In questi giorni di emergenza coronavirus l’Italia ha scoperto lo smart working, un modello lavorativo tanto sbandierato quanto ancora poco applicato per motivi tecnici, organizzativi ma anche culturali retrogradi, come ad esempio il bisogno di controllare il dipendente (e un guinzaglio inghiottito dai bit della rete non solletica molto la fantasia di certi dirigenti vecchio stampo). Motivi che hanno rallentato la sperimentazione e l’adozione in larga scala, che invece proprio in questi giorni è costretta a esplodere tra chat, conversazioni e documenti di interi uffici che viaggiano allegramente nell’etere digitale. E si sa che il web è un mondo affascinante ma anche ricco di insidie. Le conosce bene Gabriele Zanoni, EMEA Solutions Architect di FireEye, prima società di sicurezza informatica a ricevere la certificazione dal Dipartimento di sicurezza interna degli Stati Uniti.

 

In che modo un hacker potrebbe sfruttare lo smart working dei dipendenti per infiltrarsi in una rete aziendale?

 

Per saperlo bisogna creare un Threat Model, ovvero analizzare come gli aggressori potrebbero comportarsi. Grazie alle sorgenti di Intelligence sulle Cyber minacce si possono collezionare informazioni importanti per modellizzare uno scenario di attacco. Ad esempio sappiamo che già nei primi giorni di febbraio gli hacker hanno avviato campagne di email a tema “coronavirus”. Hanno cioè inviato email con link che anziché puntare a statistiche aggiornate sul tema portavano allo scaricamento di file con malware. Gli aggressori in quel caso hanno impersonato gli enti sanitari e prediletto vittime nel settore governativo, ma simili email sono state inviate anche a clienti di banche. Ci possono poi essere attacchi di tipo Business Email Compromise (BEC), dove gli aggressori inviano email cercando di impersonare i colleghi di lavoro delle vittime. Spesso si fingono dirigenti per richiedere il pagamento fraudolento di fatture o richiedono al personale dell’ufficio paghe di cambiare l’IBAN dello stipendio associato a una persona in modo tale da incassarlo. In altri casi, infine, hanno contattato gli help desk aziendali per chiedere dei reset delle credenziali delle vittime. Anche gli accessi ai sistemi cloud o VPN possono essere soggetti a diversi attacchi. Come ad esempio:

“password brute force”, dove l’aggressore cerca di forzare l’eventuale password debole di uno specifico utente o del suo indirizzo email;

“password spray”, dove l’aggressore cerca di trovare tutti i nomi utenti o gli indirizzi email che hanno la stessa password;

“credential stuffing”, cioè il riuso di credenziali già rubate in passato per forzare i sistemi dove le vittime usavano la stessa combinazione di utente e password.

 

Quali sono i rischi a cui si va incontro in caso di accesso?

 

Dipende. L’obiettivo dell’aggressore può variare, e anche di molto: gli aggressori di tipo Cyber Crime sono spesso interessati ad accedere a dati e informazioni (es: carte di credito, password) per rivenderle sui Black Market. Altri, come i gruppi APT (Advanced Persistent Threat), sono invece interessati ad attività di spionaggio, accesso a proprietà intellettuale e sabotaggio. Quando gli aggressori identificano combinazioni valide per entrare nelle caselle di posta delle vittime spesso creano delle regole per fare in modo che ogni nuova email in arrivo venga mandata anche a un loro indirizzo di posta. In altri casi potrebbero invece sfruttare tale accesso per mandare email malevoli ai colleghi della vittima o a terze parti/fornitori. Se un aggressore ha il controllo del computer della vittima cercherà di autenticarsi su altri sistemi aziendali per recuperare altre credenziali valide, e cercherà di farlo senza usare altro malware per non essere identificato dagli Antivirus. Utilizzerò, quindi,  i normali comandi e programmi di Windows. Sia gli aggressori interessati al sabotaggio sia quelli motivati da ragioni economiche potrebbero poi voler rendere inutilizzabili i sistemi aziendali, ad esempio cifrandoli con un attacco ransomware per richiedere un riscatto, o renderli indisponibili al solo fine di bloccare l’operatività aziendale. Una delle ultime fasi di un attacco, infine, è quella di “exfiltration”, cioè la fase in cui l’aggressore porta via informazioni alla vittima, una fase che può avvenire anche a distanza di molti giorni dalla prima compromissione. Secondo le ultime statistiche pubblicate nel 2020 da Mandiant, la più rinomata azienda di Incident Response del mondo, un attacco sofisticato viene rilevato mediamente dopo 56 giorni. È chiaro che un aggressore che ha l’opportunità di restare all’interno di un sistema aziendale così a lungo può compromettere un numero molto alto di sistemi e quindi causare un danno particolarmente elevato.

