Negli ultimi anni si è assistito ad un’escalation impressionante dei cyber attacchi che ha visto in particolare il ransomware come protagonista. Oggi gli attacchi vengono portati avanti da veri e propri team dedicati, che studiano tecniche sempre più all’avanguardia per eludere i sistemi di sicurezza. Un’attività resa più facile anche dalla dissoluzione di un netto perimetro aziendale perché col lavoro da remoto i dipendenti accedono dall’esterno usando i propri dispositivi personali e tramite reti VPN, e diventano più facilmente bersagli dei criminali informatici. L’approccio Zero Trust è oggi il più utilizzato dalle aziende per cercare di prevenire e mitigare gli attacchi ma ora Akamai, forte dell’acquisizione dell’israeliana Guardicore portata a termine a fine 2021, propone un’ulteriore evoluzione del modello, grazie ad un’attività di micro-segmentazione della rete che rende impossibile per il cybercrime muoversi lateralmente al suo interno. Il ransomware, con la tecnologia di Guardicore, diventa un nuovo tassello cruciale nell’approccio Zero Trust di Akamai: un’ulteriore garanzia che serve per assicurare alla PA l’erogazione dei suoi servizi e alle aziende private la possibilità di continuare a svolgere le loro operations, senza fermi che ne pregiudichino la sopravvivenza.
Abbiamo parlato di tutto questo con Alessandro Rivara, Sales Manager Italy di Akamai, che ha esordito così: “Nel 2021 gli attacchi ransomware – malware che impiegano la crittografia per tenere in ostaggio le informazioni della vittima in cambio di riscatto – sono a tutti gli effetti raddoppiati rispetto all’anno precedente. E secondo il report SOTI di Akamai, che due volte l’anno monitora lo stato di internet, nel 2021 si è registrato un numero di attacchi web tre volte superiore a quelli che avevamo osservato nel 2020. Sicuramente la pandemia ha inciso su questo aumento poiché ha causato un incremento notevole nel traffico di internet, ma questo è l’esito anche di trend che erano già in atto da tempo e che sono andati incontro a una progressiva maturazione”.
Perché uno degli attacchi più diffusi è proprio il ransomware?
“Molto banalmente stiamo assistendo ad una considerevole crescita negli attacchi ransomware perché sono estremamente redditizi per i cyber criminali che chiedono un riscatto alla vittima e consentono, grazie all’impiego delle criptovalute, di monetizzare senza lasciare alcuna traccia. Oggi gli operatori del ransomware hanno perfezionato il loro target di attacco concentrandosi in particolar modo su quelle aziende che devono necessariamente pagare il riscatto per poter rimettere in pista i loro servizi e tornare operative. L’emergenza sanitaria e il remote working hanno portato, inoltre, a una proliferazione di dispositivi Byod permettendo con più agilità al ‘man-in-the-middle’ di inserirsi nel dialogo tra client e server sfruttando le vulnerabilità e mettendo in crisi l’operatività del business. In futuro gli esiti saranno ancora più catastrofici: già ora Gartner prevede che il ransomware non solo potrà causare la cessazione dell’erogazione di un servizio e intralciare l’operatività di un’azienda, ma addirittura potrà avere come fatale conseguenza la perdita di vite umane”.
La diffusione del ransomware ha contribuito a sensibilizzare le aziende sulla necessità di mettere in atto le adeguate contromisure?
“Mentre prima un attacco cyber si limitava a rubare carte di credito o dati causando all’azienda un danno riconducibile principalmente a una perdita di ricavi, col ransomware spesso vengono messe sotto attacco infrastrutture critiche: pensiamo al caso della Regione Lazio, dove il sistema informatico è stato messo sotto scacco per settimane portando a gravi disservizi nella pianificazione della campagna vaccinale. Non si tratta più solo di un tema di business ma dell’erogazione di servizi essenziali. Se un ospedale diventasse ostaggio dei cyber criminali che ne possono bloccare l’operatività interna – operazioni, visite, macchinari salva-vita, i rischi per le persone diventerebbero seri ed è quello che va assolutamente evitato. Questa consapevolezza sta contribuendo a rendere le aziende più sensibili su queste tematiche”.
Abbiamo accennato al caso della Regione Lazio: l’Italia spesso rientra nelle prime posizioni delle classifiche internazionali sui Paesi più attaccati. Perché?
“Il fatto che la pandemia abbia colpito l’Italia in maniera brutale prima di ogni altro Paese ha contribuito a concentrare l’attenzione su di noi. È comprensibile che sia stato difficile trovarsi a gestire per primi una situazione totalmente imprevista, dall’oggi al domani. Il caso della Regione Lazio ha trovato un’ampia risonanza mediatica a livello internazionale ed è stato studiato in vari Paesi per cercare di capire come prevenire simili situazioni.
