Cosa fare e non fare prima, durante e dopo un attacco informatico

Imparare a riconoscere i pericoli e fare qualcosa per proteggere i nostri pc è il primo passo per rendere internet un posto sicuro per tutti. La sicurezza informatica è una responsabilità condivisa e ciascuno di noi ha un ruolo da giocare.

Spesso non ci rendiamo conto di quanto le nostre azioni online possano mettere a rischio noi stessi, i nostri familiari e l’azienda per cui lavoriamo.

La cyber-sicurezza prevede la protezione di infrastrutture attraverso la prevenzione, la rilevazione e la reazione ad un attacco informatico. Diversamente dai danni fisici di cui abbiamo immediata evidenza, gli attacchi informatici sono spesso difficili da individuare e comprendere. Tra questi ci sono i virus che cancellano l’intero sistema, intrusi che penetrano nei pc e alterano i file o usano le nostre macchine per attaccare altri o per rubare informazioni confidenziali. Lo spettro dei rischi è potenzialmente senza limite: ci sono minacce più serie e sofisticate di altre, possono avere effetti estesi, dall’individuo alle comunità e alle aziende.

Come mantenere la calma e non commettere errori prima, durante e dopo un attacco?

Prima di un attacco

1. Avere un piano

Individuare un attacco può essere piuttosto complicato, ma le possibilità di ripulire velocemente e bloccare la minaccia si riducono drasticamente se non c’è un piano d’azione ufficiale e una persona (o un team) designata a gestire l’incidente.
Il momento per pianificare le modalità d’intervento è prima che l’attacco avvenga non durante e non deve essere solo una riflessione: il piano dovrebbe essere ben documentato, rivisto, testato e perfezionato.

 “Un classico errore che ho visto compiere in tante aziende è la mancanza di un referente in caso di attacco: non hanno pensato in anticipo a come affrontare questa eventualità.” [Sean Mason, Global IR Leader in CSC e former director of incident response presso GE]

Avendo a che fare con una realtà quotidiana in cui la probabilità di diventare l’obiettivo di attacchi informatici è sempre più elevata, il focus per ogni azienda dovrebbe spostarsi sul come rispondere ad una violazione di sicurezza.

2. Identificare le risorse necessarie

Quali programmi, server e processi ti potrebbero impedire il lavoro nel caso non fossero utilizzabili per lungo tempo? È importante identificare e proteggere adeguatamente quei sistemi che per te e la tua azienda sono vitali.

3. Implementare una tecnologia appropriata per proteggere gli asset fondamentali

Devi avere a disposizione software e hardware necessari per rispondere ad un attacco, inclusi sistemi IDS (Intrusion Detection System), Syslog e un buon sistema di backup.

4. Formare i dipendenti e i collaboratori

Tutti i sistemi di rilevamento intrusione, i firewall e le regole sono inutili se gli utenti non fanno attenzione alle loro responsabilità per salvaguardare la sicurezza. Bisogna implementare una policy che faccia chiarezza su ciò che possono, devono o non possono fare.

Durante un attacco

Non serve rimuovere solo il malware dal pc infetto, bisogna considerare l’attacco da un punto di vista globale.

1. Valutare la situazione

Innanzitutto, chiama tutti quelli che possono aiutare ad identificare la sorgente e la destinazione dell’attacco. E’ un virus, un worm? Che sia un malware o altro, in ogni caso, ricorda che è solo un sintomo.

Attenzione! Il più grande errore che un’azienda possa fare quando si prepara a rispondere ad un attacco è spegnere il pc colpito, sperando di bloccare l’ulteriore diffusione del malware. Ma in molti casi gli si ritorce contro, dando origine alla perdita di log importanti.

