Lo scorso autunno è stato generato un attacco hacker di dimensione mondiale che ha interessato soprattutto Nord America ed Europa: una rete intera di dispositivi infettati, tra cui fotocamere, stampanti, cancelli elettrici, controllati in remoto, ha causato tre attacchi in poco lasso di tempo, che hanno paralizzato per ore molti sistemi di banche, del governo, i server di Visa e PayPal, quelli di grosse emittenti televisive, di compagnie di telecomunicazioni e molti altri. Potenzialmente, ogni dato conservato su un cloud o su un qualsiasi device è esposto a cyber attacchi: in Italia, c’è stato un recente caso di CryptoLocker in una ASL che ha pagato immediatamente il riscatto richiesto dagli hacker per riottenere i dati dei propri pazienti. Ovviamente, il luogo non è stato reso di dominio pubblico, ma l’episodio espone tutti a un rischio molto alto.
Certamente, l’anno 2016 è stato particolarmente significativo per tutti coloro che si occupano di Cyber Security: secondo l’Internet Secutiry Threat Report 2017 di Symantec, nel 2016 si è infatti assistito al raddoppiamento delle attività di manipolazione e sabotaggio su strumenti IT e servizi cloud relativamente semplici. Attacchi DDOS, phishing, o-days e altri generi di minacce sono diventate sempre più comuni ai danni sia di aziende private che di amministrazioni pubbliche. Il paese che resta al primo posto per il numero di attacchi subiti durante l’anno sono gli USA, seguiti dal Giappone. Sul podio, al terzo posto, anche l’Italia, a cui è stato destinato il 7,1% dei cyber-attacchi mondiali.
Attenta da sempre alla sicurezza delle reti di connessione, VueTel, azienda di telecomunicazioni che opera nel mercato dei servizi wholesale internazionali voce e dati con focus nel Mediterraneo e in Africa, ha stilato un vademecum di azioni principali che si possono effettuare per salvaguardare i sistemi da intrusioni esterne:
- Fare un update frequente di username e password in modo da renderle più sicure e aggiornare costantemente i sistemi operativi e le applicazioni esposte a internet, con particolare attenzione alla loro configurazione. Il fingerprinting è infatti lo step numero uno di chi decide di eseguire un attacco informatico per determinare quali software (e relative versioni) ci sono dietro a un servizio, così da poter capire quali sono le vulnerabilità aperte (bug) e avviare quello che si definisce ‘exploit’, o attacco mirato.
- Prestare particolare attenzione alla configurazione dei firewall, aprendo solo le porte e i protocolli necessari, in modo particolare da parte di quelle aziende che espongono i propri servizi su internet come banche o amministrazioni, e utilizzare tool di sicurezza che permettano di impostare delle soglie definite (per esempio, il numero di richieste al secondo o il numero di tentativi di autenticazione), così da poter bloccare richieste che eccedano il numero massimo stabilito.
- Aumentare il livello di cultura generale in ambito cyber-security, attivando corsi e processi di awareness rivolti ai dipendenti.
- Creare una connessione internet apposita per i guest (ospiti) dell’azienda, così da non dover fornire credenziali d’uso puramente lavorativo, salvaguardando la sicurezza della rete aziendale e soprattutto dei suoi dati sensibili.
- Favorire una maggiore comunicazione e informazione verso gli enti preposti (come, per esempio, la polizia postale) in modo tale che il singolo dipendente possa contribuire a ridurre i tempi di rilevazione di eventuali attacchi informatici, permettendo così l’efficacia di una conseguente azione di contrasto.
“Tra i vari ambiti della Cyber Security, gli attacchi Dos e DDos sono tra i più frequenti. Il loro obiettivo è quello di generare un disservizio che può durare anche settimane, causando perdite economiche o reputazionali. I Dos (Denial of Service) sono gli attacchi effettuati da un solo e unico dispositivo verso un altro, volti a rendere non disponibile un certo servizio, solitamente un web server. Il DDos, invece, si presenta come un attacco Dos generato da più dispositivi ma rivolto comunque a un solo altro dispositivo, e quindi potenzialmente più invasivo ed efficace – spiega Giovanni Ottati, Ceo di VueTel – Tutti gli attacchi Dos e DDos sono distinti in tre macro categorie tra attacchi di tipo volumetrico, di protocollo e di tipo applicativo. Mentre gli attacchi volumetrici e di protocollo cercano di portare a saturazione la banda internet del target o i buffer degli apparati di rete connessi al target (come router o server), quelli applicativi sfruttano invece una possibile falla di un servizio esposto ad internet, rivelandosi spesso imprevedibili e difficili da individuare”.
Qualora ci si rendesse conto di aver subito un attacco o qualora si indentificasse una possibile minaccia in uno o più dei dispositivi aziendali, o addirittura nella totalità della rete, VueTel consiglia di adottare alcune misure di contrasto contenitive nell’attesa che la minaccia venga arginata dagli operatori competenti come:
- Isolare i dispositivi su cui si è riscontrata la minaccia, per evitare che altri dispositivi o macchine siano esposti allo stesso rischio.
- Aggiornare immediatamente le patch di sicurezza di tutti i server e i dispositivi che possano in qualche modo essere attaccati o infettati.
- Individuare le dinamiche di diffusione della minaccia per cercare di rallentarle attraverso blocchi mirati del traffico della rete, nell’attesa dell’intervento degli esperti competenti.
- Attivare la collaborazione con gli enti pubblici competenti, come per esempio la Polizia Postale o il Cert, utilizzando protocolli condivisi stabiliti in precedenza.
Produrre un’eco su scala mondiale per ragioni ideologiche, politiche o di ribellione, oppure ricevere un ritorno economico sotto forma di riscatto, soprattutto quando ad essere attaccata è un’intera azienda, sono alcuni degli obiettivi che muovono gli autori dei cyber attacchi. Sempre secondo l’Internet Security Threat Report 2017, nel 2016 la richiesta di riscatto da parte di hacker per permettere alle realtà colpite di rientrare in possesso di dati e funzionalità dei propri dispositivi è aumentata vertiginosamente fino a raggiungere i $1077, il 266% in più rispetto all’indagine dell’anno precedente.
“È necessario implementare soluzioni di monitoring, in grado di classificare anomalie nel traffico dei dati in rete, e intervenire in maniera proattiva con tecniche di mitigation per poterle, se serve, debelllare,” spiega ancora Ottati. “A queste si aggiungono anche tecniche di machine learning, un sottocampo dell’intelligenza artificiale, per l’anomaly detection, che si basano sull’estrazione delle caratteristiche più salienti del traffico in condizioni normali e sulla classificazione dello stato della rete per capire se è in corso o meno un attacco”.