IL MAGAZINE DEDICATO ALLE
INVESTIGAZIONI & SCIENZE FORENSI

di:  

alessandro berta

Alessandro Berta (Fortinet): “Le guerre cyber del futuro rischiano di avere luogo in poche frazioni di secondo”

Quali strategie di cyber security mettere in atto per proteggere il settore farmaceutico? Con il lavoro da remoto sono aumentati gli attacchi informatici? Quali saranno le nuove sfide che porterà con sé il 5G? Intervista ad Alessandro Berta, Principal Systems Engineer di Fortinet

Alla luce del crescente utilizzo di sistemi informatici, il settore della cyber security riveste di giorno in giorno un’importanza sempre maggiore. Furti di informazioni, danni ad hardware e software sono solo alcuni degli attacchi che possono essere messi a segno nei più disparati settori. Con la pandemia di coronavirus e la conseguente corsa alla realizzazione di un vaccino, anche il settore farmaceutico si è trovato spesso sotto attacco. Fortinet, leader globale nelle soluzioni di cybersecurity, in una sua recente analisi, ha individuato quali sono le principali sfide da dover affrontare per garantire la sicurezza dell’industria farmaceutica. Ne abbiamo parlato con Alessandro Berta, Principal Systems Engineer di Fortinet, per capire meglio quali strategie di cyber security sarebbe necessario mettere in atto per proteggere il settore, ma anche per approfondire quali sono le principali minacce che devono quotidianamente affrontare le imprese e le nuove sfide che porterà con sé il 5G.

Leggere di attacchi hacker agli istituti di ricerca che lavorando al vaccino per il Covid 19 è molto allarmante. Quali sono le principali sfide che il settore farmaceutico dovrà affrontare per mettersi al riparo da queste minacce?
Le aziende farmaceutiche che sono direttamente legate allo sviluppo ed alla produzione del vaccino contro Covid-19 corrono grandissimi rischi legati all’esfiltrazione dei loro segreti industriali, non solo da parte di concorrenti diretti, ma anche da parte di stati-nazione. Questi ultimi attori sono ovviamente molto temibili, a causa delle risorse ingenti che possono mettere in campo dal punto di vista delle competenze (intere divisioni di intelligence) e della potenza di fuoco informatica e finanziaria. Riuscire ad accelerare in ogni modo lo sviluppo dei vaccini prodotti all’interno del proprio Paese, o anche solo rallentare la messa in produzione dei vaccini degli stati direttamente concorrenti, può valere tantissimo dal punto di vista della geopolitica mondiale. Difendersi in modo appropriato in un panorama di cyber war è una sfida difficilissima, sia per una Nazione, ma ancora di più per un’azienda farmaceutica del settore privato, e quindi vanno fatti i dovuti investimenti in questo ambito, che non può essere trascurato.
In aggiunta, oltre alle minacce che vengono dall’esterno, le aziende farmaceutiche si trovano a dover fronteggiare anche i pericoli che posso venire dal loro interno. Recenti studi di settore, ad esempio, hanno dimostrato che tra tutti, proprio il settore healthcare è il più esposto al fenomeno dell’insider threat, visto l’alto valore degli archivi di informazioni mediche che è possibile riscontrare nel deep web.
Infine, le linee di produzione dei farmaci sono accomunate a tutti gli altri settori della manifattura nell’esposizione ai rischi, spesso troppo sottovalutati, determinati dagli attacchi ai sistemi di automazione industriale (Industrial Control Systems/Operational Technology). Questa tipologia di minacce può compromettere la continuità del ciclo produttivo, così come può comportare pericoli per l’incolumità stessa dei lavoratori o dell’ambiente. 