Senza dubbio un’eredità che ci portiamo appresso e che facilita molto il crimine informatico è anche l’obsolescenza della nostra infrastruttura di rete. A questo proposito ci troviamo in un momento di moderato ottimismo perché si iniziano a vedere segnali di rinnovamento. Tuttavia questi troveranno concretizzazione solo se il mondo della politica troverà un accordo di Governo nel continuare a pianificare, grazie al PNRR, tutte quelle attività che dovrebbero aiutare a rinnovare la nostra infrastruttura portandola ad un nuovo livello di sicurezza che consenta ai cittadini di accedere a qualsiasi servizio in qualunque momento”.
Si cominciano quindi a vedere i primi segnali incoraggianti anche se la strada è ancora in salita. Perché oggi aziende e PA utilizzano ancora combinazioni di tecnologie che non possono consentire un’erogazione sicura e continuativa dei servizi?
“Il modello ancora prevalente è quello del ‘Trust but Verify’ in cui si va a dare la possibilità di accedere o meno alla rete sfruttando un sistema basato su credenziali multifattore per gli utenti. Con l’aumento degli accessi da remoto e l’utilizzo massiccio delle VPN una volta che l’utente si è autenticato con MFA (multi-factor-authentication) può muoversi liberamente all’interno della rete aziendale, che non è in alcun modo compartimentata, esponendola così a rischi notevoli e a potenziali attacchi ransomware. Il sistema a doppia autenticazione, quindi, oggi non è più sufficiente”.
Che fare quindi?
“Quello che è chiaro è che questi metodi di protezione oggi sono deboli: la security posture deve essere elevata per proteggere tutti gli ambienti aziendali a cui possono accedere sia i dipendenti, in azienda o da remoto, ma anche terze parti come fornitori o consulenti esterni, che si connettono a loro volta in remote working, allargando lo spettro di potenziali infiltrazioni”.
Dicevamo prima però che il ‘merito’ di questa situazione non è completamente imputabile alla pandemia ma dipende anche da altri fattori. Ci spieghi meglio…
“Un ruolo fondamentale è giocato dall’affermazione delle criptovalute che hanno portato alla nascita di un’intera rete di infrastrutture per facilitare pagamenti non rintracciabili. Parallelamente il cybercrime si è professionalizzato e organizzato con vere e proprie squadre di hacker che pubblicano sui portali del dark web i propri obiettivi, ma anche informazioni, strategie e tecniche. Non si tratta più di azioni che partono da un singolo ma da gruppi di cyber attacker che si coordinano e identificano le vulnerabilità, condividendo tra loro le informazioni. Questo è ciò che è avvenuto, ad esempio, con il caso Log4Shell: è stata identificata la vulnerabilità Log4j all’interno del codice Java e questa informazione è circolata ed è stata condivisa tra i diversi gruppi criminali che hanno fatto leva su di essa per mettere in crisi tantissime organizzazioni. Akamai è stata una delle prime aziende capaci di mettere in campo una serie di azioni per la mitigazione della minaccia.
Questo attacco, inoltre, non fa che evidenziare come oggi, essendo tutto interconnesso, una vulnerabilità che riguarda una singola libreria software può mettere in crisi tutto il sistema. Ed è anche per questo che è importante che ci sia un piano nazionale che metta a fattor comune tutte le best practice e tutte le misure da adottare per elevare la sicurezza”.
Akamai propone un approccio Zero Trust. In cosa consiste?
“L’approccio Zero Trust parte dall’assunto di non dare alcuna fiducia: questo modello si basa sulla verifica dell’identità di chiunque si voglia collegare o interagire con i sistemi aziendali e a ciascun utente viene consentito di avere visibilità solo sui sistemi e le applicazioni di rete che gli servono per l’effettivo svolgimento della propria funzione lavorativa. Con un perimetro di rete distribuito, l’azienda deve dotarsi di tecnologie che non solo verifichino l’identità di chi deve accedere alla rete aziendale ma che monitorino anche i privilegi di ciascun utente in relazione al proprio ruolo”.
Akamai che tecnologie propone per elevare ulteriormente il modello Zero Trust?
“Akamai propone una tecnologica di Multifactor Authentication, Akamai MFA, basata su WebAuthn/FIDO2, che impedisce attacchi di tipo Man in the Middle e che la notifica venga intercettata e manipolata dagli attaccanti, a differenza dei sistemi MFA tradizionali che sono vulnerabili a queste tecniche offensive.
Alla base dell’offering di Akamai troviamo la nostra piattaforma che, forte dei 350 mila server a livello globale in crescita da oltre 20 anni e in qualità di rete più grande del mondo, che consente di avere una visibilità a 360° sul traffico Internet. Partendo dalla nostra rete di server riusciamo ad erogare servizi di sicurezza grazie a un Web Application Firewall (WAF) distribuito, installato direttamente sui nostri server. Questo permette di bloccare gli attacchi e le minacce direttamente alla loro origine.
