Non è la prima volta che citiamo Wannacrypt e Petya su InternetPost. I due ransomware, soprattutto Wannacrypt, hanno attirato l’attenzione della stampa specializzata e non riaccendendo i riflettori sul tema della sicurezza online e le minacce che popolano il Web. Indipendentemente dalle intenzioni degli ignoti creatori (la richiesta di un riscatto in Bitcoin e la distruzione dei dati presenti sui computer) i due worm, una tipologia di malware in grado di autoreplicarsi senza la necessità di alcun intervento da parte della vittima di turno, sono riusciti a creare ingenti danni ad aziende e privati.
Anche i data center, teoricamente dotati di avanzati sistemi di protezione, sono stati colpiti duramente dai malware: “i tradizionali log di rete e strumenti di analisi comportamentale [possono non rilevare] questo tipo di infezioni. Mantenere i sistemi sempre aggiornati è certamente utile ma [il tutto si rivela inutile] se gli worm sfruttano vulnerabilità zero day [in gergo falle ignote fino a quel momento persino agli sviluppatori di un determinato software – ndr]” ha commentato Ambuj Kumar (CEO Fortanix, agenzia di sicurezza informatica), uno degli esperti interpellati dal portale Data Center Knowledge per approfondire il tema degli worm nei data center e di come sia possibile salvaguardare al meglio le vitali infrastrutture.
Software DCIM
I data center sono inevitabilmente connessi alla rete e diversi elementi all’interno del perimetro di sicurezza possono involontariamente fungere da punti di ingresso per gli worm: “come mostrano [i recenti] avvenimenti, se un dispositivo o un software del perimetro sono rintracciabili sulla rete [possono essere eventualmente sfruttati per superare le difese]”.
Tra i software più comunemente adoperati anche i DCIM o data center infrastructure management, anch’essi potenzialmente afflitti da varie falle, come afferma Leigh-Anne Galloway di Positive Technologies: “[ad esempio una particolare vulnerabilità dei software DCIM] consente agli hacker di accedere da remoto a informazioni non crittate [presenti nei] sistemi di supporto dei data center come sistemi antincendio, generatori d’emergenza etc. […] Le vulnerabilità possono essere utilizzate per incursioni mirate o attacchi [più ampi] e possono complicare notevolmente la vita di compagnie che [contano sui data center per l’esecuzione di task cruciali per il loro business]”.
Controllo e restrizione degli accessi
Network segmentati con accessi limitati e dati protetti da crittografia sono in grado di bloccare/rallentare la propagazione dei malware. Per agevolare la diffusione dell’infezione, Wannacrypt e Petya si appoggiavano ad esempio ad un vecchio protocollo file sharing (SMBv1).
Una delle sfide più grandi per le aziende e gli addetti ai lavori è quella di “restare al passo dei tempi”: “Alla fine dei lavori molte compagnie che [avviano la costruzione di un network si accorgono di essere completamente cambiate”. Quel che importante è conoscere le varie reti aziendali, sapere cosa vi sia dentro e come siano collegate tra loro aggiunge Simon Gibson (security architect, Gigamon). Solo quando si verrà colpiti da un attacco si potrà tuttavia valutare il reale profilo di rischio dell’azienda: “Wannacrypt ha cambiato il mondo e dimostrato che l’illusione del perimetro di sicurezza è finita”.
Il problema delle applicazioni
I server dei data center hanno un importante vantaggio rispetto ai classici laptop e sistemi destktop: sono in grado di eseguire un limitato numero di applicazioni (predefinite) limitando quindi il raggio d’azione degli worm, osserva un esperto. Il problema principale è che le misure di sicurezza più diffuse si focalizzano
sull’individuazione delle minacce, il che lascia esposti i data center a nuove tipologie di attacchi. Il solo fatto di non poter accedere al codice sorgente di un’applicazione, sottolinea, impedisce alle aziende di realizzare ad esempio degli agent su misura:
“Le soluzioni di sicurezza tradizionali si basano [sull’individuazione delle minacce] perchè l’onere di proteggere le applicazioni spetta ai clienti che acquistano ed effettuano il deploy di applicazioni di terze parti come Microsoft Exchange ed Oracle CRM […]. Senza l’accesso al codice sorgente […] i data center manager possono solo considerare i software come delle scatole nere che vanno protette da quel che sono in grado di comprendere – le minacce conosciute. […] [Perseguire questo modus operandi non è altro che un’opportunità sprecata per ripensare come ci si debba veramente difendere]” ha aggiunto l’esperto.
Sotto attacco
Nessun sistema di sicurezza è perfetto, prosegue, e sarebbe opportuno ragionare sempre come se i malintenzionati fosser riusciti in qualche modo a superare le difese. La crittografia è un prezioso alleato, suggerisce Ambuj Kumar.
“[Occorre] preservare la sicurezza dei dati anche dopo che il sistema è stato infettato. […] Un malware o un worm possono tentare di rubare preziose informazioni leggendo i file o analizzando il traffico di rete ma [otterranno solo dati crittati]”.
La crittografia, se possibile, andrebbe applicata sia ai dati in transito che a quelli archiviati, alcuni recenti strumenti permettono addirittura di proteggere i file in utilizzo impedendo che il worm possa ottenere dati dai processi in memoria, conclude Kumar.
Fonte: 1