Quale approccio dovrebbero adottare le aziende farmaceutiche per cercare di risolvere queste criticità?
Per poter fronteggiare con successo questo tipo di attacchi molto sofisticati, preceduti da tempi lunghi di preparazione e di studio dell’obiettivo da colpire, le aziende farmaceutiche e tutto il settore healthcare dovrebbero cercare di inserire nei loro staff IT i migliori talenti nel campo dell’analisi di sicurezza, un tipo di risorsa che in realtà scarseggia nel mercato del lavoro, sia italiano che internazionale. L’obiettivo dovrebbe essere quello di creare al loro interno, o eventualmente reperire come servizio esterno, un reparto SOC (Security Operation Center) con il più alto grado di maturità possibile. Questi analisti di sicurezza devono poi essere dotati di strumenti appropriati di visibilità e rilevamento degli incidenti di sicurezza, come ad esempio il FortiSIEM, e di ausili per orchestrare ed automatizzare il più possibile la risposta alla minaccia, benefici che possono essere portati da una piattaforma come FortiSOAR.
Inoltre, per facilitare ulteriormente l’operato del team della Sicurezza, si devono mettere a loro disposizione alcune soluzioni potenziate da tecniche di Intelligenza Artificiale. L’A.I. applicata alla cyber security permette infatti di irrobustire efficacemente gli scudi difensivi nei confronti degli attacchi zero-day, visto che non è improbabile che nel tipo di scenario di rischio medio-alto che si sta considerando, vengano riutilizzate tecniche già note di attacco. Qualora la compromissione fosse purtroppo già avvenuta, grazie agli strumenti AI-enabled si riescono ad accorciare in modo sostanziale i tempi di rilevamento del problema, consentendo di bloccare quanto prima l’emorragia di informazioni verso l’esterno, come preziosi studi clinici, o formule di nuove molecole in via di sperimentazione. Esempi concreti di tecnologie basate sull’Intelligenza Artificiale sono il FortiAI (Virtual Security Analyst), ma anche il sistema di rilevamento degli artefatti malevoli FortiSandbox, e la piattaforma di protezione degli Endpoint con capacità di Detection and Response estesa al Network, il FortiXDR.
In relazione, invece, al fenomeno delle minacce che vengono dall’interno della propria organizzazione, fronteggiare con successo questo tipo di problema richiede un approccio multilivello e coordinato. Per prima cosa la rete dovrebbe essere segmentata in modo intelligente per restringere l’accesso ad ogni informazione solo a chi ne ha davvero bisogno. Inoltre, ogni richiesta di accesso alle risorse di rete dovrebbe essere verificata sia dal punto di vista della validità dell’utente che sta tentando l’accesso, ma anche del dispositivo con cui lo sta facendo. Questo approccio Zero-trust aiuta a rilevare l’attività inopportuna da parte degli insider e a bloccarla prima che causi danno. La Fortinet Security Fabric permette implementare agilmente questo livello di segmentazione di rete, grazie alle sue componenti di Security-Driven Networking come FortiGate, FortiSwitch, FortiAP, quelle di Zero-Trust Access come FortiNAC, FortiAuthenticator, FortiToken e FortiClient. Per poter scovare in modo attivo gli insider si possono inoltre approntare delle apposite “esche”, cioè servizi particolarmente vulnerabili che in realtà sono sensori di rilevamento del FortiDeceptor, oppure si può studiare il comportamento degli utenti e dei dispositivi con strumenti UEBA come FortiInsight per andare a caccia delle eventuali anomalie rispetto alla baseline.

