pubbliche indica ormai che la battaglia è cominciata anche su questo fronte. Secondo alcuni esperti, i ransomware non servono solo a fare soldi, quanto piuttosto a portare scompiglio, interrompere l’erogazione dei servizi e a seminare panico. Quel briciolo di etica che un tempo veniva attribuito agli autori di cyberattacchi, da qualche anno è scomparso.

Lo dimostra bene un altro attacco, quello all’impianto per il trattamento dell’acqua a Oldsmar, un piccolo centro della Florida, nell’aprile 2021. Finché la violazione non è stata rilevata, i cybercriminali sono stati capaci di manomettere il sistema per aumentare la quantità di idrossido di sodio nell’acquedotto. L’attacco è stato fermato prima che la sostanza raggiungesse livelli nocivi per la salute. Ad ogni modo, è innegabile la pericolosità di questo tipo di minacce per la vita delle persone .

Le organizzazioni che gestiscono infrastrutture critiche e offrono servizi pubblici possono rafforzare le loro difese in tre mosse. Primo: individuando i punti di ingresso che i cybercriminali sfruttano per infiltrarsi. Secondo: risolvendo le problematiche proprie del settore in cui operano. Terzo: mettendo in atto nuove procedure di sicurezza contro le minacce attuali.

Risolvere i problemi dei sistemi di identità

Le aziende di infrastrutture e servizi pubblici si trovano a dover affrontare sfide particolari quando si tratta di mettere in sicurezza i sistemi di identità. Secondo un sondaggio condotto da Siemens e dal Ponemon Institute su queste aziende e a livello mondiale, altri stati e utenti malintenzionati hanno tutto l’interesse a sviluppare cyber-armi e prenderle di mira. Il motivo? Semplice, molte di esse gestiscono infrastrutture essenziali per la vita di tutti i giorni. In base a quanto riferito dagli operatori delle aziende intervistate, ci sono vari fattori che compromettono le iniziative volte a migliorare il livello di sicurezza, tra cui:

Mancanza delle competenze tecniche necessarie per identificare le minacce
Scarsa coordinazione tra i team IT e quelli addetti alla sicurezza per capire se la radice del problema risiede nei sistemi di identità o in altri sistemi informatici
Procedure di sicurezza obsolete, con una scarsa conoscenza della gamma di minacce attuali e delle best practice basate sul rischio
Mancanza di investimenti in formazione e sviluppo del personale
Inadeguati piani di risposta agli attacchi informatici e lentezza nel reagire agli imprevisti
Distribuzione di attrezzature digitali e connesse in rete, che offrono ai cybercriminali nuovi obiettivi da colpire, con conseguenze su vasta scala

Il risultato è un quadro scoraggiante. Solo lavorando in maniera sistematica per chiudere le falle di sicurezza nel sistema di identità, le aziende di servizi pubblici possono migliorare enormemente il livello di sicurezza delle infrastrutture critiche, e ne vale la pena dato che questi sistemi sono sempre più l’obiettivo preferito dei cybercriminali.

Chiudere i punti di ingresso nel sistema di identità

Il primo passo fondamentale per una difesa efficace è capire come funzionano i meccanismi di infiltrazione. Negli attacchi a Colonial Pipeline e Oldsmar, i cybercriminali hanno preso di mira Active Directory, che è il servizio di autenticazione di base usato dal 90% delle aziende in tutto il mondo. Date le dimensioni, la complessità e la tendenza ad avere configurazioni differenti, in particolar modo nelle grandi aziende con sistemi che risalgono a più di 20 anni fa, Active Directory è un percorso di attacco molto sfruttato dai criminali informatici.

L’attacco a Colonial Pipeline è stato rivendicato dal gruppo DarkSide, una delle tante organizzazioni ransomware-as-a-service (RaaS) che usano le loro competenze cybercriminali per mettere a segno attacchi per conto di terzi. Questi gruppi operano in maniera sistematica per ottenere l’accesso all’infrastruttura di un’organizzazione sfruttando i punti deboli della sicurezza di Active Directory:

Utilizzando strumenti di penetrazione entrano nel sistema, quindi passano alla fase di ricognizione
Questa può durare da giorni a settimane, se non mesi come nel caso dell’attacco a SolarWinds, con l’obiettivo di trovare le vulnerabilità e avere accesso agli account utente con privilegi
Una volta ottenuto il controllo del sistema desiderato, portano a termine la loro missione, come avvelenare un acquedotto pubblico, crittografare i dati sensibili in cambio di un riscatto o altre gravi azioni

Per quanto DarkSide dichiari di avere dei principi, rifiutandosi ad esempio di attaccare ospedali o scuole, il gruppo colpisce solo obiettivi redditizi. DarkSide ha inoltre dato prova di una pazienza davvero enorme, nascondendosi nei sistemi anche per mesi prima di sferrare l’attacco agli asset più preziosi.

Identificare e risolvere in maniera sistematica le vulnerabilità di Active Directory è essenziale per difendersi dagli attacchi informatici. Anche i gruppi RaaS più all’avanguardia preferiscono usare quando funziona la via più breve invece di escogitare nuove tattiche. Attuare una pulizia e mettere in sicurezza l’ambiente di Active Directory è un processo fattibile, sebbene lungo e noioso. Ci vogliono obiettivi, tempo e risorse.

