Protezione del data center: agire, agire, agire
Di Fabio Buccigrossi, Country Manager di ESET Italia
La guerra in Ucraina prosegue di pari passo con il potenziale per un’ulteriore escalation nelle offensive cinetiche. Allo stesso tempo, le probabilità che il conflitto possa portare a grandi cyberattacchi nei confronti di obiettivi che superano i confini dell’Ucraina sembrano ridursi. Questo ha però messo il
mondo in allerta, e una componente critica del mondo digital-centrico di oggi – i data center – non fa eccezione.
Infatti, i data center potrebbero essere i primi sulla linea di tiro se le cyber-ostilità si espandessero oltre l’Ucraina. Una nuova e tempestiva guida del National Cyber Security Centre (NCSC) del Regno Unito ha avvertito che “gli effetti a cascata di una perdita di servizio possono essere enormi”.
Perché i data center sono un obiettivo primario?
Tra la pandemia e l’affermarsi del lavoro da remoto, molta dell’attenzione nella cybersecurity si è concentrata sulla forza lavoro distribuita. Le minacce poste da un’esplosione di endpoint per il lavoro da casa e superfici di attacco aziendale dilatate rimangono ancora, e devono essere mitigate. Ma questo non dovrebbe sminuire l’importanza della sicurezza dei data center. Questi hub strategicamente importanti di potenza di calcolo e dati rappresentano uno degli obiettivi più invitanti per gli autori di minacce avanzate.
Perché? Perché i data center sono un anello fondamentale nella digital supply chain, sia che siano di proprietà di una singola azienda sia che ospitino più clienti in hub di proprietà di provider di servizi gestiti, aziende di colocation e fornitori di servizi cloud (CSP). A seconda del data center, un attacco potrebbe avere un impatto su svariati settori critici, dalla sanità e dalla finanza all’energia e ai trasporti.
I data center sono apparentemente meglio difesi rispetto a molte risorse IT aziendali in sede, ma rappresentano anche un obiettivo più grande, e quindi un maggiore profitto per gli attaccanti. Perché spendere tempo e sforzi per attaccare più obiettivi quando si può colpire un data center e paralizzarne centinaia o migliaia in un colpo solo?
Quali sono le principali minacce?
Nonostante sia stata realizzata una spesa di 12 miliardi di dollari per la sicurezza a livello globale nel 2020, i responsabili di data center devono anche rendersi conto che il panorama delle minacce è in continua evoluzione. Nel caso di un attacco informatico, un probabile obiettivo finale è l’interruzione del servizio o la distruzione dei dati. Ciò significa che alcune delle più grandi minacce saranno:
Malware: ESET ha già individuato tre ceppi di malware wiper distruttivi utilizzati prima e durante il conflitto: HermeticWiper, IsaacWiper e CaddyWiper. Il primo è stato distribuito poche ore prima dell’inizio dell’invasione, mentre IsaacWiper ha colpito le organizzazioni ucraine il giorno successivo – anche se entrambi erano stati pianificati da mesi, con certificati di firma del codice ottenuti nell’aprile
dello scorso anno. Anche se il vettore di accesso iniziale è sconosciuto, questi malware sono stati programmati per distruggere i file sensibili.
Nessuno di questi wiper, né un quarto malware wiper mirato alle risorse ucraine, WhisperGate, erano focalizzati specificamente sui data center. Tuttavia, un precedente attacco contro l’Ucraina, nel 2017, ha finito per causare danni collaterali ai data center al di fuori del paese. NotPetya è stato mascherato
come un elemento ransomware a sfondo finanziario, ma in realtà, ha operato come HermeticWiper per colpire il Master Boot Record (MBR) delle macchine in modo che non potessero riavviarsi.
Attacchi DDoS (Distributed denial-of-service): abbiamo già visto pesanti campagne DDoS contro le banche statali ucraine e i siti web governativi. E i funzionari di Kiev hanno riferito che i siti governativi sono stati sotto attacco quasi costante da quando è iniziata l’invasione, con attacchi che hanno raggiunto i 100Gbps in alcuni casi. Il DDoS potrebbe anche essere usato per distrarre il personale di sicurezza dei data center mentre vengono lanciati tentativi di malware distruttivi più nascosti.
Minacce fisiche: può sembrare la scena di un film d’azione, ma gli attacchi di sabotaggio ai data center non possono essere esclusi alla luce dell’escalation del conflitto in Ucraina. Di recente, ad esempio, un data center svizzero di proprietà del servizio interbancario SWIFT è stato messo sotto sorveglianza
armata. È un rischio che il NCSC evidenzia nella sua nuova guida: “Come proprietario di un data center, chiedetevi se avete percorsi di comunicazione fisicamente separati nel data center, diverse opzioni di alimentazione e backup, e se i locali di servizio dell’edificio sono protetti da attacchi fisici o sabotaggi”.
È il momento di pianificare e costruire la resilienza
Il fatto che gli attacchi a paesi terzi non si siano ancora verificati non significa che i detentori di data center siano al sicuro: tutt’altro. Gruppi di minacce avanzate hanno dimostrato in passato la loro abilità, sofisticazione e determinazione, in campagne come ad esempio gli attacchi SolarWinds che hanno compromesso le reti di almeno nove agenzie governative statunitensi. Gli attaccanti possono passare mesi a preparare i loro strumenti e a condurre la ricognizione e, alcuni gruppi potrebbero già aver raggiunto la persistenza all’interno di alcuni ambienti IT dei data center.
Il NCSC sostiene che i proprietari di data center dovrebbero concentrarsi su sei aree chiave:
il perimetro fisico, compresi tutti gli edifici dei data center; la sala operativa, con particolare attenzione ai controlli di accesso nei data center condivisi; le sale riunioni, che dovrebbero essere protette con il controllo degli accessi e lo screening, il rilevamento delle intrusioni come il CCTV, le perquisizioni in
entrata e in uscita, la protezione dei rack, l’anonimizzazione e la distruzione delle risorse; le persone, il che significa promuovere una buona cultura della sicurezza sostenuta da formazione e sensibilizzazione, la supply chain, con analisi del rischio che comprendano i rischi fisici, di personale e di cybersecurity. I proprietari di data center dovrebbero ottimizzare le misure preventive, ma anche mettere in conto il rischio e adottare misure di detection and response per rispondere rapidamente alle minacce e ridurre così al minimo il loro impatto.
Abbiamo fornito un’utile lista di azioni da compiere per migliorare la cyber-resilienza, compresi controlli di accesso più stretti, patch tempestive e autenticazione a più fattori. Speriamo tutti che non si arrivi a tanto, ma anche se le ostilità non dovessero sfocare in un conflitto più ampio, queste precauzioni
aiuterebbero comunque a garantire che ogni data center venga basato su fondamenta sicure e conformi.