Smartworking e Cybersecurity: “Il pc personale è l’anello debole”. Come proteggersi

Dall’analisi sui primi sei mesi dell’anno emergono incrementi significativi dello sfruttamento della pandemia come leva per mettere in atto un’ampia gamma di attacchi in tutto il mondo. Gli attori principali non sono solo cybercriminali ma anche attori cosiddetti “Nation state” (gli stati-nazione). Anche se la pandemia in alcuni casi viene usata come elemento iniziale dell’adescamento (phishing) alcuni malware come i ransomware hanno mantenuto i propri driver di azione aumentando gli attacchi verso i dispositivi IoT e l’operational technology (OT) con anche significative evoluzioni per diventare ancora più mirati e sofisticati.

Da un punto di vista di localizzazione della minaccia è stato rilevato che non esistono regole precise: la maggior parte delle minacce sono state rilevate in tutto il mondo e in tutti gli ambiti, con alcune variazioni geografiche o per settori verticali; dunque una determinata minaccia può aver iniziato a diffondersi in un’area precisa per poi diffondersi ovunque, il che significa che molte aziende potrebbero trovarsi a doverla affrontare.

Le differenze rilevate come incidenza e gravità dell’impatto sono dipese principalmente dalla corretta applicazione di policy, prassi di security e capacità di detection e risposta.

Derek Manky, Chief Security Insights & Global Threat Alliances dei FortiGuard Labs ha sottolineato l’agilità dei criminali informatici, che cambiano rapidamente le proprie strategie per massimizzare i recenti eventi mondiali. Di conseguenza tutte le organizzazioni dovrebbero adattare quelle strategie di difesa per tener pienamente conto dell’estensione degli attacchi considerando anche il perimetro del network che entra nelle case grazie allo smart working. Per le aziende è fondamentale adottare misure volte a proteggere i propri dipendenti in remoto e nel lungo termine, i propri dispositivi e le reti domestiche. Per poter reagire ai virus informatici è buona cosa considerare l’adozione della stessa strategia che si sta già applicando nel mondo reale: il cyber-social distancing che consiste nel saper riconoscere i rischi e mantenere le distanze da essi.

I maggiori trend sono stati riassunti in cinque punti: il ransomware non diminuisce o scompare ma si specializza o aumenta le varianti aggiungendo il doppio ricatto verso organizzazioni di telecomunicazioni, MSSP, istituti di istruzione e del governo come settori maggiormente attaccati; la minaccia si muove verso gli OT (l’area Operational dell’IT) con particolare interesse per sistemi SCADA e ICS (sistemi di controllo industriale); le vulnerabilità aumentano in modo critico innescando un’attenzione crescente alla priorità delle patch e inoltre si prospetta per fine 2020 il superamento del record delle vulnerabilità pubblicate in un solo anno, con anche il tasso di exploitation più basso mai registrato nei 20 anni di storia dell’elenco CVE;  il perimetro del network esteso alle mura di casa da rendere più sicuro, a causa della continua necessità di lavoro da remoto e della conseguente estensione della superficie di attacco digitale. I criminali informatici in questa situazione cercano l’anello più debole e nuove opportunità di attacco. (fonte Global Threat Landscape Report)

Per capire meglio i diversi trand della minaccia abbiamo intervistato Carlo Forneris Principal System Engineer e OT Specialist in Fortinet

Dai risultati della Threat Intelligence considerato lo sfruttamento della pandemia cosa possiamo aspettarci ora che il virus ha ripreso forza e lo smart working è stato confermato? 

Il trend del lavoro agile è cresciuto in maniera esponenziale dall’inizio del lockdown. Molte aziende hanno approcciato questa nuova modalità di lavoro per evitare di interrompere le attività consentendo ai dipendenti di operare da remoto. Questo fenomeno è stato accompagnato da un aumento delle minacce informatiche, che hanno approfittato dell’aumento della superficie di attacco resa disponibile dalle migliaia di device connessi alla rete internet con l’aumento di quelle criticità che molte aziende prima ignoravano e facendo diventare la sicurezza un fattore cruciale per la business continuity. Quella che prima era una sicurezza perimetrale, garantita dalle soluzioni implementate all’interno del perimetro aziendale, oggi è spostata pesantemente sugli EndPoint fuori dalla rete aziendale: il PC dell’utente è diventato l’anello debole della catena. A dire il vero, molte realtà hanno iniziato a implementare soluzioni per controllare e gestire i device anche quando sono off-premise. Si tratta di un primo step, ma le azioni da fare sono ancora tante: dall’ aumentare la consapevolezza del rischio negli utenti, all’adozione di strumenti che possano accrescere il livello di verifica delle credenziali degli utenti, come le two-factor authentication.

Cosa consigliano i FortiGard Labs come azione preventiva sui propri sistemi per prepararsi alle minacce del tipo descritto? 

