TechTarget Tech InDepth

Cosa insegnano alle aziende i peggiori incidenti di sicurezza informatica del 2017

Il cybercrime continua a mietere vittime e la sicurezza informatica è ormai un tema prioritario per sempre più aziende. Ecco alcuni degli incidenti che nel 2017 hanno avuto gli impatti maggiori e la “lezione” che ciascuno di questi insegna.

Pubblicato il 26 Giu 2018

Attacchi informatici del 2017: l'attacco a Equifax

Violazioni dei dati, attacchi ransomware e altri incidenti di cybersecurity continuano a dominare le cronache e stanno contribuendo ad aumentare l’attenzione delle aziende sul tema. Le imprese stanno capendo che, di fronte al cybercrime di questi ultimi anni, nessuno può ritenersi “inespugnabile”: “Le organizzazioni che stanno muovendosi meglio strategicamente – ha detto l’analista di Gartner Anton Chuvakin – si stanno allontanando dalla speranza mal riposta di una completa prevenzione delle violazioni, impossibile da ottenere, per lavorare su un sistema combinato di misure di prevenzione, rilevamento intelligente e risposta rapida alle minacce”. La sicurezza informatica è sempre più riconosciuta come un tema complesso e prioritario: secondo Gartner la spesa per la sicurezza delle informazioni a livello mondiale è stata di 86,4 miliardi di dollari nel 2017 e raggiungerà quest’anno la quota di 93 miliardi di dollari.

Per comprendere la natura degli attacchi che stanno minacciando le imprese, di seguito l’elenco di alcuni degli incidenti di cybersecurity che nel 2017 hanno generato i maggiori impatti e l’analisi di Bryce Austin, CEO della società di consulenza IT di Minneapolis TCE Strategy, da cui trarre alcuni utili suggerimenti. E’ infatti opportuno seguire alcune best practice di cyber security al fine di proteggere la propria azienda dagli attacchi più comuni, prevenendo e mitigando il rischio di un attacco che può far perdere soldi e risorse alla stessa azienda, piegandola al pagamento di riscatti talvolta anche senza poi riottenere i dati persi.

Equifax: coinvolti 143 milioni di cittadini USA

La violazione a danno di Equifax (società americana di controllo del credito dei consumatori), scoperta dall’azienda a luglio dell’anno scorso, ha esposto le informazioni personali di 143 milioni di cittadini statunitensi.

Come ha detto Austin, “Equifax è stato un ottimo esempio, tra i migliori, di come non va gestita una grave violazione di sicurezza”. Il CEO spiega che il disordine con cui è stato affrontato l’incidente, le scelte e le mancate azioni fatte dal team di sicurezza hanno reso più che evidente che Equifax non aveva un piano di risposta agli incidenti testato e definito; l’impreparazione dell’azienda è stata già evidente a partire dalle difficoltà tecniche che ha avuto nell’applicare le patch che avrebbero corretto la falla presente nel sito Web ultra-critico della società, falla sfruttata di cybercriminali per l’attacco [ci si riferisce alla vulnerabilità critica di Apache Struts; per maggiori dettagli dettagli vedi l’articolo Apache Struts vulnerability blamed for Equifax data breach – ndr], .

“I dati esposti durante la violazione includevano 209mila numeri di carte di credito degli Stati Uniti e le informazioni personali di 182mila clienti statunitensi coinvolti in controversie in ambito creditizio”, dice Austin entrando nel merito di alcuni dei dati violati, per marcare la portata dell’impatto.

L’insegnamento che si può trarre dall’attacco a Equifax

Secondo le opinioni del Ceo e di Chuvakin sul “caso Equifax”, l’episodio rende chiaro quanto sia necessaria più intelligenza per affrontare la battaglia imposta alle aziende dal cybercrime; servono precisi piani di risposta agli incidenti e, sul fronte prevenzione, è necessario comprendere bene i livelli di priorità, ovvero riconoscere quali tipi di vulnerabilità debbano assolutamente essere risolte subito (la falla nel sito web Equifax è un chiaro esempio) e quali possono essere considerate meno urgenti.

