Gli attacchi hacker nei confronti delle Pubbliche Amministrazioni sono sempre più numerosi e in costante aumento. Complice la pandemia, lo smart working e la centralità degli Enti pubblici nella gestione dell’emergenza sanitaria, uniti ai sistemi informativi spesso datati e al basso grado di digitalizzazione dei dipendenti della PA, i criminali informatici prendono di mira Regioni, Comuni e servizi sanitari senza distinzione, ricorrendo sempre più ad attacchi ransomware, le cui conseguenze non sono da sottovalutare.
Oltre a causare un fermo di attività, dai servizi critici della PA al sistema sanitario online, che può perdurare anche diversi mesi, questo genere di attacco comporta un rischio ulteriore: quello del furto e della diffusione o vendita sul dark web dei dati personali e sensibili dei cittadini. Molti di questi attacchi, inoltre, sono perpetrati sfruttando nuove vulnerabilità – ne è un caso particolarmente clamoroso la recente vulnerabilità Log4Shell di Java, nuovi vettori e metodologie (Zero Day attacks) che – se affrontate a posteriori – possono richiedere giorni se non mesi per poter essere identificate e bloccate, come nel caso degli APT(Advanced Persistent Threats).
Curare è difficile e spesso tardivo: meglio prevenire
Secondo Akamai Technologies l’unica tecnica di difesa realmente efficace per i sistemi della PA resta la prevenzione.
La soluzione non è quella di proteggersi con prodotti di sicurezza che realizzano una difesa puntuale alla minaccia ma costruire processi (SOC/SOAR) e architetture (Zero-Trust/SASE) che siano resilienti a prescindere dal vettore di attacco. Questo si può realizzare attraverso il monitoraggio della kill-chain, ovvero identificando preventivamente tutti i punti di ingresso alla propria rete e tutti i possibili passaggi che un hacker potrebbe implementare in un attacco, stilando una procedura in grado di prevenire ciascuno di questi step. Inoltre, è fondamentale assicurarsi di avere una visibilità a 360° di ciò che accade all’esterno e all’interno del perimetro da proteggere, e implementare una risposta alle minacce programmatica e automatizzata.
Il primo passo da intraprendere, secondo Akamai, consiste nel rendere sicuri gli accessi remoti. Negli ultimi anni, ad esempio, le VPN si sono rivelate uno dei principali vettori di attacco. Solitamente sfruttate nelle fasi iniziali dell’aggressione (Reconnaissance, Weaponization e Delivery), sono spesso state utilizzate come punto di ingresso per l’implementazione di payload malevoli sui server interni.
Monitoraggio costante della rete, la miglior prevenzione
Da questo punto di vista risulta quindi essenziale dotare le reti e i sistemi della PA di tecnologie in grado di discriminare non solo l’identità di chi deve accedervi (integrandosi ad esempio con Identity Provider esterni), ma anche di monitorare privilegi autorizzativi appartenenti al profilo di ciascun utente. Un esempio è l’adozione di tecnologie di autenticazione senza password, come Akamai MFA, basate su WebAuthn/FIDO2, che riducono notevolmente il rischio di esposizione a eventi estremi come quello di un attacco ransomware. Mettendo in atto questa strategia, un terminale compromesso, non ha modo di propagare virus e/o malware, grazie ad un accesso esclusivo e limitato alle singole applicazioni.
Il secondo step per la riduzione del rischio risiede nell’assicurarsi di avere una visibilità più completa possibile delle connessioni che attraversano i singoli host presenti nel data center, e soprattutto la possibilità di rispondere in tempo reale a tentativi di connessione non autorizzati. La soluzione di Microsegmentation (Guardicore) di Akamai, ad esempio, permette di segmentare la rete interna senza alcun bisogno di intervenire sugli apparati esistenti come Firewall/IPS/IDS, andando a controllare e ricercare minacce in tempo reale e a contenere in modo proattivo i data breach e gli attacchi ransomware. Si tratta di un approccio strutturato basato sull’architettura, che garantisce l’isolamento istantaneo di una risorsa compromessa grazie all’analisi del suo comportamento e non al riconoscimento del vettore di attacco.
L’unione di tecnologie come Microsegmentation, Enterprise Application Access e MFA, rappresenta parte degli strumenti presenti nei framework SASE e Zero-Trust, che rendono possibile la realizzazione di una rete resiliente a prescindere dalla tipologia di attacco che viene perpetrato[1].
“Grazie alla nostra consolidata esperienza e alla visibilità privilegiata offerta dalla piattaforma edge distribuita di Akamai, siamo in grado di offrire le soluzioni tecnologiche e l’intelligence necessarie alle PA e alle aziende in tutto il mondo, nella lotta alla criminalità informatica” – ha dichiarato Alessandro Livrea, Country Manager Akamai Italia. “In definitiva, crediamo che aumentare la security awareness di tutti gli attori del settore e migliorare la collaborazione e la condivisione delle informazioni tra governi, industrie e service provider possa garantire la riduzione della superficie esposta e ridurre al minimo i rischi derivanti da attacchi informatici sempre più mirati e sofisticati, a ogni livello della supply chain. Solo in questo modo sarà possibile proteggere alla radice la sicurezza nazionale e la privacy di tutti i cittadini”.