L’emergenza sanitaria ha portato le imprese di ogni settore a digitalizzare molti dei propri servizi e a ricorrere maggiormente allo smartworking e al lavoro da remoto. Questi cambiamenti le hanno rese più vulnerabili sotto il profilo della sicurezza informatica? Avete assistito a un aumento degli attacchi?
Fortinet concorda sul fatto che ci sia stata un’accelerazione nel processo di Trasformazione Digitale in tutti i settori, compreso quello della sanità. Nel contempo, la pandemia ha costretto molti lavoratori a dover operare da remoto; per accedere con successo a questi servizi digitalizzati è stato necessario implementare un apposito cambio di architettura. Da un lato si è dovuto potenziare il servizio di accesso remoto tramite VPN, dall’altro si è pensato di muovere alcuni workload in piattaforme Cloud di tipo pubblico o privato. Ma nel fare questo è aumentata la superficie di attacco, e le statistiche di questo ultimo anno dei nostri centri di ricerca FortiGuard sul malware lo hanno certificato.
L’accesso remoto del telelavoratore si è dimostrato da subito un potenziale elemento di rischio di sicurezza, in quanto la VPN utilizzata per consentirlo estende il perimetro aziendale fino alla casa dello smart worker. Se non adeguatamente irrobustito con tecniche di autenticazione multi fattore come FortiToken e verifica della compliance dei dispositivi con cui ci si connette, soprattutto in caso di utilizzo di PC personali non particolarmente protetti, tale accesso da remoto può spalancare la porta dell’azienda a serie minacce.
Per quanto riguarda l’adozione del Cloud, per facilitare agli utenti l’accesso ai servizi, anche al di fuori del perimetro aziendale, molte organizzazioni non hanno stimato correttamente i rischi del modello di shared responsibility proposto dai Cloud Provider, così come l’assenza di strumenti per mettere in sicurezza i servizi migrati nella “nuvola”; talvolta manca la visibilità completa di quanto accade in questo ambito. La disponibilità di prodotti di sicurezza Fortinet per i principali Cloud Provider, e di strumenti come FortiCWP e FortiCASB, consentono di monitorare e governare l’esposizione ai rischi dei propri servizi migrati in Cloud, o delle applicazioni SaaS fruite dagli utenti aziendali.

L’avvento del 5G porterà con sé grandi innovazioni e opportunità. Ma quali saranno le sfide che dovranno essere affrontate sul fronte della cybersecurity?
Il 5G potrà sicuramente apportare numerosi benefici in svariati ambiti, ma come tutte le innovazioni tecnologiche può, di contro, essere fonte di rischi mai affrontati in precedenza. Ad esempio, questa tecnologia darà una spinta alla proliferazione di oggetti e dispositivi costantemente connessi in rete, il ben noto fenomeno IoT. Questo tipo di dispositivi sono tipicamente sviluppati senza avere la sicurezza come base intrinseca; nel caso in cui si scopra una vulnerabilità del device IoT, è poco frequente la possibilità di avere a disposizione una patch che possa sistemare il problema e che sia installabile facilmente. In definitiva, se anche la vulnerabilità è nota, a volte l’unica opzione è quella di accettarne la presenza, e quindi l’unica azione possibile è quella di segmentare la rete ed isolare in una zona separata l’oggetto IoT, ed eventualmente intervenire con tecniche di virtual patching con l’IPS disponibile nei firewall FortiGate.
Se parliamo di minacce, un tipo di attacco che rappresenta un’evoluzione della tipica botnet, e che recentemente è stato identificato in letteratura, è il cosiddetto swarmbot, cioè un insieme molto grande (migliaia) di dispositivi connessi in rete e compromessi, i quali sferrano un attacco in maniera coordinata dividendosi in sottogruppi, con capacità specializzate in accordo a definite funzioni. In maniera similare a quanto succede in uno sciame di insetti, questi dispositivi compromessi sono mossi da un’intelligenza collettiva e decentralizzata, che permette allo swarmbot di raffinare e modificare le tecniche di attacco mentre questo è ancora in corso, aumentando l’efficienza e l’efficacia dell’aggressione. Nell’ipotesi in cui vengano assoldati in questo tipo nuovo di botnet dispositivi con capacità 5G, la pericolosità della minaccia verrebbe amplificata, a causa della maggiore potenza computazionale e velocità di trasmissione di questo tipo di oggetti. Le guerre cyber del futuro rischiano probabilmente di avere luogo in poche frazioni di secondo!

CONDIVI QUESTO ARTICOLO!

Iscriviti alla newsletter

    La tua email *

    Numero di cellulare

    Nome *

    Cognome *

    *

    *

    Inserisci sotto il seguente codice: captcha