Parlando di ransomware, si può ragionevolmente affermare che, in assoluto, non siamo in grado di evitarlo ma però possiamo limitare gli impatti più severi. I malware sfruttano le nostre vulnerabilità per portare a successo i loro attacchi e quindi, allo stesso modo, possiamo sfruttare le vulnerabilità del malware per contrastarne l’efficacia. Una soluzione generalizzata passa per l’applicazione ricorsiva del principio del divide et impera.
I nostri sistemi e il malware devono essere scomposti in componenti più semplici per essere in grado di valutarne i rischi e applicare dei piani di rimedio. I componenti troppo complessi vanno a loro volta scomposti ulteriormente fino ad ottenere oggetti facilmente manipolabili.
Questo modo di procedere è giustificato dalla formula del rischio. Per ridurlo si deve agire sulla probabilità che l’evento negativo accada e nel caso che ciò avvenga, che l’impatto sia tollerabile.
Anziché provare a fermare il malware nel suo complesso con una singola azione, si può contrastare separatamente i suoi modi di agire aventi la finalità di superare le nostre difese.
Si procede nella ricerca delle componenti funzionali note del malware e si contrappongono contromisure volte a ridurne l’efficacia (diminuzione di probabilità) od a contenerne l’effetto negativo (diminuzione di impatto).
Allo stesso modo, si ricercano e valutano le funzionalità critiche nei nostri client, server, servizi o reti, sia per tecnologia che per comportamento umano, e si identificano delle protezioni adeguate.
Pertanto, si analizza il comportamento del malware ed i suoi punti di forza, mentre si adotta per l’ambiente informatico da difendere una tecnica di difesa in profondità per ridurre la capacità d’azione del malware mentre avanza.
Guida al ransomware: cos’è, come si prende e come rimuoverlo
Indice degli argomenti
Schema di funzionamento del malware
Per schematizzare il funzionamento del malware, possiamo rappresentarlo come formato da due componenti, un meccanismo di intrusione ed un agente virale, il quale può essere scomposto ulteriormente in altre due componenti, un meccanismo di diffusione ed uno di infezione.
Il meccanismo di intrusione è spesso di natura non informatica, però il suo risultato lo sarà e consiste nel depositare l’agente virale nel sistema attaccato.
La categoria di attacco preferita dall’hacker è denominata social engineering, è la più utilizzata perché risulta la più semplice da attuare, sfrutta la carenza di competenze dell’utente e l’effetto sorpresa. Per l’hacker è l’ideale, con uno sforzo limitato si raggiungono numeri elevati di client contattati, e nel numero elevato le possibilità di successo aumentano.
Fortunatamente, la formazione degli utenti riduce sensibilmente le possibilità di riuscita per il malware.
Oltre all’attacco comportamentale, preferito sui client, ci può essere l’intrusione diretta nei sistemi.
L’intrusione può generalmente avvenire per sfruttamento di vulnerabilità o per accesso non autorizzato (furto d’identità ecc.) al fine di inserire il codice dell’agente virale. Risultato indesiderato, presenza del codice malevolo nel sistema, già attivo o attivabile da evento. La progettazione delle azioni di contrasto è legato all’esatta tecnica di intrusione utilizzata.
Metodi di sfruttamento delle vulnerabilità richiedono tecniche di vulnerability assessment, mentre gli accessi non autorizzati richiedono un mix di tecniche organizzative (entitlment review) e tecnologiche (strong authentication) per abbattere le probabilità di riuscita.
Nel caso riesca nel suo intento di introdursi illegalmente in un ambiente, il malware cerca di diffondersi nell’ambiente ospite e di iniettare il suo veleno.
La diffusione potrebbe essere all’interno del dispositivo per acquisire maggiori diritti o accedere a dati specifici oppure potrebbe essere diretta verso altri dispositivi della stessa rete.
La stratificazione dei permessi di accesso alle risorse della macchina, secondo una matrice tra ruolo utente, componente ed attività, crea un buon impedimento alla diffusione interna, mentre le regole del firewall ed i sistemi di autenticazione, ostacolano la diffusione esterna.
L’antivirus è idoneo per tutti i malware già noti ma non bisogna attribuirgli una fiducia eccessiva fino a ritenerlo la sola difesa.
Per paradosso, il veleno iniettato dal malware è il componente meno preoccupante. Si sa in anticipo che è potenzialmente letale perché l’antidoto (criptoanalisi) è probabilmente inefficace. Proprio per questo, non si riservano particolari risorse al contrasto di questo componente in quanto non garantiscono gli effetti sperati. Piuttosto si agisce per rendere il sistema resiliente ossia, la perdita di una parte di esso non deve compromettere il sistema nel suo complesso.
La dimensione del dato e la sua criticità diventano parametri per progettare una base dati più robusta, vale a dire in grado di affrontare l’indisponibilità di parte di essa, ma se con conseguenze ammissibili. Il concentramento di dati critici in un unico ambiente, magari perfino privo di ridondanza, può trovare giustificazioni nelle performance ma al contrario la sicurezza predilige dati distribuiti tra vari ambienti con capacità di ripristino a seguito di incidente.
