Come si gestisce un attacco informatico?

11 gennaio 2023Ultimo aggiornamento 02 febbraio 2023
Tempo di lettura stimato: 7'
Torniamo a parlare di attacchi hacker da parte delle grandi organizzazioni criminali. In un precedente articolo sul tema degli attacchi informatici e della cybersicurezza, ci eravamo lasciati con un avviso: pagare il riscatto è illegale, sia per l’organizzazione che ha subito l’attacco che per i consulenti di quell’organizzazione, compresi DPO e Consulenti Privacy ovviamente. 

Eppure, le aziende che finiscono per cedere all’estorsione sono moltissime. Allora viene da chiedersi: come gestire un attacco informatico e cosa bisogna sapere per ridurre il rischio di trovarsi a negoziare con dei cybercriminali? Ne ho parlato con Marco Ramilli, CEO e co-fondatore di Yoroi, azienda specializzata in sicurezza informatica, in un LIVE di Raise Academy. 

Mai come in questo caso vale il principio: in caso di cyberattacco, affidati a dei professionisti

Andrea Chiozzi: Cerchiamo di capire cosa bisogna fare e cosa non bisogna fare quando di subisce un attacco informatico e come gestire la richiesta di un riscatto.  

Marco Ramilli: Ci sono delle organizzazioni come la nostra che, essendo certificate Trusted Introducer - una certificazione a livello europeo -, danno una garanzia di una elevata qualità nella gestione di determinate frodi informatiche come, per esempio, quella della double extortion. Double extortion indica un attacco ransomware a doppia estorsione, cioè un attacco informatico in cui gli hacker estraggono i dati e li crittografano in cambio di un riscatto [ndr].

Avendo dei canali privilegiati con la polizia, le organizzazioni Trusted Introducer hanno la possibilità di chiedere a questi organi se possono autorizzare, in determinati casi, alcune tipologie di pagamenti. Dipende da caso a caso. Personalmente non ho ancora visto dire di sì. C'è la possibilità di fare richiesta e di chiedere se esistono strade alternative al pagamento del riscatto, strade che ovviamente spettano agli organi di polizia, di vigilanza e giudiziari, non certamente a organizzazioni private.

Nel nostro caso possiamo coinvolgere o indirizzare verso le autorità. 

Andrea Chiozzi: Quindi, in sostanza, dite ai consulenti che si trovano a gestire una situazione del genere con i loro clienti: “Va bene aiutare il cliente, ma a volte è necessario avere dei professionisti a fianco o costruirsi la propria professionalità per muoversi in maniera corretta verso il cliente e verso la parte legale.” Questa è l’evoluzione? Affidarsi a dei professionisti ad altissima specializzazione?

Marco Ramilli: Un tempo la cybersec derivava dalla IT security. Quindi, chi faceva IT si evolveva verso sistemi di protezione perimetrali, come ad esempio firewall o Intrusion Detection Systems, proxy e così via, per poi analizzare ciò che quegli appliance dicevano. 

Oggi la cybersec è un po' diversa.

Invece di essere un'emanazione, o meglio, un'astrazione dell'IT è forse una specializzazione del mondo del software. Quindi è una specializzazione che viene da un mondo differente rispetto a quello dell'IT. 

Si sta andando verso un’altissima specializzazione. 

Abbiamo già parlato di attacchi da parte di grandi gruppi criminali, ma ci sono moltissime organizzazioni che subiscono attacchi da parte di APT, che sta per Advanced Persistent Threat. Quindi vengono attaccate da gruppi che non sono più criminali, ma sono State-sponsored ovvero sponsorizzati da Stati. Oppure che sono addirittura parte di Stati stessi.  

E per difendersi è necessario affidarsi a dei professionisti che fanno quello dalla mattina alla sera. 

Il team sicurezza interno all’organizzazione è il migliore, ma è consigliabile rivolgersi anche a degli esterni

Marco Ramilli: I grandi gruppi bancari e gli enti pubblici, per esempio, hanno al loro interno i loro specialisti, che però vedono sempre e solo le problematiche di quell'organizzazione. Invece, avere la possibilità di coinvolgere organizzazioni esterne, che fanno questo di mestiere, dà la possibilità di sfruttare dell'expertise e delle competenze che sono più ortogonali, dato che intervengono su tante organizzazioni.

Siccome gli attaccanti tendono a riutilizzare il codice degli attacchi - perché devono massimizzare il loro profitto - avere la possibilità di vedere questi attacchi in altre organizzazioni permette di intervenire prima, nel momento del bisogno.

L'utilizzo di team esterni quindi è molto consigliato. Non perché il team esterno sia migliore di quello interno - anzi, tipicamente è il contrario: il team interno all'organizzazione è il miglior team di quell'organizzazione, perché la conosce meglio - ma perché offre una visione più ampia. E visto che gli attacchi vengono tipicamente riciclati, anche da un settore a un altro, allora vi è la possibilità di arrivare nel minor tempo possibile alla soluzione. Questo soprattutto durante l'attacco.

Le cose da NON fare se subisci un attacco informatico

Andrea Chiozzi: Partiamo dalla coda. Attacco avvenuto. È successo un disastro. Ci porti qualche esempio di aziende non gigantesche o di PA non enormi per dare indicazioni su come deve essere approcciata quella tematica lì, da quando ti chiama il cliente in preda al panico?