 

Come si possono minimizzare le possibilità di un attacco?

 

Chi ha attivato recentemente servizi cloud per abilitare i dipendenti dovrebbe effettuare un hardening delle configurazioni e implementare delle best practice di sicurezza. Come ad esempio:

Utilizzare sistemi di analisi della posta con motori di anti-impersonificazione che consentano di bloccare gli attacchi di tipo BEC (Business Email Compromise);

Implementare sistemi di “sandbox” per l’analisi delle email che permettano di controllare i link e gli allegati delle email tramite macchine virtuali per verificare che non siano dannosi;

Assicurarsi che gli utenti abbiano password forti sia per la posta sia per i computer aziendali ed evitare il riuso delle stesse password;

Abilitare i sistemi a due fattori di autenticazione ove disponibili (es: token);

Monitorare con attenzione le attività di login sui sistemi aziendali e in Cloud, e monitorare se gli indirizzi IP siano nel perimetro geografico che ci si aspetta – ad esempio un accesso con un indirizzo IP russo o cinese potrebbe essere il segnale di un’autenticazione fraudolenta;

Usare sistemi ERD in grado di eseguire da remoto l’analisi forense di un computer compromesso. Spesso questo permette di salvare molto tempo al team aziendale di gestione degli incidenti in quanto permette di verificare subito la criticità della compromissione e nel caso peggiore di scollegare da remoto il PC della vittima dalla rete aziendale, isolando così l’aggressore;

Monitorare la navigazione web degli utenti per verificare non vadano su siti malevoli, ma anche la stessa rete aziendale per osservare eventuali “movimenti laterali”, specialmente nei segmenti di rete tra i computer degli utenti e i server critici (es: quelli della posta o quelli che gestiscono le credenziali ed i dati aziendali);

Analizzare i metadati della rete tramite sistemi di Analytics e di tipo DLP che permettono verificare quando dati aziendali e sistemi hanno tentativi di accesso, modifica o spostamento. Anche se purtroppo accorgersene in questa fase potrebbe essere troppo tardi.

 

Uno dei pochi modi per avere evidenze e dati certi quando si effettuano queste valutazioni è quello di usare un sistema di “Instrumented Security”, cioè un sistema che sia in grado di valutare l’efficacia delle protezioni aziendali (es: Firewall, Proxy, Antivirus, EDR, Antispam) a fronte uno specifico rischio Cyber. E se si vuole affrontare il tema dei Cyber attacchi in modo efficace, questo esercizio di Threat Modeling dovrebbe essere svolto periodicamente.

CLICCA QUI PER ISCRIVERTI AL GRUPPO WHATSAPP DI ESTREMECONSEGUENZE

TORNA ALLA HOME PAGE DI ESTREME CONSEGUENZE
CLICCA QUI PER ISCRIVERTI AL GRUPPO WHATSAPP DI ESTREMECONSEGUENZE

Condividi questo articolo:

Giornalista

Marco Romandini collabora con numerose testate online e cartacee, tra cui il mensile di inchieste “Millennium”, Il Fatto Quotidiano, Wired, Vanity Fair, National Geographic.

Commenta con Facebook