Sono ormai passati 4 giorni da quanto è stata diffusa la notizia dell’attacco hacker subito da Microsoft. Sono dunque emersi una serie di dettagli che rendono questo attacco sicuramente preoccupante, ma altrettanto sicuramente un importante caso di studio.
I temibili Nobelium
Il gruppo di hacker che sarebbe dietro all’attacco prende il nome di Nobelium (si era precedentemente parlato erroneamente di Midnigh Blizzard) e si tratta di un gruppo legato a doppio filo con l’intelligence russa.
In un interessante intervista a CNBC, il CEO di CrowdStrike George Kurtz ha sottolineato come le tattiche di Nobelium siano particolarmente insidiose. Il gruppo hacker, infatti, a differenza di tanti altri “colleghi” predilige strategie lunghe, pazienti e per questa ragione particolarmente difficili da individuare. CrowdStrike, grazie ai suoi algoritmi, sarebbe riuscita in passato a identificare i “segnali bassi” emessi da questo genere di attacchi e a fermare Nobelium. Ma ciò che appare evidente è che questo genere di cyber-attacchi rappresentano un pericolo talmente difficile da rilevare da consigliare di investire primariamente sullo sviluppo di soluzioni di incident response efficaci.
Perché incident response?
Le ammissioni sulla pericolosità delle strategie di Nobelium, che potrebbero ovviamente essere replicate anche da altri gruppi hacker, rendono evidente quanto drammatica l’incapacità della stragrande maggioranza delle aziende di poter identifica e bloccare un attacco hacker di questo tipo.
Se un colosso come Microsoft, il quale è sicuramente dotato di sistemi di protezione informatica adeguati, non è riuscita a fermare gli hacker russi, possiamo agevolmente immaginare quanto una qualunque altra azienda possa essere facilmente vittima di questi pirati del cyberspazio.
Proprio la difficoltà di bloccare questo genere di attacchi informatici deve spingere a trovare sistemi efficaci per mitigare le conseguenze di un attacco.
In tal senso, adeguate procedure di Incident Response consentono di evitare di aggiungere al danno dell’hackeraggio, anche quello del blocco delle attività aziendale, o la perdita di importanti informazioni sensibili, con tutte le conseguenze sul piano operativo che questo potrebbe causare.
Il futuro è fosco
La frequenza di attacchi hacker di ampia portata solletica sicuramente l’aspetto giornalistico da un lato, poiché è sicuramente una notizia ghiotta quella di Microsoft “bucata” dai pirati russi, e l’aspetto tecnico, poiché è sempre interessante studiare le procedure, le tecnologie e le strategie di questo genere di attacchi per approntare difese informatiche sempre più efficaci.
Ma ciò che desta maggiore preoccupazione è come gli hacker, non solo russi sia chiaro, si dedichino con attenzione ed altrettanta frequenza a violare i sistemi delle aziende private sia di grandi, medie che piccole dimensioni.
In buona sostanza ci viene continuamente sussurrato che nessuno è al sicuro e chiunque utilizza sistemi informatici per portare avanti le proprie attività e conservare dati sensibili deve forzatamente sentirsi al centro del mirino.
Poco importano le motivazioni. Sia che si tratti di attacchi dalle profonde motivazioni politiche, sia che si punti a raccogliere succulenti riscatti, sia che si tratti di attacchi mirati a bloccare l’attività aziendale e basta, ciò che importa è la costanza e capillarità di questo genere di attività criminose.
Come proteggersi
Le soluzioni di incident response di cui abbiamo parlato prima sono assolutamente importanti e, come dicevamo, consentono ad un’azienda che ha subito un attacco di continuare la propria attività senza patire oltremodo le conseguenze dell’attacco. Ma rimangono tuttavia delle soluzioni che intervengono successivamente ad un attacco.
Evidentemente il perimetro di protezione di un’azienda deve definire tutte quelle attività, le best practices e le soluzioni tecnologiche atte a impedire, o quantomeno rendere meno agevole, un tentativo di hacking.
Ma non è tutto. L’aspetto culturale rimane ancora un elemento chiave, poiché il coefficiente umano risulta spesso l’anello debole di un sistema di difesa.
Attività di training costante, per esempio per valutare la capacità di rimbalzo ai tentativi di phishing, è un altro tassello fondamentale nella costruzione di quel perimetro di difesa di cui spesso parliamo.
Come recita uno dei nostri motti preferiti, la sicurezza è un lusso fino a un momento prima di subire un attacco.
