Il ransomware nella macchina del caffè: quanto bisogna aver paura?



[ZEUS News - www.zeusnews.it - 14-02-2018]

caffe

Il caffè è il carburante quotidiano dell'occidentale medio, come vivere senza? Proprio questa abitudine è risultata fatale a un'industria petrolchimica che si è trovata ad affrontare le conseguenze di un'infezione da ransomware.

Nel luglio dello scorso anno, l'IT manager di una società petrolchimica con diverse fabbriche in Europa gestite sia in locale sia da remoto, fu contattato perché la sala di controllo locale di uno dei siti produttivi risultava fuori servizio. Una breve descrizione dell'accaduto fu sufficiente per capire che si trattava di un'infezione da ransomware (proprio uno dei tanti in circolo a metà dell'anno scorso).

Per debellare il virus, l'IT manager decise inizialmente di reinizializzare tutti i sistemi formattandoli e reinstallando tutto, ma malgrado ciò poco tempo dopo i computer risultavano ancora infetti, sebbene nessuno fosse direttamente collegato alla sala di controllo locale.

Come ha fatto un semplice ransomware non targettizzato a colpire la rete di un'azienda che collabora con molti fornitori ed esperti di cybersicurezza? Sono diverse le strategie applicabili per limitare l'estensione della superficie vulnerabile.

Un'attenta analisi fece luce sul rebus informatico: un paio di settimane prima era stata installata in azienda una nuova macchina del caffè di ultima generazione.

Dotata di collegamento Internet, la nuova macchina era in grado di inviare automaticamente gli ordini di rifornimento alla casa madre. Si dà il caso che per tale attività si collegasse alla stessa rete della sala di controllo locale anziché appoggiarsi a una rete wifi isolata, aprendo involontariamente le porte al malware. Fortunatamente questo incidente non ha avuto un impatto di maggiore entità sulla produttività aziendale, ma risulta molto istruttivo.

La superficie di attacco consta della somma delle potenziali aree esposte, sfruttabili per garantirsi un accesso non autorizzato a determinate risorse dell'ambiente digitale. Queste aree includono anche l'hardware di rete (tra cui i firewall), i server Web, le applicazioni esterne, i servizi di rifornimento e i dispositivi mobili che possono accedere a informazioni o servizi di valore.

Qui di seguito alcune strategie di protezione elaborate in collaborazione con Stormshield, noto produttore di soluzioni di sicurezza per reti industriali, al fine di evitare situazioni analoghe.

1) Dotarsi di una soluzione per la protezione degli endpoint

Con "Endpoint Protection" ci si riferisce a software di sicurezza di consuetudine installati sulla maggior parte dei dispositivi.

Il software di sicurezza può includere anche un antivirus, un firewall personale, un software antiintrusioni e altri programmi di protezione. Se i computer della sala di controllo locale fossero stati dotati di tale protezione, il ransomware non avrebbe avuto modo di diffondersi.

2) Creare una rete segmentata

La segmentazione della rete consta nel separare in sottoreti dispositivi, cablaggio e applicazioni che connettono, trasportano, trasmettono, monitorano o salvaguardano i dati.

schema1

Ciò garantisce una maggior discrezionalità nel trattamento di ogni singolo segmento, permettendo di applicare soluzioni di sicurezza più forti laddove fosse necessario e limitando l'impatto di una possibile infezione malware o qualsiasi altro comportamento malevolo a un singolo frammento della rete.

Con una rete di questo tipo due segmenti separati non possono comunicare tra di loro, il virus non avrebbe quindi potuto raggiungere i computer della sala di controllo locale e la macchina del caffè avrebbe potuto fare solo ciò che le riesce meglio: il caffè.

3) Implementare una migliore protezione perimetrale e attivare un'ispezione profonda dei pacchetti

La Deep Packet Inspection o DPI monitora e filtra pacchetti di dati all'interno della rete aziendale non appena passano il punto di controllo. Ne esamina possibilmente anche lo header al fine di rilevare discordanze con il protocollo, virus, spam o intrusioni, utilizzando anche criteri aggiuntivi per stabilire se il pacchetto è legittimo o meno.

Tale meccanismo di filtro del firewall avrebbe evitato ogni tipo di connessione tra la sala di controllo centrale e la macchina del caffè. Anche qualora fosse stato necessario collegare le due, tale connessione sarebbe stata monitorata tramite Deep Packet Inspection. In entrambi i casi il virus sarebbe stato scartato per direttissima, proprio come un caffè dal sapore terribile.

4) Implementare il controllo della comunicazione tra le applicazioni di rete

Il controllo della comunicazione tra le applicazioni di rete consente di autorizzare esclusivamente il passaggio di un set di comandi o messaggi predefiniti, anche nel caso in cui gli altri non vengano bloccati dal filtro DPI perché legittimi a livello di protocollo. Questo doppio controllo avrebbe bloccato la trasmissione del ransomware ai sistemi della sala di controllo locale.

5) Smettere di bere caffè

Questa soluzione è facile, e si può riferire anche a chi beve tè. Se però venissero messi in pratica i consigli sopracitati, non dovrebbe essere necessario arrivare fino a questo punto... Caffè con o senza zucchero?

Conclusione: Come proteggere la propria azienda dalla macchina del caffè?

Raccomandiamo di implementare tutte le soluzioni di difesa possibili. Più strategie di tutela vengono applicate, più si limita la superficie di attacco e si riduce il potenziale impatto di una minaccia informatica.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA