La Cybersecurity ai tempi del Coronavirus

Non sono un esperto di medicina, non sono un esperto immunologo e anche se parlo da anni di virus e vulnerabilità con nomi che sembrano termini medici tipo Heartbleed, Shellshock, mai avrei pensato di dover scrivere su COVID-19, qualcosa che sembra un termine tecnico informatico, ma che invece è tristemente medico.

Forse è questa l’unica buona notizia: trattandosi di qualcosa di biologico, non può direttamente compromettere un computer.

Le buone notizie però finiscono qui. 

Gli esperti di CyberSecurity dividono la popolazione in due: chi ha subito un incidente e chi non sa di averlo subito.

Infatti una delle barriere più difficili da superare è che la vittima è molto spesso inconsapevole e quindi non ritiene di dover fare opportuni investimenti per prevenire un incidente, per accorgersi di un incidente e per rispondete ad un incidente. Per poter essere consapevole è necessario usare quei “tamponi” che servono a rilevare un “virus” (attività malevola ) e dopo averlo analizzato classificarlo come “positivo” ( incidente). Il fatto che però non si usano tamponi, non vuol dire che si è più sicuri. Il malware wannacry ha fatto molti danni non perché non c’erano misure di prevenzione, ma perché non c’era la capacita di monitorare eventi malevoli.

In sostanza wannacry ha avuto successo dove il perimetro non era costituito da un SOC in grado di fare “tamponi” e verificare che ci fossero dei “positivi”. In tutto questo le analogie con il coronavirus (COVID-19) cominciano a vedersi in modo chiaro: secondo gli esperti il virus circolava già da diverse settimane in modo latente prima di essere intercettato nel momento in cui si è ammalato il cosiddetto paziente 1.

A quel punto ci siamo accorti che era avvenuto un incidente. E siamo corsi ai ripari.

Un tema diverso è quello di dove gli attaccanti comprano e vendono strumenti e dati difficilmente reperibili in un mercato lecito: il dark web. Il dark web è l’insieme di contenuti su internet che possono essere raggiunti solo tramite specifici software (Tor, Freenet, I2P) che garantiscono un certo anonimato a coloro che accedono. Il dark web è solo una piccola parte del deep web, e cioè il web che non è indicizzato. Vorrei essere chiaro: questo non vuol dire che tutti coloro che frequentano il dark web sono dei criminali. Ma che sul dark web è possibile nascondersi meglio e nascondere eventuali attività non legali. Chi pensa che sia questo un dominio riservato solo ad esperti informatici, si sbaglia.

In questi giorni di emergenza sanitaria sul dark web si possono trovare mascherine ma anche medicamenti che suggeriscono come prevenire e curare il coronavirus. Senza commentare i prezzi esorbitanti, è veramente incredibile, o potremmo dire immorale, come in questo momento così drammatico, ci sia gente che non si fa scrupoli ad approfittare di situazioni di emergenza per trarne vantaggio economico. Non mi dilungo oltre, ma per chi vuole saperne di più segnalo un articolo scritto da uno dei più grandi esperti di CyberSecurity al mondo, Gianluigi Paganini https://securityaffairs.co/wordpress/98574/deep-web/coronavirus-darkweb.html.

La necessità di ridurre e ritardare l’infezione ha indotto le aziende ad adottare forme di lavoro remoto. Tralasciando le implicazioni sociali ed economiche che questo comporta, mi soffermo solo sulle questioni che sono più rilevanti dal punto di vista della CyberSecurity.

1. Lavorando da remoto aumenta la fruizione di servizi aziendali tramite dispositivo mobile spesso utilizzato anche per uso personale. La gestione dei dispositivi mobili (Mobile Device Management) consiste nel creare dei container sul dispositivo per applicazioni aziendali il cui utilizzo ed operatività soddisfino le policy aziendali, nel definire e gestire policy di accesso al dispositivo, integrare i dispositivi mobili nel perimetro di dispositivi controllati da un Security Operation Centre, mantenere i dispositivi aggiornati
2. Lavorando da casa i dipendenti saranno costretti a collegarsi da remoto a infrastrutture aziendali. Idealmente questo dovrebbe essere fatto affidandosi alla connessione che l’azienda mette a disposizione, ma è naturale che spesso il dipendente collegherà il dispositivo alla rete aziendale tramite il proprio router. Questo router in genere fornisce servizi anche ad altri dispositivi domestici. Per quanto la connessione possa essere fatta in modalità sicura, aumenta l’esposizione del dispositivo e quindi è naturale prevedere un aumento di attività criminali che sfruttano adiacenza e lateralità del dispositivo stesso. Le attività criminali andranno ad identificare vulnerabilità non conosciute e svilupperanno tecniche di attacco non conosciute. La conseguenza è che la difesa perimetrale fatta tramite i classici antivirus che si basano solo su signature e applicazioni firewall non sarà più sufficiente.  

Quali sono le misure da adottare?

1. È necessario adottare soluzioni di Endpoint Detection and Response
2. È necessario prendere atto del fatto che i dispositivi che si collegano da remoto possano essere più vulnerabili e definire delle policy di accesso flessibili e che tengano conto di questo contesto (microsegmentazione)

Concludo con delle considerazioni sulla telemedicina, i cui vantaggi e benefici sono noti ma che in situazioni del genere possono diventare imprescindibili: ridurre il contagio dovuto a prossimità tra medico e paziente, accelerare diagnosi, raggiungere posti non facilmente raggiungibili.

• La sanità, anche senza emergenza coronavirus. è una delle industrie più appetibili per i criminali. La telemedicina va ad estendere un perimetro già difficilmente difendibile.
• Diventa sempre più importante aumentare la visibilità non solo su persone infette, ma anche su eventuali agenti malevoli che agiscono sull’IT utilizzato dalla sanità. Quindi serve realizzare dei SOC i cui modelli di delivery e funzionalità siano focalizzati sulla sanità.
• Migliorare la consapevolezza degli operatori di settore. Bastano corsi di poche ore per poter drammaticamente ridurre la incidenza di incidenti che coinvolgono il fattore umano.
• Aumentale la capacità di poter rispondere ad un incidente tramite cyber-range specifici per il mercato della sanità e telemedicina.