Nel tempo abbiamo poi aggiunto una serie di soluzioni enterprise Zero Trust – Zero Trust Network Access (ZTNA), Domain Name System (DNS) Firewall e Secure Web Gateway (SWG) – per mettere in sicurezza gli accessi da remoto”.
L’ultimo tassello nell’evoluzione della vostra proposta arriva con l’acquisizione di Guardicore, società israeliana con sede a Tel Aviv specializzata in tecnologie di micro-segmentazione della rete volte proprio a circoscrivere i danni di un attacco ransomware evitando i movimenti laterali all’interno della rete stessa…
“L’offerta di Guardicore completa l’offering di Akamai perché consente di entrare all’interno dei data center: non si parla più solo di messa in sicurezza degli accessi, ma anche di prevenire i movimenti del ransomware, una volta che questo ha fatto breccia, direttamente nel data center, minimizzandone l’impatto sull’infrastruttura dei nostri clienti”.
Che valore aggiunto porta Guardicore?
“Per la prima volta, grazie a questa acquisizione strategica, Akamai va oltre il presidio del cloud e dell’edge che ci contraddistingue entrando nell’ambito del data center. L’approccio solo software di Guardicore, pensato per la nuova impresa “agile”, è disaccoppiato dalla rete fisica e fornisce un’alternativa più veloce ai firewall, offrendo maggiore sicurezza e visibilità su tutta l’infrastruttura, dal cloud al data-center agli endpoint. Fin dagli esordi, Guardicore si è focalizzata sull’intento di rendere la sua soluzione il più possibile facile da usare. L’obiettivo finale consiste nel ridurre i rischi per un’azienda in modo rapido e semplice, gestendo e limitando al minimo i movimenti degli attaccanti all’interno dell’infrastruttura espugnata”.
In cosa consiste la tecnologia di micro-segmentazione?
“Possiamo fare un paragone con la costruzione di una nave, divisa in compartimenti separati da porte stagne, in maniera tale che, anche se alcuni compartimenti si dovessero allagare, la nave non affonderebbe. Il principio è lo stesso: si creano degli anelli di protezione in cui vengono suddivisi i servizi core di un’azienda. Una volta installati degli agent sulle macchine all’interno del data center delle aziende interessate, diventa possibile per queste aziende avere una visibilità estremamente granulare di quello che succede all’interno della loro rete. Si possono configurare delle strategie di difesa estremamente flessibili perché isolando i vari compartimenti della rete, se uno di questi dovesse essere attaccato da un ransomware, il malware non potrebbe propagarsi agli altri settori. Si evita così il movimento server-to-server, che è quello più deleterio e che ha come conseguenza la paralisi delle attività aziendali. Con la micro-segmentazione si isola l’ambiente preso di mira mentre le altre funzioni aziendali continuano a funzionare senza problemi”.
Perché Akamai ha scelto proprio Guardicore? Che plus ha rispetto ad aziende analoghe presenti sul mercato?
“I suoi punti di forza sono l’agilità, la semplicità di funzionamento e la possibilità di scalare senza un’eccessiva customizzazione. Il ransomware era una tipologia di attacco che in precedenza Akamai non gestiva e che ora si aggiunge come tassello cruciale al nostro approccio Zero Trust. La grande forza di Guardicore è anche quella di avere sviluppato nel corso del tempo i tool che consentono la maggiore granularità possibile. A differenza di molti fornitori di servizi di segmentazione, che sono soggetti a limitazioni sui sistemi operativi e gli ambienti che supportano, Guardicore fornisce una copertura per tutti gli ambienti servendosi di un unico strumento e con il minimo impatto sulle prestazioni e l’operatività. Grazie alle funzioni di ispezione e controllo di tutti i flussi di traffico aziendali fornite da Akamai e Guardicore, stiamo aprendo una nuova frontiera: la scomparsa del perimetro aziendale. Un approccio Zero Trust completo che combina la protezione offerta da Akamai e Guardicore renderà estremamente difficile per un ransomware riuscire a complicarvi la vita”.
Per finire, visto che siamo in apertura d’anno, quali sono gli obiettivi per il 2022 di Akamai, anche alla luce dell’acquisizione di Guardicore?
“Sicuramente nel futuro gli attacchi informatici continueranno a crescere e il nostro osservatorio privilegiato (ricordo che Akamai ogni giorno gestisce circa il 30% del traffico web) ci consentirà di mettere in atto le strategie più corrette per il contenimento degli attacchi, che andranno incontro ad ulteriori evoluzioni che al momento non possiamo neanche immaginare. La nostra strategia rimane quella di mantenere la massima sicurezza per garantire la business continuity dei nostri clienti fronteggiando attacchi DDoS, applicativi e ransomware. Grazie all’acquisizione di Guardicore e alla più recente di Linode, Akamai potrà raggiungere l’obiettivo di diventare il punto di riferimento della PA, delle infrastrutture critiche, dei grandi e-commerce e di ogni azienda che utilizza il web per portare avanti e sostenere il proprio business”.
