Cybersecurity

Che futuro ha la sicurezza in un mondo insicuro?

11 Dicembre 2014

La sicurezza può sopravvivere in un mondo sempre più insicuro?

Nonostante le aziende spendano una percentuale sempre più significativa del loro fatturato a favore delle tecnologie di sicurezza – sistemi progettati per bloccare, intercettare ed evitare che gli hacker possano accedere a reti e dati sensibili – gli attacchi hanno continuato a mietere successi.



 

Di recente la tendenza è cambiata, e sotto attacco hanno iniziato a esserci i sistemi POS (Point Of Sale) dei negozi. Se la catena statunitense Target è l'esempio più eclatante, attacchi simili sono avvenuti anche in numerosi altri settori, dai grandi magazzini agli ospedali e alle catene alberghiere: in pratica ovunque si verifichino transazioni finanziarie su vasta scala. Il focus sui sistemi POS non deve sorprendere: i cybercriminali sono da sempre attirati dal denaro. Ciò che è strano, piuttosto, è il tempo che occorre alla vittima per accorgersi che i propri sistemi sono stati violati: ed è questo il tema di questo post.

È  stato scelto Target come esempio per due ragioni. La prima: le dimensioni e la complessità della violazione sono interessanti e ideali per un'analisi; la seconda: il caso di Target è molto comune ad altri attacchi simili in termini di quel che è occorso prima di capire che era avvenuto un attacco.
 
Iniziamo col considerare i pochi dati noti. Nonostante l'attacco scatenato contro Target abbia iniziato a raccogliere i dati relativi alle transazioni delle carte di credito il 27 novembre, non a caso il Black Friday (l'inizio della stagione dello shopping natalizio) per catturare più dati possibili, la scoperta è avvenuta solamente il 15 dicembre: e non è stata Target ad accorgersene, bensì le forze dell'ordine che hanno notato una serie di irregolarità informando di conseguenza l'azienda. Tutto ciò è molto preoccupante e, sfortunatamente, è anche la norma per la maggior parte delle violazioni. Lo studio 2013 Verizon Risk Report ha scoperto che nel 62% dei casi l'attacco è rimasto ignorato per mesi o addirittura anni!
 
Tornando a Target, sappiamo quando è iniziata la raccolta dei dati ma la violazione iniziale della rete era avvenuta quasi due settimane prima, il 15 novembre. A quanto pare il dipendente di una società che si occupa della manutenzione dei sistemi HVAC era caduto vittima di un attacco di phishing che aveva infettato il suo computer con un Trojan scritto per sottrarre password. Target ha poi utilizzato questa società per misurare i consumi elettrici e dell'aria condizionata fornendo ad alcuni dipendenti di quest'ultima le credenziali necessarie ad accedere alla propria rete. Una volta che la persona con il PC infetto si è collegata alla rete di Target, le sue credenziali sono state rubate e usate successivamente ai fini dell'attacco. La lezione qui è che si è tanto sicuri quanto lo sono le persone a cui si consente l'accesso alla propria rete. In questo caso pochi click di un ignaro dipendente di una società di manutenzione hanno causato una delle più gravi violazioni di carte di credito della storia.
 
Come può essere accaduta una cosa del genere, in particolare proprio al n.2 delle catene retail statunitensi? Perché Target non è stata in grado di rilevare la violazione iniziale della propria rete, né l'attacco successivo una volta che si è scatenato?
Per rispondere a queste domande occorre prima capire i termini delle specifiche Data Security Standards (DSS) definite dal Payment Card Industry (PCI) Security Standards Council, o più comunemente PCI DSS 3.0. Questi standard, la cui conformità da parte di Target era certificata (per quanto il modo in cui è avvenuto l'attacco dimostrano chiaramente che non sono stati seguiti), indica 12 requisiti specifici per proteggere i dati dei titolari delle carte: realizzare e mantenere sistemi e reti all'insegna della sicurezza, mantenere un programma per la gestione delle vulnerabilità, implementare solide misure per il controllo degli accessi, monitorare e collaudare regolarmente le rete, e predisporre una policy per la sicurezza delle informazioni. Il documento è estremamente completo, e PCI DSS 3.0 fornisce un buon framework per proteggersi dalle violazioni – eppure le violazioni continuano a verificarsi.
 
