Intervista a Laurence Pitt, Security Strategist EMEA di Juniper Networks, che ci illustra le modalità operative del ransomware WannaCry e i possibili rimedi.
– Come ha agito il malware Wannacry? Quali sono state le possibili cause scatenanti?
WannaCry non sembra essere un attacco lanciato da paesi stranieri, anzi è molto probabile che si tratti di una campagna ideata da cybercriminali, molto ben orchestrata – ciò indicherebbe l’azione di un gruppo organizzato e non di un singolo hacker.
– Quali vulnerabilità ha sfruttato questo genere di attacco? Quali piattaforme sono state colpite principalmente?
Ciò che rende WannaCry diverso da altri recenti attacchi è la tempistica. WannaCry sfrutta una vulnerabilità di accesso remoto di Windows per la quale Microsoft ha rilasciato la patch in marzo. Molte aziende non l’hanno ancora installata – se poi utilizzano ancora Windows XP non hanno nemmeno potuto farlo non essendo più questo sistema operativo supportato da Microsoft. Ecco perché quando ShadowBroker ha reso pubblica una quantità di tool governativi comprendenti un metodo per sfruttare questa vulnerabilità è stata una corsa contro il tempo tra le organizzazioni, preoccupate di installare la patch nel più breve tempo possibile, e le bande criminali, impegnate nell’organizzazione dell’attacco.
– Allo stato attuale come possono reagire gli enti che sono stati attaccati?
Con questo attacco non è stato sottratto alcun dato. Il ransomware cripta i dati rendendoli inaccessibili. Ciò significa che potremmo non sapere mai quale sia stato il reale impatto di WannaCry dato che molte organizzazioni hanno preferito porvi rimedio senza fare troppo rumore. Dove l’attacco è riuscito, possiamo immaginare il verificarsi delle seguenti azioni:
Definizione di un piano per comprendere l’impatto della perdita dei dati criptati: i dati in questione possono essere recuperati, quanto tempo ci vorrà, quale sarà l’impatto sul business (brand versus fatturato)?
Analisi delle piattaforme esistenti: perché la vulnerabilità non è stata corretta? È il momento di abbandonare Windows XP (se ancora in uso)?
Definizione di un piano per riprendersi dall’attacco e, contemporaneamente, per accertarsi che le funzioni di sicurezza e protezione dei dati siano allo stato dell’arte.
– Quali attività devono compiere le aziende per evitare o minimizzare gli effetti di Wannacry?
L’unico modo per evitare gli effetti del ransomware è garantire che siano sempre rispettati i principi base della cyber-sicurezza:
Non utilizzare software datati (ad esempio, Windows XP)
Gestire prontamente le vulnerabilità, assicurandosi che gli aggiornamenti critici siano implementati in tempi brevissimi
Mantenere il software aggiornato: applicazioni, sistemi operativi, soluzioni di sicurezza devono essere aggiornati regolarmente e le patch possibilmente installate automaticamente.
Condurre regolarmente sessioni di formazione degli utenti per aiutarli a individuare possibili ransomware (o altre minacce come il phishing o gli spear phishing scam). WannaCry del resto si è diffuso con l’apertura di una “semplice” mail…
– In senso più ampio, e con riferimento al GDPR, quali sono le best practice che vi sentite di consigliare alle aziende?
Il GDPR contiene una dichiarazione dalla quale si evince che la tecnologia sarebbe allo stato dell’arte. Tuttavia, nella realtà le violazioni ci sono – quando non si tratta di veri e propri attacchi – e quindi c’è sempre il rischio di minacce più mirate. Mantenere lo stato dell’arte significa che:
Se o quando una violazione avviene, la responsabilità non può – e non deve – essere di software datati o di vulnerabilità conosciute
È indispensabile implementare nuove tecnologie – come Advanced Threat Detection, machine learning, analytics sui big data e cloud – in modo da ridurre i tempi di rilevamento e limitare i danni di un attacco
Gli utenti devono essere adeguatamente formati affinché siano in grado di riconoscere con facilità gli attacchi tipo phishing, spear phishing e simili.
– La formazione dei dipendenti è un tassello fondamentale. Utenti propriamente formati possono lavorare di concerto con le infrastrutture IT, irrobustendo la security della rete aziendale. In questo contesto, quali scenari potete osservare? Come si comportano le aziende? Quali suggerimenti potete impartire?
Credo, in tal proposito, di aver espresso il mio pensiero molto chiaramente nelle risposte precedenti. La formazione degli utenti è assolutamente fondamentale per evitare i possibili danni causati da questi attacchi. Poi ci sono le soluzioni tecnologiche:
Protezione a livello di rete, la capacità di utilizzare l’intelligenza degli elementi della rete affinché, nel momento in cui si verificano modifiche inattese o sconosciute, possa scattare un allarme e il rischio venga gestito in modo efficace e rapido
Tecnologie di Advanced Threat Detection, che sfruttino diverse risorse fisiche o cloud per identificare immediatamente il traffico sconosciuto e comprendere se si tratta o no di una minaccia. Queste tecnologie combinano molteplici fonti di intelligenza con tecniche di machine learning per generare immediatamente allarmi su possibili minacce o eventualmente effettuare ulteriori analisi. Nel cloud ciò avviene velocemente e senza impatto sul business.
Tuttavia, il problema di questi attacchi è che, per quanto adeguata sia la tecnologia utilizzata, dobbiamo prevedere che, ad un certo punto, la minaccia possa venire a contatto con un utente. Il ransomware viene attivato dall’apertura di una mail, dalla navigazione in un sito infetto o dal lancio di una macro all’interno di un documento. La formazione può aiutare gli utenti a capire quando c’è qualcosa di sospetto e allertare immediatamente il team preposto alla sicurezza.