Ransomware, intervista ad Antonio Madoglio di Fortinet

Ransomware, intervista ad Antonio Madoglio di Fortinet

Nel corso della nostra intervista ad Antonio Madoglio, SE Manager di Fortinet Italia, l’esperto ci illustra i meccanismi e le cause scatenanti l’ormai “celebre” attacco WannaCry.

- Come ha agito il malware Wannacry? Quali sono state le possibili cause scatenanti?
Il modo in cui WannaCry ha agito non è particolarmente diverso rispetto a quanto avvenuto con molti altri malware in passato. Di certo sono stati utilizzati allegati di posta e link malevoli, nella migliore tradizione del phishing, con la probabile integrazione di strumenti aggiuntivi. Il concetto di fondo però è il solido, ovvero il fatto di spingere l’individuo a compiere un’azione illecita, o quanto meno imprudente, mettendo in questo modo a rischio la sua organizzazione. In questo senso, non possiamo dire che WannaCry rappresenti qualcosa di nuovo o inedito sul panorama della cybersecurity. Quello che ha fatto davvero notizia è la scala dell’attacco, condotto con una portata vista raramente prima, tanto da colpire oltre 250.000 computer in più di 150 paesi. Se le modalità con cui il malware si è diffuso sono in fondo chiare, molto meno chiara è la responsabilità di chi ha condotto questa operazione. Si sono sprecate teorie differenti, ma quello che è chiaro è che alle spalle di tutto c’è un’organizzazione ben strutturata, non solo competente a livello tecnologico ma anche e soprattutto organizzativo. Aziende come Fortinet non si stancano di ripeterlo, è questa la nuova frontiera del cybercrime: organizzazioni evolute che compiono le loro azioni con un piano ben chiaro in mente.

- Quali vulnerabilità ha sfruttato questo genere di attacco? Quali piattaforme sono state colpite principalmente?
L’attacco ha colpito sistemi Windows di varia tipologia, di taglio sia consumer che enterprise. E ha sfruttato alcune vulnerabilità critiche che peraltro la stessa Microsoft aveva evidenziato qualche mese fa in uno dei suoi Security Bulletin, e per cui erano state fornite patch specifiche. Anche i principali vendor di sicurezza, tra cui Fortinet, avevano rilasciato per tempo patch dedicate, oltre a indicazioni pratiche per la loro applicazione. Come spesso accade però, numerosi sistemi non sono stati aggiornati né dotati di patch, e sono stati oggetto di questo specifico attacco. In un certo senso è fisiologico che i sistemi complessi come quelli operativi presentino delle vulnerabilità. Ai vendor spetta il compito di indentificarle sul campo prima che potenziali hacker le sfruttino in modo malevolo e dannoso. Un fattore costante da parte degli hacker è comunque l’attenzione verso le piattaforme più diffuse, non perché siano meno sicure di per sé, ma proprio per la loro diffusione, che consente loro di ampliare molto il potenziale target di un attacco.

- Allo stato attuale come possono reagire gli enti che sono stati attaccati?
Una volta appurato che l’attacco a cui sono stati sottoposti si è rivelato efficace devono occuparsi di ripristinare dati e sistemi compromessi, nella speranza di essersi dotati di sistemi di backup e ripristino efficaci. Rimessi in piedi i propri sistemi, devono fare tesoro dell’esperienza accumulata per evitare di trovarsi nella stessa situazione in futuro, predisponendo quindi tutti i sistemi necessari ad evitare una nuova infezione, attraverso un costante aggiornamento dei sistemi e l’utilizzo di soluzioni di sicurezza di nuova generazione, capaci di considerare l’infrastruttura aziendale nel suo complesso. Ancor più importante è la definizione di processi e policy relativi ai sistemi e dai dati: chi può accedere a determinate informazioni ed in che modo, con la possibilità di evidenziare eventuali anomalie.