1 – MAI spegnere tutto e MAI ripristinare subito i sistemi

Marco Ramilli: Ci sono alcuni errori tipici che vengono fatti puntualmente. Il primo è "spegnere tutto". C'è un ransomware e si spegne tutto. Questo è uno dei primi errori tecnici che non bisogna fare. Perché spegnere un sistema o spegnere una rete significa togliere l'opportunità di recuperare i dati. Staccare i sistemi dalla rete o isolarli ha una sua logica, ma mai spegnere le macchine, perché, in memoria, questi malware e ransomware lasciano delle tracce, che possono aiutare in alcuni casi a recuperare i file originali.

La seconda cosa che non bisogna fare è farsi prendere dalla foga di ripristinare i sistemi, senza pensare al processo di ripristino e cosa sia backuppato: può succedere che vengano ripristinati anche i malware stessi e che nel backup siano racchiusi gli artefatti, pronti per essere detonati. 

2 – Non affidarsi a chi non è specializzato, perché il malware potrebbe essere ancora nei sistemi…

Marco Ramilli: Questo è un tema molto legato a un altro: non appoggiarsi a strutture non specializzate, a dei non specialisti. Bisogna avere dell'esperienza, aver visto tanti casi e averli studiati, per poter riuscire, nel minor tempo possibile, a risolvere quel problema. 

Entriamo nell’ottica dell’attaccante, che deve massimizzare il suo guadagno e quindi deve restare il più possibile all’interno dell’azienda, anche dopo il ripristino. Perché, se resta dentro, può attaccarla una seconda volta, forse non nello stesso anno o nello stesso periodo temporale, ma magari dopo qualche mese. 

L’attaccante può posizionare dei sample, cioè dei file malevoli, all’interno di alcuni folder, che poi vengono backuppati, in modo che, all’intrusione successiva, questi siano già presenti. Oppure può mettere qualcosa in esecuzione automatica, ma che poi si manifesta solo dopo qualche mese dal suo lancio. Anche il recovery dei file in maniera schizofrenica non va fatto. 

Bisogna riflettere e cercare anche di capire in che modo ripristinare nel tempo le varie macchine. 

3 – Sottovalutare la comunicazione

Marco Ramilli: Poi non bisogna assolutamente sottovalutare i temi della comunicazione. Quando si subisce un attacco, non si pensa alla comunicazione. O si comunica troppo in fretta quello che è successo, o si comunica in maniera approssimativa, o non si comunica affatto. Bisogna pensarci. È un tema che va affrontato a livello di board o di proprietà, e bisogna raccontare come e cosa è successo, nel migliore dei modi, cercando di avere un occhio di riguardo a quella che è la compliance e a ciò che dice il GDPR

Perché, se in alcuni attacchi vi sono infiltrazioni di dati sensibili, interessanti o che toccano l'ambiente GDPR, ci sono delle normative specifiche e dei tempi entro cui comunicare l'accaduto. Quindi è un tema che riguarda il GDPR e anche la compliance perché, se si subisce un attacco informatico, significa che probabilmente c'è stato qualche processo che non ha girato in maniera performante, oppure che semplicemente mancano dei processi. 

Andrea Chiozzi: Esattamente. Potrebbe esserci una violazione di dati personali, un data breach da gestire…

Le cose da fare in caso di attacco

Marco Ramilli: Vediamo adesso le cose da fare. Da un punto di vista tecnico ce ne sarebbero tantissime, ma la prima cosa da fare è cercare di capire perché è successo e imparare da questo (lesson learning). 

1 – Lesson learning: imparare da un attacco

Marco Ramilli: Imparare dal perché è avvenuto quell'attacco, cos'è andato storno, come possiamo migliorare? Abbiamo capito che dobbiamo migliorare? Testiamolo, rifacciamolo attraverso delle organizzazioni esterne. Implementare una logica di lesson learning è molto importante e va formalizzato subito. Partire da:
  • Come faccio a imparare dagli errori fatti? 
  • Qual è il processo che mi serve per imparare dagli errori fatti? 
Senza questo, possiamo avere tutta la tecnologia che vogliamo e tutti gli esperti che vogliamo, saremo sicuramente in grado di ripristinare la nostra società nel minor tempo possibile, ma poi possiamo essere soggetti nuovamente ad attacchi. 

2 – Non cercare un colpevole. Non serve. Anzi…

Marco Ramilli: Bisogna anche evitare di cercare un colpevole – chi ha cliccato, chi ha sbagliato… - perché quando c'è un incidente non dobbiamo entrare in quella logica. Così non si arriva da nessuna parte. Si entra in una logica velenosa, che non ci porta alla risoluzione del problema.

E queste sono solo alcune delle cose da fare in caso di cyberattacco

La conversazione con Marco Ramilli è proseguita, ovviamente. Abbiamo parlato di esempi pratici, di cose realmente accadute… Fra le tante, gli ho chiesto: 
  • Ma è vero che un’azienda specializzata in cybersicurezza costa tanto alle PMI?
  • Che tipo di attacchi subiscono le PMI di solito? 
  • Quali sono gli attacchi più frequenti? 
  • Come bisogna scrivere le password? 
  • Ma le password sono davvero sicure? Da sole sono sufficienti? 
  • Si può scaricare un virus malevolo accettando un cookie dal web? (Paura eh!?!)
Vuoi conoscere le risposte? 
Vai su Raise Academy, perché questo è solo un assaggio!

La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.

RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

Esperto di sicurezza Informatica, specializzato in Malware Analysis e sistemi di evasione. CEO e co-fondatore di Yoroi.

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy