«Niente evidenze di errori nella gestione attacco hacker Lazio, ma serve prevenire innanzitutto»

Per cercare di capire in che modo le autorità e i team di cybersecurity stanno gestendo l’attacco hacker Lazio abbiamo intervistato Pierguido Iezzi, CEO di Swascan, che non ha esitato a definire l’Agenzia per la cybersicurezza nazionale «una svolta importante per la gestione della sicurezza informatica del perimetro del nostro Paese».

Tra quello che si sarebbe dovuto fare e quello che è stato fatto (e non fatto), fare il punto della situazione è necessario anche per capire in quale direzione andare. Vista la confusione che c’è stata in questi giorni anche solo con il linguaggio che stampa e persone devono utilizzare per parlare della questione, partiamo proprio da qui.

Cosa si intende per team al lavoro, ovvero quello di cui parlano le informazioni ufficiali in merito? «Per team si fa riferimento – spiega Iezzi ai microfoni di Giornalettismo – al personale dedicato alla risoluzione degli incidenti informatici, in questo caso è stata citata la Polizia Postale». Mentre si lavora a questo attacco hacker «il processo che è stato implementato rispecchia quelle che sono le best practice per la risoluzione di questo di tipo di attacco».

LEGGI ANCHE >>> Attacco hacker anche in Olanda: «Crisi e sicurezza nazionale in pericolo»

Il lavoro per sbloccare la situazione attacco hacker Lazio

La gestione della situazione procede per fasi, «a partire dall’Investigation, dove sono stati ricostruite le fasi della cyber kill chain per comprendere quali potessero essere i vettori utilizzati per l’attacco hacker Lazio, poi rivelatisi essere la compromissione delle credenziali VPN di un dipendente», chiarisce il CEO di Swascan. «In questo senso, la cyber kill chain ci aiuta a capire il percorso, movimenti e attività condotte dal Criminal hacker. In parallelo sono stati anche analizzati tutti i log, una sorta di registro delle attività, per capire come si sono mossi i Criminal Hacker una volta ottenuto il primo accesso».

Non solo raccolta di informazioni, però, ma anche contenimento come azione parallela: «In parole semplici, è stata circoscritta l’area dei sistemi colpiti dal ransomware per evitare che i Criminal Hacker riuscissero a muoversi lateralmente e infettare ancora più macchine e database» Dopo di questo si passa alla «fase di eradication, verifica e monitoraggio. Come si può evincere dai nomi, si procede all’eliminazione del malware e delle sue tracce da tutti i sistemi colpiti, si verifica che effettivamente non siano più presenti artefatti e si monitora la situazione nel caso i Criminal Hacker abbiano lasciato dietro di sé elementi dormienti in grado di permettere un secondo attacco, una sorta di prassi dei gruppi più avanzati».

«Infine – conclude Iezzi parlando di quello che dovrebbe essere fatto in un caso come quello dell’attacco hacker Lazio – si procede al ripristino dei dati e all’implementazione della fase di Remediation, dove vengono impostate nuove best practice e implementate nuove soluzioni di difesa».

«Non ci sono evidenze di errori nella gestione dell’attacco hacker Lazio»

Tutti se lo stanno chiedendo: l’attacco è stato gestito bene? Si sarebbe potuto evitare di arrivare a questo punto? «Da quanto sappiamo l’attacco è stato gestito correttamente e non ci sono oggi evidenze di errori nella gestione dell’emergenza – spiega il CEO – anzi sembrerebbe che siano state seguite in maniera corretta le best practice di settore».

Il punto non è, quindi, la gestione attuale ma quello che si sarebbe potuto fare prima: «Ci saranno sicuramente punti di attenzione e approfondimenti su come si sarebbe potuto evitare questo tipo di situazione, ma a prescindere, dobbiamo abituarci al fatto che questo tipo di incidenti e relative crisi faranno parte sempre di più della quotidianità».

A dirlo sono anche i dati, compresi quelli raccolti da Swascan tramite il suo sistema di Malware Threat intelligence: «Tra il 2 luglio e il 2 agosto di quest’anno – infatti – il sistema ha rilevato oltre 90mila malware attivi in tutto il mondo di cui 2194 mai documentati prima».

Investire in sistemi preventivi come soluzione

La prevenzione prima di tutto sempre ma nel mondo della cyber security anche di più: «Se ragioniamo sulle informazioni trapelate – ovvero che l’attacco ha avuto inizio da un set di credenziali VPN compromesse – potremmo semplicemente speculare come una maggiore attenzione sull’area della sicurezza predittiva potrebbe avere fornito dei campanelli d’allarme sufficienti per evitare la situazione. Ma a posteriori è sempre facile parlare», chiarisce Iezzi.

«La situazione rafforza la necessità di investire in Threat intelligence – con servizi come Domain Threat Intelligence e Cyber Threat Intelligence – per giocare d’anticipo su quelle minacce in potenza che potrebbero diventare reali in un batter d’occhio. Entrambi i servizi sono completamente passivi e operano unicamente su fonti OSINT e CLOSINT; attraverso servizi come la Domain Threat Intelligence (DTI) e la Cyber Threat Intelligence (CTI) è possibile identificare e analizzare le informazioni pubbliche e semipubbliche già disponibili a livello di web, darkweb e deep web. Informazioni che fanno riferimento a vulnerabilità, credenziali, botnet,… relative alla nostra azienda e i nostri clienti, dipendenti e fornitori».

Quanti soldi servono per evitare rischi di questo tipo?

Quanto costa la cyber security? Tante volte l’impressione è che si tratti di cifre anche molto alte ma, come stiamo capendo in questo ultimo anno, è denaro che va speso. «Il budget va calcolato al netto dei rischi che l’azienda, pubblica o privata, accetta di correre – ci spiega il CEO di Swascan, aggiungendo che – per determinare un budget è necessaria un’analisi del rischio cyber dal punto di vista tecnologico, organizzativo e umano».

«Questa definisce il rischio e l’esposizione del perimetro analizzato in base alla probabilità di accadimento di un attacco e dei possibili impatti. A questo punto valuta quali rischi possono essere considerati “accettabili” e quali no in base al budget d’investimento necessario per la riduzione del rischio identificato». Non c’è nessuna differenza, inoltre, quando si parla di tutela e sicurezza di sistemi informatici di aziende private o aziende pubbliche.

«La differenza è puramente di obiettivi, imprenditorialità contro servizio ai cittadini, e vincoli, normativi e di compliance – spiega Iezzi – e forse la più grande difficoltà per il pubblico stava nella disponibilità di budget, ma anche in questo caso, il Piano Nazionale di Ripresa e Resilienza sembra aver posto i giusti pilastri per una svolta in questo senso».

Sono tre le parole chiave per la sicurezza: «predittiva, preventiva e proattiva, dove la sicurezza predittiva gioca sempre di più un ruolo importante. Non è più sufficiente giocare di risposta ma soprattutto di anticipo proprio attraverso i sistemi di Threat Intelligence. Con l’evoluzione del Cyber Crime non possiamo permetterci di abbassare la guardia», conclude l’esperto.