CrowdStrike

Security. I sistemi legacy? Non proteggono in modo efficiente dagli attacchi

Snowflake: sicurezza e sistemi legacy

Crisi di fiducia nei fornitori di sistemi legacy e impennata degli attacchi alla catena di approvvigionamento del software. Luca Nilo Livrieri, Senior Manager, Sales Engineering Southern Europe di CrowdStrike commenta l’indagine Global Security Attitude Survey 2021, condotta da Vanson Bourne.

Il rapporto evidenzia che le richieste di riscatto e il valore delle estorsioni negli attacchi ransomware stanno aumentando in modo significativo, mentre la fiducia nei confronti dei fornitori di sistemi IT legacy ha subito un calo.

D’altronde, le aziende stanno rallentando la loro capacità di rilevare gli attacchi alla sicurezza informatica.

GC. Cosa è cambiato nel panorama degli attacchi informatici?

LL. Il panorama delle minacce è in continua evoluzione e negli ultimi anni questo cambiamento sta riguardando prevalentemente due aspetti.

Il primo è l’adozione, da parte degli attaccanti, di metodologie di attacco sempre più sofisticate e che tendono ad utilizzare vettori del tutto diversi da quelli tradizionali. Sempre più spesso, ad esempio, gli attaccanti scelgono di non utilizzare malware per veicolare un attacco.

Il secondo è l’attenzione che gli attaccanti rivolgono alla trasformazione dell’approccio lavorativo, come il recente diffuso ricorso allo smartworking o l’adozione sempre maggiore di un approccio DevOps allo sviluppo applicativo, nei casi in cui tali metodologie si basino su infrastrutture tradizionali.

In aggiunta a questo scenario, gli attacchi, spesso quelli più sofisticati, non hanno come proprio bersaglio primario le aziende che devono essere attaccate, ma si focalizzano su uno dei tanti anelli della supply chain.

GC. Perché gli attacchi sono diretti ai fornitori e non all’azienda stessa?

LL. Le motivazioni per questa scelta sono molteplici, le più importanti vanno ricercate nella ramificazione diffusa delle tecnologie nelle infrastrutture moderne e nella non omogeneità dei controlli applicati alle diverse entità.

Nel caso in cui una tecnologia sia particolarmente diffusa e per sua natura si trovi ad avere un ruolo rilevante in diverse aziende, la capacità di iniettare codice malevolo in questo tipo di software si traduce in un enorme vantaggio per gli attaccanti.

A questo aggiungiamo che, spesso, ed erroneamente, queste applicazioni vengono considerate intrinsecamente sicure e quindi su di esse non vengono applicati controlli adeguati. Ciò crea un gap di sicurezza che può essere sfruttato.

Nel caso di esternalizzazione di servizi di vario tipo, inoltre, le aziende possono trovare difficoltà ad applicare a fornitori terzi lo stesso livello di sicurezza applicato alle risorse interne.

Quando però i fornitori si trovano ad avere privilegi importanti su componenti chiave dell’infrastruttura, la possibilità di lasciare aperto un canale per azioni malevole diventa significativa.

GC. Quali sono le conseguenze?

LL. La risultante di queste complicazioni si concretizza nella impossibilità di sistemi IT legacy di essere autosufficienti nel fornire un sufficiente livello di sicurezza; il ricorso a stratificazioni di soluzioni puntuali per coprire il singolo gap di sicurezza non fa altro che rimandare il problema rendendo, nel contempo, più complessa la gestione. Questo riguarda inoltre non solo chi si occupa di IT Security, ma anche i team di IT Operations.

La sfida è riuscire, per quanto possibile, a disaccoppiare la Security dalle Operations, in modo da ottenere due risultati: rendere la Security più efficace ed adatta al cambiamento e sgravare le Operations da operazioni che tolgono tempo e risorse ad attività tradizionali.

Un ultimo e fondamentale aspetto è rappresentato dalla necessità di proteggere i diversi componenti infrastrutturali, a prescindere dalla loro tipologia e da dove questi si trovino. Basare una parte importante della sicurezza su sistemi IT legacy rende praticamente impossibile coprire adeguatamente e in modo omogeneo sistemi diversi, dal punto di vista del sistema operativo o dalla collocazione (on-premise o on-cloud o, in modo ancora più estremo, in ambiti DevOps dove il concetto tradizionale di sistema operativo non può essere applicato con le stesse implicazioni).

GC. Come impatta il legacy sulla capacità di reazione delle aziende in ambito cyber security?

LL. Se si vuole essere in grado di contrastare efficacemente il rinnovato panorama delle minacce, bisogna innanzitutto riuscire ad avere piena visibilità in ogni fase delle operazioni di attacco e, come step successivo, bisogna avere la capacità di interrompere queste operazioni o di porre rimedio in tempi molto rapidi.

L’approccio alla Security non può che essere multifattoriale ed è quindi importante capire le diverse tipologie di attacco, così da anticipare le azioni necessarie a una protezione efficace.

Una strategia di security davvero efficace deve prevedere un connubio perfetto di attività umane e tecnologia.

GC. Come si dividono i compiti?

LL. Per ciò che concerne l’attività umana, il ruolo degli analisti che lavorano per rendere una soluzione efficace è essenziale.

Sapere che uno specifico attaccante sfrutta determinate vulnerabilità, permette di focalizzarsi sull’aggiornamento delle applicazioni e quindi di coprire tale vulnerabilità; tutto ciò ha un impatto diffuso e ottenere un simile risultato presume l’avere a disposizione uno strumento che sia in grado di associare le metodologie di attacco ai diversi attaccanti.

Gli attaccanti, inoltre, non solo cambiano metodologie ma cambiano anche le motivazioni per i loro attacchi, spesso modificando le proprie scelte in tema di bersaglio degli attacchi stessi.

Per poter essere aggiornati su queste evoluzioni continue è necessario contare su strumenti che abbiamo la capacità di cercare queste informazioni tramite opportune investigazioni svolte dagli analisti e che, nel contempo, sappiano tradurre in scelte tecnologiche applicabili queste informazioni.

Per quanto riguarda la tecnologia, la soluzione deve poter avere una visibilità a un livello molto più profondo rispetto a quello fornito da soluzioni di tipo legacy.

Se un attacco è perpetrato senza l’utilizzo di malware, ma attraverso un uso illegittimo di applicazioni legittime, come nel caso di attacchi “living off the land”, la soluzione di sicurezza deve poter essere in grado di identificare questo comportamento e bloccarne l’esecuzione.