Negli attacchi mirati come le operazioni di cyber-spionaggio o i furti tramite carta di credito, i criminali spesso sanno quando la vittima spegne il pc o inizia a bloccare gli accessi. “Non dimentichiamo che dall’altra parte del nostro pc sotto attacco c’è una persona che ha ottenuto l’accesso da remoto e una console di admin, da dove può vedere tutti i sistemi a cui ha accesso. Se questi sistemi iniziano a spegnersi dalla sua console, lui inizierà a nascondersi” [ Lucas Zaichkowsky, enterprise defense architect  presso AccessData ]

Un caso esemplare

Zaichkowsky cita l’esempio di una grande azienda di servizi finanziari, dove il personale dedicato alla sicurezza pensava di aver ripulito a sufficienza i danni fatti da un attacco di tipo SQL injection su uno del loro server.
“Ma l’hacker sapeva che avrebbero rimediato, quindi si è nascosto in profondità altrove, poiché aveva già aperto altre backdoor. Ha atteso in silenzio per mesi lasciando calmare le acque. Erano già pronte altre 200-300 backdoor. Gli addetti alla sicurezza pensavano di aver sistemato, ma poi trovarono backdoor in un segmento di rete che non era nemmeno documentato da una passata acquisizione. Come l’azienda vittima stava indagando sull’hacker, così l’hacker stava cercando altri modi per mantenere l’accesso aperto”

Guardarsi attorno alla ricerca di segnali di strumenti di hackeraggio in corso è fondamentale: password usate su programmi spazzatura, pass the hash, keylogger e RAM scraper. Un hacker usa una serie di strumenti quando deve fare breccia nei sistemi di un’azienda. In alcuni casi si tratta di un processo molto lungo. Il tipico attacco comincia con un utente compromesso attraverso un attacco di phishing, per poi muoversi in un escalation di passaggi nei sistemi dell’azienda vittima, e quindi proseguendo fino a radicarsi nella rete.

Ricorda! Si può contenere l’attacco senza mettere offline la macchina colpita. Spegnendo la macchina, darai la prova che ti sei accorto dell’attacco e non potrai più rimettere insieme tutti i pezzi.

2. Circoscrivere il danno

Implementare regole nel firewall per bloccare traffico illecito, decidere se bloccare o monitorare l’attività di chi si è introdotto nel sistema. Solo in caso di situazione veramente disperata si può pensare di mettere offline la macchina colpita per mitigare l’eventualità che la minaccia contagi più in profondità.

3. Raccogliere informazioni per una documentazione legale

Fare una “fotografia” del server al momento dell’attacco. La documentazione dovrebbe includere i disegni della topologia di rete, qualsiasi aggiunta al sistema successiva, l’identità del personale che lavora sul sistema colpito.

Dopo l’attacco

L’eventualità peggiore si è verificata. Cosa devi fare ora?

1. Continuare a monitorare i sistemi colpiti

L’hacker potrebbe aver installato backdoor (come nel caso citato da Zaichkowsky) nel sistema che non hai rilevato. È imperativo mettere in cima alle priorità una costante e continua vigilanza.

2. Iniziare le misure per prevenire futuri attacchi

Il tuo piano non è andato molto bene, così ora è il momento di individuare e rinforzare tutti i punti deboli. Parla con tutto il personale rilevante e coinvolgi eventualmente risorse esterne che possano aiutare a non far accadere nuovamente un evento simile. Non è il momento di puntare il dito ma di risolvere il problema. Ci sarà tempo in seguito per capire se il comportamento inappropriato di qualche dipendente sia stato la causa dei danni e quali azioni prendere.

In conclusione, pianificare una risposta ad un attacco hacker è fondamentale, ma comunque può non funzionare. Nuove minacce vengono sviluppate ogni giorno. L’area IT della tua azienda deve rimanere vigile e aggiornata. I sistemi necessitano di essere costantemente monitorati e aggiornati. Utilizza tutti gli strumenti che hai a disposizione e impara ad usarli efficacemente. L’apatia è il peggior nemico.

Il tempo per informarsi su un potenziale exploit non è durante o dopo un attacco, ma prima. Ora è il momento di agire.