- Quali attività devono compiere le aziende per evitare o minimizzare gli effetti di Wannacry?
La prima indicazione è quasi banale, ed è quella di aggiornare regolarmente i propri sistemi, nello specifico – ma non solo – con l’applicazione delle patch di sicurezza via via richieste. Sono indicazioni che non ci stanchiamo di ripetere sul nostro blog: ancora prima di dotarsi di soluzioni di sicurezza avanzate, serve che i sistemi di produzione siano completamente sotto controllo, aggiornati e dotati di tutte le patch suggerite. Fatto questo, serve disporre di un sistema di sicurezza esteso, in grado di considerare l’infrastruttura aziendale nel suo complesso, identificando e correlando tra loro ogni possibile anomalia, e fornendo ai responsabili informazioni in tempo reale – ma anche storiche ed aggregate – su quello che sta succedendo nella rete. Il Fortinet Security Fabric permette di tenere sotto controllo tutti gli aspetti differenti di una rete enterprise, evidenziando ogni possibile anomalia e permettendo in ogni momento un intervento correttivo.

- In senso più ampio, e con riferimento al GDPR, quali sono le best practice che vi sentite di consigliare alle aziende?
Il GDPR entrerà in vigore a maggio 2018, ma il suo impatto sulle organizzazioni inizia a vedersi già ora. La normativa rende di fatto obbligatorie best practice già ampiamente adottate in alcuni settori e ne introduce di nuove. L’impatto maggiore sulle aziende è di livello organizzativo: le aziende dovranno trattare i dati a loro disposizione in modo organico, con una visione di insieme. Dovranno sapere dove sono, chi li può utilizzare e a che scopo, dovranno proteggerli sempre in modo adeguato... Per fare questo, avranno bisogno di dotarsi di tecnologie abilitanti, che li mettano in condizione di avere una visione complessiva del dato in azienda, e di agire tempestivamente – e in modo documentato – nel caso di anomalie. Il Fortinet Security Fabric consente questa gestione complessiva della sicurezza in azienda, ed in particolare la nostra soluzione FortiSIEM permette di correlare e analizzare le informazioni provenienti da fonti differenti per avere una visione di alto livello sull’intera infrastruttura aziendale.

- La formazione dei dipendenti è un tassello fondamentale. Utenti propriamente formati possono lavorare di concerto con le infrastrutture IT, irrobustendo la security della rete aziendale. In questo contesto, quali scenari potete osservare? Come si comportano le aziende? Quali suggerimenti potete impartire?
La formazione è importante, almeno quanto la tecnologia. Un’azienda può dotarsi delle soluzioni tecnologiche più avanzate ma, se i dipendenti adottando comportamenti non conformi alle policy, queste non potranno mostrare appieno il loro valore. E non per forza si tratta di comportamenti fraudolenti, nella gran parte dei casi di “semplice” disattenzione o leggerezza, che però può avere effetti davvero devastanti. A maggior ragione ora che molti dispositivi vengono condivisi tra casa e lavoro, utilizzati in ambiti differenti. Formare gli utenti, sensibilizzarli all’uso corretto delle tecnologie che hanno in mano, illustrare i rischi di sicurezza che la loro organizzazione corre, sono elementi fondamentali, che devono essere considerati insieme ad ogni investimento tecnologico – su sistemi di sicurezza e non solo... Gli scenari attualmente sono i più vari: le aziende e i settori più normati sono piuttosto avanti, con la definizione e l’implementazione di procedure dedicate, e un personale mediamente abbastanza consapevole. In altri scenari, il lavoro da fare è ancora importante. E non si tratta tanto di formazione all’uso degli strumenti, quando di indicazioni legate ai processi aziendali, che distinguano quelli sicuri da quelli a rischio, e soprattutto che spingano i dipendenti a non agire d’impulso, ad esempio cliccando su un link arrivato via email, ma piuttosto a confrontarsi con un superiore o a fare riferimento alle policy. Fortinet con i suoi partner investe molto nella formazione, proprio perché si tratta di un pilastro importante per ogni efficace strategia di difesa.