In generale, consigliamo alle aziende di dotarsi di sistemi che intercettino gli attacchi zero-day e che siano in grado di utilizzare il Machine Learning per fare analisi comportamentali. Come azienda offriamo strumenti che permettono di proteggere i sistemi sia contro attacchi conosciuti che contro gli zero-day: il FortiEDR, strumento di Ednpoint Detection and Response di nuova generazione che offre una protezione pre e post infection, registrando le azioni che vengono eseguite sui device per poter dare agli operatori del SOC (Security Operation Center) gli elementi per analisi forensi; la FortiSandbox, un tool in grado di simulare l’esecuzione del file, permette di verificare se ci siano componenti malevoli che possano intraprendere azioni inaspettate. La sandbox genera un report sulla bontà o pericolosità del file che viene condiviso prima all’interno della rete del cliente, e poi i Labs pubblicano le informazioni per riconoscere il file malevolo.

In ambito OT e IOT cosa fare invece per evitare di diventare facili target e quantomeno aumentare la capacità di detection o la prevenzione ai danni da attacchi informatici? 

OT e IoT a volte vengono visti come il ‘lato oscuro’ dalle aziende, in parte per una oggettiva mancanza di conoscenza delle vulnerabilità intrinseche e in parte perché sono ambiti spesso gestiti da team diversi con responsabilità diverse che molto spesso non comunicano tra di loro. Quello che solitamente manca è la visibilità completa, la consapevolezza di tutti i device connessi, informazione essenziale per sapere cosa sia necessario proteggere. un esempio di questo tipo, fra le nostre soluzioni è FortiNAC che identifica tutti i dispositivi connessi, li classifica per tipologia e introduce automatismi che prevengano la connessione ai non autorizzati, isolandoli. L’ideale, in linea generale, è fare affidamento ad un sistema in grado di individuare il device posizionandolo correttamente in rete. Altra azione fondamentale per proteggere i device OT/IoT è la segmentazione: la separazione logica dei device dietro ad un security gateway per poter controllare il traffico da/verso le reti da proteggere. Estremizzazione di questo approccio è la micro-segmentazione che permetterebbe di controllare anche il traffico interno alla rete OT/IoT.

Se una azienda non può comprare dotazioni Hw e Sw per realizzare un sistema di threat intelligence come può scegliere al meglio questo servizio fra i molti in commercio, ovvero che metriche dovrebbero essere seguite per la scelta? 

Le aziende devono innanzitutto sapere cosa devono proteggere. Se non possono avere dotazioni hardware o software proprietarie, esistono in commercio servizi quali i SOC (i Security Operation Center) attivi H24, con personale qualificato che, ricevendo i log di tutti gli strumenti implementati in azienda e correlandoli tra loro, identifica attacchi ed eventi rischiosi in tempo reale e, in base a processi predefiniti, possono generare alert e azioni per interrompere tempestivamente un attacco o prevenirne la diffusione. Per capire come scegliere il SOC migliore, è necessario identificare quali sono le tipologie di device da proteggere, la superficie di attacco e se parliamo solo di IT o anche di OT. Ai SOC offriamo soluzioni come il FortiSIEM, che aggrega informazioni da sorgenti diverse generando allarmi istantanei o report periodici in base alle necessità dei clienti.

Può spiegarci quali sono le fonti dati dei Labs da cui provengono le informazioni, ovvero oltre alle macchine installate ci sono altre fonti che forniscono dati sulla minaccia?

I Labs si avvalgono in parte dei dati che provengono dalle nostre soluzioni sul campo, arricchendole con informazioni provenienti da sorgenti esterne appartenenti alla Cyber Threat Alliance (una organizzazione non-profit che ha lo scopo di condividere informazioni di cybersecurity in real-time per migliorare l’ecosistema digitale): questo permette di arricchire i nostri signature con informazioni il più aggiornate possibili.

Come sono normalizzati i falsi positivi? 

Se un file o una transazione sono malevoli, i sistemi tradizionali signature-based sono in grado di identificarli verificando la presenza di queste stringhe all’interno dei dati in transito. abbiamo integrato componenti di machine learning con algoritmi matematici e analisi comportamentali del traffico degli utenti, in una serie di soluzioni del suo portfolio. Tra queste il FortiWeb, il Web Application Firewall che utilizza il machine learning per proteggere le applicazioni web in modalità continuous learning, permettendo di adattarsi al variale delle applicazioni e riducendo al minimo i falsi positivi. Questo approccio permette di inoltrare al SIEM solo le informazioni puntuali sugli attacchi identificati e agli operatori del SOC consente di analizzare le tecniche di attacco utilizzate ed a bypassare eventuali falsi positivi.

Come sono gestite le informazioni sugli attacchi targettizzati per poter avvisare di queste peculiari modalità tutti gli altri potenziali target dello stesso tipo? 

Gli indici di tipo “Indication of Compomise (IoC)” sono gestiti in un servizio che i Labs offrono per diffondere tutte le informazioni utili a identificare gli oggetti potenzialmente dannosi, comprensivo dell’elenco delle probabili fonti di attacco e delle modalità utilizzate dagli attaccanti. L’IoC package contiene fino a 500.000 record al giorno e viene condiviso con strumenti proprietari Fortinet (FortiSIEM, il FortiAnalyzer e tutti i prodotti della famiglia FortiCloud). I Labs, per generare questi record, sfruttano strumenti avanzati di Machine Learning e di Artificial Intelligence che permettono di accelerare il processo di identificazione delle informazioni necessarie.