I parametri di progettazione sono decisi dall’analisi di rischio propedeutica alla stesura della Business Impact Analysis (BIA). In particolare, la BIA determina il valore del parametro RPO (Recovery Point Objective), il quale rappresenta la misura della massima quantità di dati persi che il sistema può tollerare a causa di un guasto improvviso.
È utile per determinare il corretto meccanismo di backup, più il valore è alto, minore è il costo della soluzione da implementare. L’altro aspetto è come distribuire i dati e come gestire la sincronizzazione tra i database.
Le logiche dei processi serviti e la classificazione del dato orientano le policy di gestione della base dati, tra l’altro, i singoli database avranno criticità minori e diverse. Questo incide sulle distinte contromisure, sulla probabilità che sia colpito proprio il database più critico e sull’impatto finale in caso d’incidente.
Ambiente informatico da difendere
Passando alla prospettiva dell’ambiente informatico, abbiamo un insieme di client, server e reti dati. Ognuno di questi ambiti deve riuscire ad interagire con le componenti del malware in modo di comprometterne qualche funzionalità.
Quello che si attua è la classica difesa in profondità, mentre il malware avanza, trova ostacoli di natura diversa finalizzati ad indebolirlo. Non importa che il singolo ostacolo sia debole, è l’azione complessiva che determina il livello di contrasto finale. Per ciascun ambito vediamo le principali parti interne da analizzare.
I client devono essere in grado di operare sui dati critici ma salvandoli sui server, in modo che l’indisponibilità del client o di una sua parte non comprometta seriamente altre risorse. Il client deve avere un valore aziendale pari al suo valore commerciale, oppure detto in altro modo, non deve essere una risorsa critica per qualsiasi processo ma solo un mezzo funzionale facilmente sostituibile. Può collegarsi alle risorse aziendali solo su connessioni sicure e le utenze sono soggette a periodici entitlement review ed assegnate secondo il principio del least privilege. I dispositivi devono essere soggetti a vulnerability assessment periodici.
I server devono avere una giusta distribuzione dei servizi definita dall’analisi del rischio. Si deve evitare di concentrare tutto in un singolo ambiente, certo, aumenta le performance ma diminuisce la sicurezza, e perciò è preferibile distribuirli su vari server virtuali. La sicurezza è un costo dovuto, meglio una perdita di efficienza che un incidente. I web server servono solo per servizio di accesso e di presentazione dati, mentre i database server devono essere installati su sistemi differenti ed interconnessi con un collegamento dedicato. Gli web server sono collocati nell’extranet mentre i database server sono nell’intranet, in una sottorete di soli server.
Le reti ostacolano la diffusione del malware definendo livelli di accesso differenziati e specifici per ogni sottorete. Ogni sottorete deve avere solo risorse omogenee dal punto di vista della classificazione del dato.
Componenti software quali gli Intrusion Prevention Systems (IPS) devono essere uno standard nelle reti aziendali in prossimità delle risorse critiche. Una rete interna, dedicata al controllo di macchine virtuali con solo protocolli di input per tastiere e mouse ed output per monitor, meglio se a base non TCP/IP, può rafforzare la sicurezza e affrontare in modo più affidabile gli incidenti.
Conclusione
Tutte le considerazioni precedenti non sono originali ma derivano dagli standard di sicurezza, sono solamente presentate in un ordine diverso. La sequenza è abbastanza naturale ritrovarla in un contesto di analisi di rischio per contrastare una minaccia specifica.
In questo caso la minaccia è il ransomware e le considerazioni seguono i ragionamenti che si affrontano per analizzare i controlli in essere, valutare il rischio e definire le nuove contromisure. L’attenzione è posta sulla necessità di considerare sempre l’intero ambiente informatico, ad ogni passo, perché una visione olistica aiuta ad evitare soluzioni locali che potrebbero non essere efficaci con gli obiettivi di business.
Non deve spaventare rimettere talvolta in discussione le scelte applicative di base oppure il disegno delle infrastrutture, è nella logica del risk management valutare ogni variazione nei processi e le sue conseguenze rispetto agli obiettivi assegnati.
Come ultima considerazione, una domanda. Vogliamo ridurre l’impatto solo per avere un danno minore? La risposta è abbastanza semplice. Vogliamo rendere nullo il fine degli sforzi del malware e questo ha una sola decisione possibile, non si paga mai il riscatto.
Con un impatto tollerabile, anche la decisione di rischiare di pagare perde ogni giustificazione razionale. Anzi, l’ideale è avere una legge che lo vieta per principio.
Il malware è un gioiellino di tecnologia che non compare per caso nel computer dell’hacker, è frutto di elevate competenze, intuizioni, tempo, pazienza e tanta sperimentazione. In altre parole servono soldi ad alimentare questa ricerca, soldi che non si deve mai elargire per non diventare complici.