Proteggere le aziende prima, durante e dopo un attacco

Il primo passo per difendersi dagli attacchi ai sistemi di identità consiste nell’individuare e risolvere le vulnerabilità più utilizzate dai cybercriminali. Nelle grandi organizzazioni con sistemi datati di Active Directory, è possibile che si siano accumulate impostazioni che nel tempo diventano rischiose, creando falle nella sicurezza facili da sfruttare.

Ad esempio, alcuni degli errori di configurazione più frequenti e rischiosi in Active Directory sono legati al processo di autenticazione. Supponiamo che un’organizzazione utilizzi un’applicazione che non è integrata direttamente con Active Directory, ma che debba eseguire query su Active Directory per rilevare gli utenti attivi. Per agevolare questo processo, la cosa più semplice da fare è consentire l’accesso anonimo ad Active Directory, ma se ciò avvenisse senza gli opportuni controlli, il profilo di rischio dell’organizzazione potrebbe aumentare notevolmente. Ed è solo un esempio di criteri blandi di identificazione che possono aprire le porte ai cybercriminali.

Un altro sistema consiste nel concedere un numero eccessivo di autorizzazioni. Questo metodo, se da un lato fa risparmiare tempo e/o risolve la necessità di un accesso urgente ad applicazioni e servizi essenziali, dall’altro crea punti deboli nella sicurezza. In moltissimi casi, una volta concesso l’accesso, l’urgenza passa ma i privilegi non vengono mai rivisti. Nel tempo, il numero di autorizzazioni non fa che crescere. Spesso negli ambienti di Active Directory c’è un numero ingiustificato di amministratori di dominio. Gli account di servizio con autorizzazioni eccessive rappresentano un notevole rischio, perché hanno password senza scadenza e in molti casi queste sono semplici e prevedibili.

Per identificare e risolvere questi rischi, le organizzazioni devono investire tempo e risorse per valutare le impostazioni pericolose di Active Directory. Con una scansione regolare di Active Directory è possibile avere informazioni sul livello di sicurezza e ridurre il rischio di modifiche non autorizzate o configurazioni improprie che passano inosservate. Un valido aiuto per questo scopo è offerto da Purple Knight, uno tool gratuito per valutare la sicurezza di Active Directory che analizza l’ambiente per rilevare eventuali indicatori di compromissione o esposizione.

Oltre a bloccare le falle nella sicurezza di Active Directory, le aziende di infrastrutture e servizi pubblici possono adottare soluzioni per controllare continuamente la presenza nell’ambiente di modifiche dannose . Le aziende capaci di rilevare gli autori di attacchi che si muovono trasversalmente attraverso la rete, possono limitare molto i danni. Ad esempio è possibile chiudere i percorsi di attacco prima che gli utenti malintenzionati siano in grado di distribuire il malware. Inoltre, impostare un processo di correzione automatica può rivelarsi utile per neutralizzare un attacco subito, senza perdere tempo prezioso. Gli attacchi informatici sono in grado di infettare i sistemi connessi a livello globale in pochi minuti, perciò la capacità di annullare le modifiche dannose è utile per arginare le conseguenze.

In caso di attacco informatico, uno dei fattori principali per la ripresa dei servizi è appunto riuscire a ripristinare Active Directory a uno stato di sicurezza noto e in tempi rapidi. Come può confermare qualsiasi amministratore IT, ricostruire una foresta di Active Directory è un processo lungo e complicato, soggetto a errori e ricostruirla mentre è in corso un attacco è un vero e proprio incubo. È buona pratica che ogni organizzazione debba avere un piano comprovato e documentato per il ripristino di Active Directory, perché di fatto è il sistema utilizzato per autenticare e concedere l’accesso a tutti gli altri sistemi.

Garantire la sicurezza delle aziende contro gli attacchi informatici

Le aziende di infrastrutture e servizi pubblici, pur essendo nel mirino dei criminali informatici, possono migliorare le loro difese contro gli attacchi più sofisticati. Queste organizzazioni hanno gli strumenti per contrastare le minacce e continuare a fornire servizi pubblici di prima necessità. Come? Valutando il livello di sicurezza dell’ambiente di Active Directory, impostando un monitoraggio per rilevare modifiche dannose e adottando un piano convalidato per il ripristino di Active Directory.

redazione

Per contattare la redazione di Innovareweb :

cristina.gualdoni@quine.it

Via Spadolini 7, 20141 – Milano

Tel. +39 02 864105

Cookie	Durata	Descrizione
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.

Cookie	Durata	Descrizione
bcookie	2 years	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
bscookie	2 years	LinkedIn sets this cookie to store performed actions on the website.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.

Cookie	Durata	Descrizione
iutk	5 months 27 days	This cookie is used by Issuu analytic system to gather information regarding visitor activity on Issuu products.
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_74173933_2	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookie	Durata	Descrizione
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
mc	1 year 1 month	Quantserve sets the mc cookie to anonymously track user behaviour on the website.
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.

Cookie	Durata	Descrizione
AnalyticsSyncHistory	1 month	No description
li_gc	2 years	No description

Infrastrutture Critiche – Come Proteggerle Dagli Attacchi Informatici

Argomenti correlati

Lascia un commento

WAGO – nominati tre nuovi Vice Presidenti

DKC a SPS italia

Keynote Wibu – i progressi della cybersecurty

Links

Articoli recenti

Argomenti correlati

Mise – supporto alle imprese che operano in Russia e Ucraina

la sicurezza integrata – Webinar Control Techniques

Potrebbe interessarti anche

Lascia un commento

Informativa