Qualcuno potrebbe attribuire la colpa a PCI DSS 3.0 sostenendo che le relative raccomandazioni non siano sufficienti a difendere contro i sofisticati attacchi moderni, e potrebbe avere anche ragione.
Pur non sapendo esattamente di quale produttore fossero le soluzioni per la sicurezza adottate da Target, possiamo essere certi che ve ne fossero di installate dal momento che la conformità PCI DSS 3.0 le richiede. PCI DSS 3.0 non indica il produttore da cui rifornirsi, solo che occorre usare software per proteggere i sistemi dal malware o un firewall per proteggere la rete. E qui sta il nocciolo del problema: non tutte le soluzioni per la sicurezza forniscono le medesime capacità o livelli di funzionalità. Quando si considera che la maggior parte degli attacchi resta inosservata per mesi se non di più, allora il focus dovrebbe essere sulle tecnologie e sui processi progettati per confermare periodicamente l'integrità di tutti i sistemi coinvolti. Questa esigenza è chiaramente indicata nelle sezioni 10 e 11 delle specifiche PCI DSS 3.0, ma il problema è che l'obbligo della consapevolezza ricade sulla soluzione installata. E, sfortunatamente, molte soluzioni endpoint oggi non sono capaci di reagire di fronte a un'infezione lasciata passare.
 
Ma torniamo alla domanda iniziale: come mai è potuto succedere tutto questo e perché è occorso così tanto tempo per accorgersene?
La risposta è duplice. Innanzitutto Target non ha seguito fedelmente gli standard PCI DSS 3.0, specialmente per quanto concerne il tracking e il monitoraggio di tutti gli accessi ai sistemi e alle risorse di rete – e in questo la catena americana non è sola. Si tratta di uno degli standard più difficili da seguire, in particolare per i grandi retailer con centinaia se non addirittura migliaia di punti vendita. Ma la colpa non ricade solamente sulle spalle di PCI DSS 3.0 o dei retailer che tentano di applicarne le specifiche. Il secondo fattore infatti riguarda la tecnologia sottostante alla quale si affidano i retailer. Si tratta di un problema molto più complesso. I retailer non conoscono i parametri che effettivamente servono nella difesa dagli attacchi mirati complessi. Le percentuali di rilevamento sono del tutto inutili in quanto il malware usato per questi attacchi è scritto su misura per il particolare ambiente che si intende attaccare. Tenendo a mente questo fatto, quel che diventa importante è capire la capacità di una soluzione di reagire a una minaccia che sia riuscita a passare – capire quali siano i tempi di reazione dalla prima osservazione fino all'identificazione e alla notifica.
 
L'attacco subìto da Target e l'analisi di centinaia di altre violazioni dimostrano l'esistenza di un concreto problema relativo alla consapevolezza degli attacchi. Le aziende spendono milioni in tecnologie per la sicurezza pensando che questi investimenti siano in grado di evitare compromissioni, ma la maggior parte delle soluzioni non riesce a fornire quel che serve: la capacità di reagire a qualcosa di nuovo, qualcosa di mai incontrato prima.
 
Webroot è un pioniere in questo settore e la sua linea di prodotti SecureAnywhere è stata progettata proprio per migliorare la consapevolezza e la capacità di identificare rapidamente e proteggere istantaneamente dalle minacce emergenti così come da quelle mirate. Tutto questo viene svolto all'interno di Webroot Intelligence Network focalizzandosi su quello che gli utenti incontrano. È un approccio che assicura la visibilità necessaria a identificare anche gli attacchi maggiormente mirati e si applica a tutte le soluzioni per endpoint, dispositivi mobili e Web. 

(Tratto dal blog di Webroot)

 
Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (0)
Iscriviti
Notificami
guest
0 Commenti
Inline Feedbacks
Guarda tutti i commenti