Uber: accesso a un servizio di terze parti

A novembre Uber ha rivelato di essere stata vittima di una massiccia violazione dei dati avvenuta nell’ottobre 2016. Gli attaccanti sono riusciti a ottenere l’accesso a un servizio di terze parti basato su cloud (GitHub, un provider di cui Uber è cliente, che veniva utilizzato dagli sviluppatori dell’azienda) e così sottrarre le informazioni personali di 600mila autisti Uber statunitensi e 57 milioni di utenti Uber di tutto il mondo.

Secondo la ricostruzione dei fatti, aggrava le colpe di Uber il fatto che pare questa abbia pagato gli hacker per eliminare i dati e mantenere il silenzio sulla violazione, contravvenendo alle normative che impongono la notifica alle autorità competenti: “Uber potrebbe trovarsi in guai legali anche peggiori di quelli di Equifax. Se l’azienda venisse dichiarata colpevole di aver consapevolmente violato le leggi sulla notifica delle violazioni in 48 stati su 50, potremmo trovarci di fronte a una situazione ‘in stile Al Capone’: è stato condannato solo per evasione fiscale, ma lo hanno comunque mandato in prigione per tutta la vita [ovvero, la pena da pagare per l’azienda e le figure coinvolte potrebbe essere ben peggiore di quella che ci si potrebbe aspettare dal tipo di reato commesso – ndr]”.

L’insegnamento che si può trarre dall’attacco a Uber

Ecco quindi la lezione che si può trarre dall’episodio: È bene ricordare che trattare con i cyber criminali e percorrere la strada dell’omertà sono scelte di illegalità [in Europa il GDPR contiene punti specifici su cosa fare in caso di violazione dei dati – ndr] che potrebbero costare molto care.

NotPetya: il ransomware più distruttivo del 2017

NotPetya è stato il ransomware più distruttivo del 2017; ha infettato in pochi giorni centinaia di migliaia di computer in più di 100 Paesi del mondo. Si è diffuso fingendosi un aggiornamento del software fiscale ucraino MeDoc (usato dalle aziende per pagare le tasse). Austin spiega che proprio l’efficacia questa scelta, quella di “iniettare” NotPetya nel processo di aggiornamento di MeDoc, abbia reso la diffusione del ransomware molto difficile da arginare.

Il malware NotPetya utilizzava EternalBlue, lo stesso exploit di WannaCry (anch’esso da annoverarsi tra i gravi incidenti del 2017). Ma a differenza della maggior parte dei ransomware, lo scopo principale di NotPetya non è stato quello di “far soldi”, ma di danneggiare l’infrastruttura di un paese (l’Ucraina ha accusato la Russia di essere il vero autore dell’attacco). Come spiega Austin, NotPetya non era dunque propriamente un ransomware, ma “un potente virus distruttivo mascherato da ransomware; i produttori non puntavano a guadagni economici, volevano colpire chi stava facendo affari in Ucraina, e ci sono riusciti”. Più che per l’ottenimento del riscatto, il virus è progettato per diffondersi rapidamente e causare danni; la finalità economica è una copertura per un attacco che risponde in realtà a dinamiche di conflitto tra Stati. “Tra quelli di cui sono a conoscenza, NotPetya è stato l’esempio più eclatante di come le aziende possano ritrovarsi nel fuoco incrociato di attacchi legati a dispute tra Stati”, commenta Austin.

L’insegnamento che si può trarre dalla diffusione di NotPetya

Come difendersi da minacce con queste caratteristiche, ovvero ben mascherate, a rapida diffusione e finalizzate a causare problemi alle imprese? Secondo Austin, ad oggi “una forte segmentazione della rete è l’unica vera forma di difesa per limitare i danni”; in futuro, anche gli strumenti di sicurezza informatica basati sul comportamento potranno offrire un supporto importante, ma secondo il ricercatore si tratta di una tecnologia che deve ancora fare passi avanti.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 4