L’attacco ransomware è partito dalla Francia (ma non era l’Italia il bersaglio?!) per poi spostarsi negli Stati Uniti, oltre che in Italia, Germania e altri paesi occidentali.

Che cos’è VMware ESXi?

L’hypervisor, noto anche come gestore delle macchine virtuali, è un processo che crea e gestisce le macchine virtuali (VM). Un hypervisor permette a un computer host di supportare più VM guest attraverso la condivisione virtuale delle risorse di elaborazione e memoria.

(Fonte: WMware)

Ora che conosciamo come sono andate le cose, analizziamo il perché è accaduto

• Le piattaforme ESXi attaccate erano ingiustificatamente pubblicate su internet;
• Sono state utilizzate versioni VMware ESXi  EndOfLife (EoL) o addirittura non più supportate (EoS) 
• La vulnerabilità è stata scoperta, risolta e notificata dal vendor stesso quasi due anni fa. Perché non era stata installata la patch?

Lessons  Learned: Errore umano o mancanza di Security Control?

Questa vicenda è sicuramente un concorso di colpe sia dal lato umano che di processi aziendali.

Le piattaforme, ad esempio, non dovevano essere collegate ad una rete pubblica ma ad una network interna, magari segmentata e con maggiore controllo sugli accessi amministrativi (concetto di Least Privilege). Allo stesso tempo sarebbe stato dovere dell’IT manager rimediare alla vulnerabilità installando la patch almeno due anni fa.

Per quanto riguarda l’utilizzo di versioni VMware ESXi dismesse, il problema è strettamente collegato alle scelte di budget (aggiornare costa, ma non aggiornare spesso costa di più).

Come si poteva evitare tutto questo?

Esistono strumenti attraverso i quali sarebbe stato possibile prevenire eventuali danni.

Attività come il Vulnerability Assessment hanno lo scopo di identificare le minacce tecnologiche (in questo caso si avrebbe evidenziato subito l’utilizzo di piattaforme obsolete e non aggiornate), ma questo non basta: la superficie d’attacco delle aziende è sempre più grande e copre aspetti sempre più trasversali e non solo tecnologici.

Il processo di business è sempre più complesso e ricco di attori, lo scopo delle aziende resta il fattore produttività, ciò che oggi manca è la consapevolezza che nei processi produttivi il mondo IT non è più un aspetto secondario ma è diventato complementare, soprattutto dopo introduzione dell’Industria 4.0.

Non investire in un piano di sicurezza informatica è spesso dovuto alla difficoltà del board aziendale di avere la giusta sensibilità sui rischi e i danni collaterali relativi ad un fermo delle infrastrutture IT. Attraverso attività di Risk Analysis oppure BIA (Business Impact Analysis) processi cardine di un BCP (Business Continuity Plan) un buon management aziendale, una volta messo a conoscenza dei rischi e delle conseguenze economiche in caso di attacco, avrebbe messo a budget al proprio reparto IT tutti gli interventi del caso per prevenire eventuali perdite.

Conclusioni

Gli IT Manager fanno fatica a far percepire al board l’importanza degli investimenti nel loro reparto perché manca la consapevolezza che sono ormai parte integrante dei processi produttivi aziendali.

Un approccio top down invece, attraverso analisi come il BCP, mette in evidenza i rischi e le minacce al Business dell’azienda. Il discorso diventa quindi non solo tecnologico ma anche economico, linguaggio che i board comprendono con maggior facilità!

A quel punto le direttive e le policy arriveranno dall’alto e sia l’azienda che il business ne gioveranno.

Noi come Eurosystem puntiamo sul rendere più consapevoli i BOARD delle minacce al core business aziendale proveniente dal mondo tecnologico per offrire a loro soluzioni con un ottimo rapporto costi-benefici.

Sandro Sana, Cyber Security Division Manager del Gruppo Eurosystem

Vuoi ricevere una consulenza in ambito cyber security? Contattaci a marketing@eurosystem.it