UNIS&F, VEM sistemi e Fortinet Insieme ad esperti di settore hanno analizzato, durante l’evento a Treviso del 31 maggio scorso, il panorama delle odierne minacce informatiche e i principali trend in ambito di cyber sicurezza, evidenziando le best practice da attuare per rendere resilienti le aziende.
UNIS&F, Unindustria Servizi & Formazione Treviso e Pordenone, all’interno del suo progetto Cyber Security Lab con i partner tecnologici VEM Sistemi e Fortinet e la collaborazione di Club Bit – associazione di IT manager del territorio – ha organizzato un evento per analizzare cosa succede durante un attacco informatico, sia dal punto di vista dell’attaccante che dal punto di vista delle aziende che si devono difendere. Insieme ad esperti di settore è stato analizzato il panorama delle odierne minacce informatiche e i principali trend in ambito di cyber sicurezza, evidenziando le best practice da attuare per rendere resilienti le aziende.
Da ormai diversi anni gli attacchi informatici sono in costante aumento: come ha evidenziato il rapporto Clusit 2022, solo nell’ultimo anno sono stati registrati ben 2049 gravi attacchi di sicurezza informatica, il 10% in più rispetto al 2020, anno di escalation del crimine informatico. Nessun settore ne è esente, tutti hanno la responsabilità di difendere le proprie organizzazioni per mettere al sicuro loro stesse e anche tutta la supply chain e la formazione è il primo – fondamentale – passo. Nel contesto italiano mancano almeno 100.00 mila esperti in cybersecurity come dichiarato dall’Agenzia per la Cybersicurezza Nazionale, è chiaro quindi come tutti i progetti e le iniziative di formazione abbiano un ruolo cruciale. “Da un anno, con partner tecnologici come VEM Sistemi e Fortinet, UNIS&F ha aperto il progetto Cyber Security Lab, piattaforma che vuole portare consapevolezza, formazione e supporto per tutte le aziende che si trovano ad affrontare il tema della sicurezza informatica” dichiara Alberto Mercurio Digital [Learning & Development] e coordinatore FabLab Treviso e Cyber Security Lab presso Unindustria Servizi & Formazione Treviso che prosegue: “L’evento odierno fa parte di una serie di attività che vogliono far ‘sporcare le mani’ a tutte le persone coinvolte nel processo della sicurezza mettendo a terra esperienze e una sensibilità a essere proattivi perché ormai tutto porta a capire che non è una questione di se, ma di quando verremo attaccati.”
La conferenza è stata ufficialmente aperta da Federica Maria Rita Livelli di Clusit, che ha spiegato: “Oggigiorno, le nostre organizzazioni – per poter essere competitive e resilienti – devono essere protagoniste del cyberspace e, per farlo, devono agire con piena consapevolezza per gestire problematiche di cybersecurity attraverso la predisposizione di una cybersecurity strategy che attinga ai vari standard e linee guida della sicurezza informatica, e una maggiore consapevolezza del contesto in cui si trovano ad operare, partendo dai propri obiettivi di business, ovvero identificando le informazioni critiche per il business, rendendo la cybersecurity parte integrante della propria cultura e considerando quali impatti sulla cybersecurity possono avere le decisioni prese dall’organizzazione. Pertanto, la cybersecurity non può essere considerata solo a posteriori, bensì deve essere integrata nelle priorità del business sin dall’inizio. “
La conferenza ha poi analizzato come la sicurezza informatica sia molto cambiata negli ultimi 10 anni. Il percorso di evoluzione delle strategie è stato raccontato da Paolo Zanoni, Sales Area Manager VEM sistemi: “Nel 2012 la difesa dagli attacchi cyber si basava principalmente sulla Prevention, quindi sulla protezione di un perimetro ben definito. In realtà già nel 2012 come VEM sistemi avevamo una divisione di Risk Anticipation, per analizzare i rischi cui sono esposti i nostri clienti. A partire dal 2013 abbiamo intuito che stava cambiando in maniera forte il paradigma della cybersecurity ed abbiamo fondato CERTEGO che è andata a complementare la nostra offerta. Certego si occupa infatti di Detection e Response. Il fatto di aggiungere queste due importanti fasi ci ha permesso, attraverso il nostro NOC/SOC di riuscire a disegnare un ciclo della sicurezza, dove alla fase di Response seguono quelle di Eradication&Recovery e di Post Incident Analysis che permettono, oltre che di ritornare alla normale operatività anche di disegnare per il futuro una migliore strategia di difesa. A questo modello della security abbiamo dato il nome di V-Secure.”
