Cacciatori di dati perduti: Dalla vita quotidiana di un Incident Response Team
20 gennaio 2023
Sophos
Schwachstellen, Cybersecurity, Zukunft, Datenschutz
Peter Mackenzie, direttore dell'incident response di Sophos, è una sorta di Indiana Jones del panorama informatico: lui e il suo team scansionano instancabilmente i sistemi informatici alla ricerca di anomalie che indichino una minaccia informatica. Nella maggior parte dei casi, le vittime si rivolgono agli esperti perché sono state vittime di un attacco ransomware, ad esempio, o sono ancora nel bel mezzo di un attacco. Il punto cruciale è che quando un attacco ransomware paralizza i computer, non è l'inizio di un attacco informatico, ma il finale aggressivo. "Spesso descrivo il ransomware come una ricevuta che i criminali lasciano per ultima. Molte delle vittime a cui chiediamo quando è successo dicono che la crittografia è iniziata all'una di notte e che di conseguenza hanno ricevuto degli avvisi. Quando poi indaghiamo sui sistemi, spesso scopriamo che i truffatori erano già in rete da quindici giorni e si erano preparati", dice Peter Mackenzie.
Il crimine informatico è da tempo professionalizzato
Chi oggi pensa che una persona o un gruppo hackeri la tastiera giorno e notte, immagazzini finemente i dati criptati e li restituisca d'accordo all'onore dei truffatori dopo averli estorti per farsi una bella vita a Copacabana con il malloppo saccheggiato, ha visto troppi film degli anni Ottanta. In realtà, gli attacchi informatici sono da tempo professionalizzati. Esistono fornitori specializzati per ogni settore dell'attacco, che vanno da "Ti facciamo entrare in qualsiasi rete" (esiste già la professione di Initial Access Broker qui....), a "Compriamo i dati rubati", a "Ci occupiamo noi del ricatto". Le conoscenze specialistiche non sono necessarie e anche coloro che evitano di accedere al dark web possono diventare apprendisti cybercrook grazie a Google e ai video di istruzioni su YouTube.Anche l'eccessivo entusiasmo può essere un problema, come dimostra il caso recentemente descritto di più aggressori che, come gruppi di ransomware in competizione tra loro, hanno attaccato la vittima comune in una sorta di cambio di turno, sabotandosi a vicenda.La sciatteria nella manutenzione dei dispositivi diventa un tallone d'Achille
Secondo Mackenzie, un aspetto è estremamente importante per i truffatori dopo essere entrati nella rete: a cosa ho accesso? Per farlo, scansionano la rete, non alla ricerca di qualcosa in particolare, ma più come un ladro nel corridoio di un ufficio, che spinge ogni maniglia e alla fine apre una porta.Le opportunità per i truffatori intelligenti sono immense al giorno d'oggi. Quindi, se c'è un impulso sospetto in un sistema, il software di sicurezza lo rileva e lo elimina, non significa che il problema sia risolto. Nella maggior parte dei casi, una gestione approssimativa degli aggiornamenti, delle patch e dell'equipaggiamento di ogni singolo dispositivo è il piccolo inizio di un grande disastro.Una moderna difesa informatica solo con software aggiornati e competenze umane
Il crimine informatico è da tempo professionalizzato
Chi oggi pensa che una persona o un gruppo hackeri la tastiera giorno e notte, immagazzini finemente i dati criptati e li restituisca d'accordo all'onore dei truffatori dopo averli estorti per farsi una bella vita a Copacabana con il malloppo saccheggiato, ha visto troppi film degli anni Ottanta. In realtà, gli attacchi informatici sono da tempo professionalizzati. Esistono fornitori specializzati per ogni settore dell'attacco, che vanno da "Ti facciamo entrare in qualsiasi rete" (esiste già la professione di Initial Access Broker qui....), a "Compriamo i dati rubati", a "Ci occupiamo noi del ricatto". Le conoscenze specialistiche non sono necessarie e anche coloro che evitano di accedere al dark web possono diventare apprendisti cybercrook grazie a Google e ai video di istruzioni su YouTube.Anche l'eccessivo entusiasmo può essere un problema, come dimostra il caso recentemente descritto di più aggressori che, come gruppi di ransomware in competizione tra loro, hanno attaccato la vittima comune in una sorta di cambio di turno, sabotandosi a vicenda.La sciatteria nella manutenzione dei dispositivi diventa un tallone d'Achille
L'Incident Response Team non si limita a bloccare l'attacco, ma analizza anche i processi nei sistemi, cosa hanno fatto i cybercriminali e a quale scopo. E se hanno inserito delle backdoor per un successivo ritorno.
Secondo Mackenzie, un aspetto è estremamente importante per i truffatori dopo essere entrati nella rete: a cosa ho accesso? Per farlo, scansionano la rete, non alla ricerca di qualcosa in particolare, ma più come un ladro nel corridoio di un ufficio, che spinge ogni maniglia e alla fine apre una porta.Le opportunità per i truffatori intelligenti sono immense al giorno d'oggi. Quindi, se c'è un impulso sospetto in un sistema, il software di sicurezza lo rileva e lo elimina, non significa che il problema sia risolto. Nella maggior parte dei casi, una gestione approssimativa degli aggiornamenti, delle patch e dell'equipaggiamento di ogni singolo dispositivo è il piccolo inizio di un grande disastro.Una moderna difesa informatica solo con software aggiornati e competenze umane
Peter Mackenzie, dopo tutta la sua esperienza nell'affrontare quotidianamente le minacce informatiche in aziende grandi e piccole, consiglia la prevenzione. Le domande che seguono aiutano a individuare i punti deboli dell'azienda e a prendere le dovute precauzioni (strumenti, esperti, servizi, ecc.). E preferibilmente subito, per poter reagire rapidamente in caso di emergenza.Cosa succede se subiamo un attacco ransomware? Cosa succede se i nostri backup vengono cancellati? Cosa succede se qualcuno ci dice che c'è un aggressore nella nostra rete? La sicurezza è un processo completo e lungo che richiede una manutenzione e una correzione continue. I software che rilevano inizialmente le anomalie e gli esperti MDR (Managed Detection and Response) che identificano e bloccano gli attacchi 24 ore su 24 e limitano i danni ai sistemi sono le basi essenziali della moderna prevenzione e difesa dagli attacchi informatici.