Darktrace, gli istituti universitari a forte rischio malware

Darktrace, gli istituti universitari a forte rischio malware

Max Heinemeyer, Director of Threat Hunting di Darktrace, presenta una riflessione sul tema della diffusione di minacce informatiche negli atenei universitari.

Proteggere un’università rappresenta una sfida unica rispetto a qualsiasi altro tipo di organizzazione, pubblica, non profit o azienda privata. Gli istituti di istruzione superiore generalmente privilegiano un ambiente IT ad accesso aperto, per assicurare il libero scambio di idee, che permetta al contempo di mantenere un equilibrio con la necessità di garantire robuste difese informatiche per tutelarsi dal furto di proprietà intellettuale.

In effetti, il marcato aumento degli attacchi informatici negli ultimi tre anni non ha riguardato esclusivamente il settore privato: le università rappresentano un obiettivo di alto valore per qualsiasi cybercriminale, poiché le loro reti contengono una vasta gamma di informazioni sensibili, che vanno dai dettagli finanziari degli studenti ai numeri di previdenza sociale fino ai dati relativi a ricerche all'avanguardia. È soprattutto la ricerca a rendere le università target privilegiati per aggressori all’avanguardia e sponsorizzati da altri Paesi, poiché tali informazioni possiedono un valore inestimabile per i loro governi.

La scorsa settimana alcuni criminali cinesi hanno sferrato un attacco massiccio contro oltre 24 istituti universitari incluso il MIT, l’Università delle Hawaii e l’Università di Washington, dimostrando la gravità che tali iniziative possono raggiungere. Il gruppo a cui è stato ricondotto l’attacco, Mudcarp, ha tentato di sottrarre ricerche militari altamente sensibili su missili sottomarini, utilizzando e-mail di phishing mirate. Apparentemente provenienti da colleghi fidati di università partner e istituti di ricerca, queste e-mail hanno trasmesso payload dannosi sfruttando macro presenti nei documenti di Microsoft Word ed Excel e ottenendo così l’accesso alle reti sensibili dell’istituto. A causa del valore della tecnologia in questione, gli esperti hanno ipotizzato che questi attacchi siano stati probabilmente sponsorizzati dalla Cina, con l’obiettivo di far avanzare le proprie operazioni navali.

Le reti universitarie: un incubo per la difesa
Poiché contengono IP redditizio e vaste quantità di informazioni personali, le università sono tra le organizzazioni più prese di mira. Il numero elevato di studenti e personale che si connette alla rete ogni giorno implica, ad esempio, che le università abbiano centinaia, se non migliaia di punti di accesso, e al contrario delle aziende private, sia quasi impossibile garantire che questi vengano rigorosamente protetti. Questa realtà facilita la realizzazione di una delle fasi solitamente più ardue e dispendiose in termini di tempo nel ciclo di vita di un attacco: ottenere un punto d'appoggio iniziale all’interno della rete. Inoltre, gli istituti universitari spesso possiedono reti ad alto traffico e devono per questo implementare un sistema decentralizzato, in cui le diverse facoltà sono responsabili della sicurezza della propria porzione specifica di rete. Sebbene nel settore privato sia una pratica comune, in un ambiente universitario l'implementazione di un set uniforme di policy di sicurezza risulta difficile.
A peggiorare la situazione è il numero crescente di studenti che oggi collega più dispositivi BYOD alla rete, portando, di conseguenza, le università a presentare una superficie di attacco ancora più estesa di quella delle aziende private.

Allo stesso tempo, il flusso continuo di studenti nel campus aumenta la difficoltà di distinguere tra le minacce autentiche alla sicurezza e le attività benigne, anche se indesiderate, come il video torrenting. La cultura dell’accesso aperto, infatti, finisce per influire negativamente anche sull'atteggiamento degli utenti nei confronti del rischio, per cui gli studenti sono meno inclini a sentirsi responsabili della propria attività in rete rispetto ai dipendenti di un'azienda. In altre parole, gli utenti delle reti universitarie hanno maggiori probabilità di cliccare su link o allegati di posta elettronica sospetti: l'elevato volume di e-mail scambiate tra studenti e personale utilizzando indirizzi istituzionali rende le università un bersaglio ideale per le campagne di phishing. Anche i metodi di social engineering, come la delivery di malware tramite account illegittimi su Facebook e Twitter, sono particolarmente efficaci nelle università, a causa dell'uso diffuso di questi servizi da parte di quasi tutti gli studenti.
A tutto questo si aggiunge, infine, l’integrazione sempre più diffusa di dispositivi Internet of Things (IoT) poco protetti all'interno delle università, creando ulteriori punti di accesso alla rete a disposizione dei potenziali aggressori. Ad esempio, nel 2017, alcuni hacker hanno utilizzato tecniche di brute-forcing sfruttando le password di default su oltre 5.000 dispositivi IoT in un'università degli Stati Uniti, e integrando questi dispositivi in una botnet per attaccare la rete dell'università. Casi come questo non solo interrompono l'attività quotidiana creando caos nell’immediato, ma infliggono anche danni durevoli alla reputazione dell’istituto.

Intelligenza artificiale, unica via per invertire il trend
Piuttosto che costruire barriere perimetrali attorno alle reti dei campus, i team di sicurezza dovrebbero concentrarsi sul tracciamento e il monitoraggio dei dispositivi di rete, assicurandosi di essere immediatamente avvisati ogni volta che si verifica un incidente. In effetti, con una superficie di attacco così ampia da salvaguardare e così tanti dispositivi IoT e BYOD mal protetti connessi in ogni momento, gli attaccanti violeranno inevitabilmente i perimetri della rete. La chiave, quindi, è raggiungere una visibilità totale all'interno della rete e, in definitiva, neutralizzare gli attacchi che sono già in corso.
Sfortunatamente, è proprio nella visibilità sulla rete interna che i tradizionali strumenti di sicurezza impiegati dalla maggior parte delle università rivelano i propri limiti. Cercando solo le minacce conosciute, utilizzando regole fisse e firme, gli strumenti convenzionali da soli molto probabilmente non saranno in grado di identificare il prossimo attacco rivolto alle università nel mondo.
È quindi di importanza capitale che queste istituzioni imparino la lezione prima che sia troppo tardi. I sistemi di sicurezza di IA imparano a distinguere la differenza tra comportamento normale e anomalo per ciascun utente, dispositivo e rete, consentendo loro di rilevare e rispondere autonomamente alle sottili anomalie che indicano un attacco informatico in corso.
In conclusione, ritengo che l'obiettivo principale di una rete universitaria sia offrire ambienti di apprendimento altamente accessibili su una piattaforma il più sicura possibile. Per questo le università debbono oggi abbracciare la cyber IA per proteggere il valore della propria ricerca e dei propri IP, senza sacrificare l'interconnettività e la libertà, che abbiamo imparato ad aspettarci da un campus universitario.