Tra tutte le minacce informatiche quella dei ransomware è diventata il pericolo da monitorare con più attenzione, come ha spiegato Umberto Zanatta, System Engineer di Fortinet: “La presenza dei ransomware continua a crescere, raggiungendo livelli sempre più alti; questo secondo il “Global Threat Landscape report” del 2021 di Fortinet che stima una crescita del 1070% da Luglio 2020 a Giugno 2021. Cosa sta dando così tanto vigore a questo fenomeno? In prima battuta I nuovi cybercriminali agiscono come una sorta di franchising permettendo, anche a chi non ha nessuna capacità tecnica, di compromettere i sistemi informatici delle vittime sfruttando il modello di “Ransomware as-a-Service”. Dalla costruzione del ransomware, alla raccolta dei dati di accesso ai sistemi fino alla compromissione del target tutto viene offerto come servizio; i guadagni (le fee) sono suddivisi tra tutti gli attori. In secondo luogo, i pagamenti del riscatto da parte delle vittime (fenomeno purtroppo in crescita nell’ultimo periodo) hanno innescato un ‘circolo vizioso’ grazie al quale i cybercriminali sono sempre più invogliati ad attaccare.”
Gli esperti di settore presenti hanno poi esaminato attraverso un’analisi dettagliata l’attacco informatico sotto una duplice prospettiva: quella dell’attaccante e quella della vittima. Ad introdurre la prima prospettiva, Alessandro Di Carlo, Forensics & Product Manager presso Certego, che ha evidenziato le singole fasi di un attacco informatico raccontando come e cosa pensa solitamente un attaccante quando si prepara a colpire: “Innanzitutto l’attaccante verifica quanto l’azienda che vuole colpire sia esposta su Internet andando a raccogliere qualsiasi informazione utile come per esempio quanti dipendenti abbia, quanti indirizzi email sono disponibili, se essi siano contenuti all’interno di database con credenziali rubate che potrebbero permettere di tentare un accesso con le informazioni rinvenute. Ogni dipendente è un potenziale punto di ingresso alla rete aziendale attraverso attacchi come phishing e smishing. Dopo che l’attaccante si è fatto un’idea iniziale, prosegue più in profondità. Quanti sistemi dell’azienda target, compresi domini e sottodomini, sono disponibili sul web? Quali servizi espongono tali target? Qual è la versione di questi servizi? Esiste almeno una vulnerabilità per essi? Se sì, si andrà alla ricerca di un exploit noto, nel caso ce ne fosse uno. Se l’esecuzione dell’exploit andrà a buon fine, l’attaccante si ritroverà all’interno dell’azienda per poi tentare di prendere privilegi di amministratore sul target compromesso. Al fine di non perdere tutti gli sforzi fatti fino a quel momento, l’attaccante cercherà poi di instaurare la cosiddetta “persistenza” per continuare ad avere accesso alla workstation compromessa. Tutto questo può richiedere mesi. A questo punto l’obiettivo dell’attaccante è espandersi e propagarsi il più possibile attraverso movimenti laterali. Nell’ultima fase, inizia a esfiltrare dati, a cifrare, a collezionare credenziali, fino a quando l’azienda non prenda verosimilmente coscienza della sua presenza.
Ad analizzare la seconda prospettiva invece Daniele Bonato ICT Manager Gruppo Piazzetta, azienda manifatturiera che produce soluzioni innovative di riscaldamento, che ha subito un attacco informatico nel marzo scorso. “Quando è successo l’incidente il nostro approccio è stato ‘non mi fido di nessuno’ abbiamo così deciso di optare per il fermo servizi. L’occasione è stata un importante momento di riflessione sull’importanza dei back up, di come siano fondamentali e di come sia indispensabile capire in quanto tempo si riescano a ripristinare i dati. L’attività più impegnativa è stata il controllo di tutti i dispositivi che si collegano alla rete, inclusi quelli in ambito OT. In seguito a questa esperienza posso dire che la cybersecurity deve essere considerata un tema di carattere organizzativo e che la continuità operativa riguarda processi di business e non solo IT. È emerso per esempio un chiaro problema a livello comunicativo: chi avvisa i dipendenti? Chi i clienti e gli stakeholder dell’azienda? Che tipo di informazioni veicolare verso l’interno e verso l’eterno? Per il futuro è inoltre indispensabile il security by design, prima che si introduca qualsiasi nuovo dispositivo in azienda bisogna confrontarsi con l’IT. Per tenere sotto controllo l’infrastruttura è indispensabile fare una mappatura dei dispositivi che si collegano alla rete con indirizzo IP, per proteggerli e monitorarli. Avere un piano di ripristino e tenerlo aggiornato, infine oltre che proteggersi è cruciale cercare di prepararsi e allenarsi perché un attacco prima o poi arriverà per tutti.”
Per ulteriori informazioni in merito a Cyber Security Lab, ai corsi di formazione erogati e alle iniziative in programma è possibile consultare www.unisef.it
