Attacco a Luxottica come si sarebbe potuto evitare?

È di qualche settimana fa la notizia che anche Luxottica ha subito un attacco ransomware.

A differenza di altre realtà, Luxottica è stata in grado di gestire molto bene l’emergenza, evitando la compromissione di dati personali e ripristinando rapidamente i sistemi compromessi.

Nonostante questo però alcuni stabilimenti hanno subito un fermo della produzione per più di un giorno, con la necessità di dover rimandare a casa i dipendenti. Alcuni siti web istituzionali legati al gruppo sono stati offline e ovviamente, anche se difficilmente quantificabile, vi è stato un danno di immagine legato all'accaduto. Tutti eventi che comportano perdite economiche.

Dalle informazioni emerse pare che i cyber criminali, per accedere alla rete di Luxottica, abbiano sfruttano una vulnerabilità presente nella versione di NetScaler (citrix) utilizzata dal gruppo.

La vulnerabilità (CVE-2019-029781) è nota da gennaio ed è tra le più sfruttate dagli sviluppatori di ransomware. Benché non esista una vera e propria patch, Citrix ha rilasciato delle linee guida che permettono di mitigarla ed evitare che possa essere sfruttata efficacemente dagli attaccanti.

Cosa significa questo? Che probabilmente l'attacco si sarebbe potuto evitare, applicando le mitigazioni previste dal produttore del software.

In generale, non solo nello specifico caso di Luxottica, gli attaccanti nella maggior parte dei casi sfruttano vulnerabilità note per accedere illecitamente ai sistemi, e non "zero-day".

Se da un lato questo aspetto è preoccupante, perché significa che la gran parte delle organizzazioni non si occupa dell'aggiornamento del proprio parco software (si veda anche la notizia sulla quantità di server Exchange non patchati), dall'altro significa che è possibile per le aziende proteggersi e ridurre drasticamente la probabilità di subire un attacco.

Ma all'atto pratico come si dovrebbe procedere? Definendo procedure che prevedano aggiornamenti e assessment periodici.

Nel dettaglio:

1. In fase di configurazione e deployment seguire sempre le "best practice" dei produttori per quanto riguarda la sicurezza
2. Definire una policy che preveda l'applicazione periodica degli aggiornanti di sicurezza, ad esempio mensilmente. Dal momento che l'applicazione di aggiornamenti può prevedere riavvii e fermi dei servizi erogati deve per forza essere un'attività programmata e che faccia parte di un piano per la gestione della sicurezza.
3. Prevedere assessment periodici, diciamo annualmente, che permettano di verificare la presenza di vulnerabilità nei software e nei device presenti nella propria rete.

Queste attività possono essere approcciate da diversi punti di vista: un soluzione efficace e che non comporta sforzi esagerati è quella di effettuare un penetration test sugli IP pubblici dell'organizzazione in modo da evidenziare eventuali falle e verificare se queste possano effettivamente essere sfruttate dagli attaccanti.

Parallelamente a questo, è molto utile effettuare la medesima operazione dall'interno, o almeno procedere con un vulnerability assessment, che permette di enumerare tutte le vulnerabilità presenti (senza però tentare di sfruttarle).

Questa seconda attività è molto utile perché i malware potrebbero entrare nella rete aziendale non direttamente dallo sfruttamento di una vulnerabilità di un servizio pubblicato in rete, ma attraverso canali differenti come, per esempio, mail di phishing.

In ogni caso entrambe le attività forniscono come risultato non solo il mero elenco delle vulnerabilità, ma attraverso executive e technical report anche la priorità con cui andrebbero affrontate le problematiche, evidenziando le possibili azioni correttive necessarie per mitigare le vulnerabilità. In funzione del risultato degli assessment è poi possibile procedere con le attività di "hardening" per ridurre la superficie di attacco a disposizione degli attaccanti e minimizzare i rischi.