Cyberwar Iran: backdoor nei server VPN Darktrace Mike Beck

redazione

“L’istallazione deliberata delle backdoor oggi è un argomento di forte attualità nel mondo cyber (basti pensare al caso Huawei).

Gli Stati forniscono attrezzature che devono essere incorporate nelle infrastrutture critiche e che contengono backdoor.

Come dimostra questo caso, però, non è obbligatorio prevederle perché la maggior parte delle volte gli hacker sfrutteranno vulnerabilità note.

 

Il caso iraniano mostra, inoltre, che anche un gruppo di cyber criminali meno sofisticati (come questi) può diventare pericoloso sfruttando vulnerabilità esistenti e agendo rapidamente. Il tempo è nemico di chi deve difendere le infrastrutture digitali, perché, mentre noi rischiamo di essere sopraffatti dalla loro complessità, i malintenzionati le sfruttano.

Indipendentemente dalle dimensioni e dall’influenza dell’organizzazione colpita, gli exploit saranno trovati e sfruttati, anche dagli avversari meno abili.

 

Questo caso dimostra, infine, che gli hacker iraniani hanno una buona conoscenza dei comportamenti umani e, in particolare, dei nostri punti deboli. Sanno che aggiornare le patch dei dispositivi VPN raramente è una priorità per i team di sicurezza aziendali. Questi dispositivi svolgono un ruolo fondamentale nel consentire ai dipendenti di fare il proprio lavoro, ed eventuali tempi di inattività che le modifiche comporterebbero potrebbero momentaneamente interrompere i processi aziendali (e ne conseguirebbero molte critiche). Non siamo quindi di fronte a un attacco di ingegneria sociale, ma a una comprensione profonda del comportamento umano e delle dinamiche di business,unita alla capacità di sfruttare vulnerabilità note.

 

Oggi è evidente che non sia più possibile approcciarsi alla sicurezza impostando una semplice distinzione tra “insider = buoni” e “outsider = cattivi” e nemmeno presupporre che gli utenti VPN siano al sicuro.

Le organizzazione devono conoscere e controllare costantemente i comportamenti dei dipendenti e di tutti gli utenti e terze parti che si collegano alle VPN, adottando un approccio di sicurezza “zero-trust” che comporta un monitoraggio continuo e in tempo reale dell’intera infrastruttura alla ricerca di comportamenti sospetti, per ottenere una visibilità totale su dispositivi e sugli utenti della propria rete.

 

La domanda che dobbiamo porci non è quindi se le VPN siano sicure – oggi sono indispensabili per il business – ma se abbiamo adottato gli strumenti di sicurezza giusti per proteggerle, perché è sempre più importante che i sistemi non siano solo costantemente monitorati, ma siano in grado di autodifesi: e la risposta a tutto questo è l’intelligenza artificiale.”