Può sembrare strano, ma l’analisi della pandemia di Covid-19 e la diffusione del coronavirus possono essere utili per spiegare in modo chiaro come funzionano i virus informatici, mentre le misure di protezione dal coronavirus ci dicono, in modo altrettanto limpido, cosa fare per contenere e diminuire il rischio di contagio.
Indice degli argomenti
Coronavirus e virus informatici: prima analogia
Da diversi anni si parla ormai di cyber security, espressione che ha soppiantato il più tradizionale information security. L’aggettivo cyber rimanda all’universo digitale interconnesso, e per di più la rete e le tecnologie hanno diminuito le distanze aumentando le velocità di interconnessione, hanno aumentato le possibilità e necessità di collegamento, hanno incrementato il nostro senso di sicurezza dovuto alla resilienza dell’architettura di rete.
Tutto questo permette di spostare quantità immense di informazioni velocemente, facilmente, dovunque e contemporaneamente e ad un costo bassissimo.
Tutto questo ricorda la globalizzazione e la quantità e velocità di scambio di merci e persone. Cioè quello che ha permesso al coronavirus di diffondersi così rapidamente ed efficacemente e di trasformarsi in pandemia globale.
Coronavirus e virus informatici: seconda analogia
L’espressione virus informatico è ormai desueta. Si parla ormai di malware e di malware di nuova generazione. Cioè di un virus di cui non riconosciamo la forma perché nuovo e perché agisce, nella sua diffusione e manifestazione, in modo diverso rispetto a quelli conosciuti.
È ovvio che, in casi di oggetti sconosciuti, i nostri sistemi di protezione basati sulla sola capacità di riconoscere per poi intervenire bloccando il virus non sono in grado di funzionare.
Non è esattamente la descrizione del nuovo virus Sars-CoV-2 che ha causato la pandemia di Covid-19?
Coronavirus e virus informatici: terza analogia
La Covid-19 minaccia la nostra integrità fisica, attacca il sistema respiratorio e, prendendolo in ostaggio, ne impedisce il funzionamento corretto. Abbiamo un tempo limitato per intervenire con le cure per impedire che il virus che causa la patologia blocchi completamente la nostra capacità respiratoria.
Non è assolutamente simile a quello che succede quando il nostro sistema informatico è colpito da un ransomware che attacca il nostro sistema informatico, lo prende in ostaggio bloccandolo fino a fermare le produzioni e a far collassare il nostro business?
Coronavirus e virus informatici: quarta analogia
Tutti sappiamo come si trasmette il coronavirus. Ha bisogno di un portatore (vettore) che lo ospiti mantenendo la sua carica infettiva, ha bisogno di una certa prossimità con i target che facilmente si ottiene in ambienti chiusi, sfrutta una vulnerabilità del target, attraverso un processo di escalation supera le nostre barriere di difesa arrivando a colpire con severità diverse i nostri sistemi vitali, si duplica in quantità in modo da mantenere elevata la sua capacità di diffusione che si amplifica in ambienti insalubri.
Non è esattamente come i malware di nuova generazione si comportano sfruttando vettori come l’e-mail, portatori sani come documenti allegati, sfruttando vulnerabilità di sistema e facendo privilege escalation, trasferendosi da sistema a sistema con cosiddetti movimenti laterali e rimanendo silenti per lunghi periodi come fanno gli APT?
Le contromisure da implementare?
Le analogie tra il coronavirus e i virus informatici suggeriscono, quindi, alcune utili contromisure che è utile adottare per mettere in sicurezza il patrimonio informativo aziendale:
- far evolvere i sistemi di detection con tecnologie di AI che siano in grado di riconoscere comportamenti sospetti all’interno della rete informatica;
- far evolvere i sistemi di response con tecnologie programmabili in grado di automatizzare il più possibile questa attività rendendola efficace, immediata e graduabile in base alla severità dell’attacco;
- migliorare il livello di attenzione aumentando la capacità di individuare segnali deboli. Avere a disposizione un servizio organizzato con le migliori tecnologie, le migliori competenze professionali e con i processi più efficaci che presidino e monitorino 24/7 gli asset digitali aziendali (come un SOC – Security Operation Center);
- diminuire le occasioni di contagio lavorando sulla contrazione della superficie di attacco. Una segmentazione delle reti, basata sul principio della riduzione al minimo dei privilegi di accesso, è consigliabile per contenere, limitando e impedendo, la diffusione delle compromissioni;
- intervenire immediatamente su chi è stato contagiato, isolandolo (quarantena), curandolo fino a ricorrere alla terapia intensiva (in termini informatici questo potrebbe equivalere nell’uso di tecnologie come quelle del punto 2 e fino ad arrivare all’attivazione di procedure di Disaster Recovery in attesa del ritorno alla normalità), ricostruendo la catena di contagio (analisi forense) ed affidandosi ad esperti professionisti (come i medici) per l’esecuzione di queste attività;
- cambiare atteggiamento verso la cyber security. La cyber security non è solo necessaria, è fondamentale per evitare che la nostra azienda chiuda, anche se solo per un periodo di quarantena, a causa di un contagio da malware. Dobbiamo adottare un approccio zero-trust, principi di secure-by-design e default, rispettare alla lettera le diverse richieste di compliance che si applicano ai diversi settori industriali;
- utilizziamo servizi di sicurezza gestiti che 24/7 possono prevenire gli incidenti cyber, per poi eventualmente intervenire a mitigarli ed alla fine risolvere aiutandoci a tornare alla normalità;
- considerare le connessioni che ci sono fra l’ambiente fisico nel quale operano le società e l’ambiente informatico/digitale perché le vulnerabilità dell’uno possono compromettere l’altro;
- impegnarsi nella divulgazione della conoscenza dei rischi cyber che l’azienda corre.
