Aziende di trasporto e rischi informatici 3 domande a Trellix, specialista di sicurezza informatica

GEODIS ha intervistato Mo Cashman, uno degli appassionati leader di Trellix nel campo della sicurezza informatica, sulla sua comprensione del rischio informatico, come si applica alle aziende di logistica e trasporto e come queste dovrebbero rispondere per controllarlo. Mo ha condiviso, inoltre, le sue opinioni sulla sovranità e la sicurezza dei dati oggi.
Trellix è il nome del nuovo colosso globale della sicurezza informatica nato dalla fusione tra McAfee Enterprise e FireEye (ottobre 2021).

Quali misure dovrebbe mettere in atto un’azienda di logistica e trasporti per proteggere i propri clienti contro gli attacchi informatici?

Il settore dei trasporti si trova ad affrontare molte delle stesse minacce alle commodity che colpiscono la maggior parte delle imprese digitali. Tuttavia, a causa della criticità delleinfrastrutture e dell’economia, nonché delle loro applicazioni cloud-native, assistiamo a ransomware e attacchi contro le applicazioni cloud native che ne minacciano la resilienza.

Recentemente, l’uso di Ransomware as a Serviceè stato un modo efficace per interrompere le operazioni aziendali. Il il settore dei trasporti è stato il secondo settore più preso di mira da Ransomware nell’ultimo trimestre (fonte: Trellix Threat Intelligence).

È importante capire che il ransomware non inizia con la crittografia. Le minacce ransomware oggi sono in larga parte attacchi a più fasi. Per proteggersi da questi fenomeni, la maggior parte delle organizzazioni dispone di controlli adeguati, come Endpoint Security, EDR, Secure Web Proxy e Email Security già attivi. Tuttavia, spesso mancano processi di rilevamento delle minacce e di risposta nel SOCper rilevare l’attacco in corso e investire in capacità XDR per migliorare il rilevamento, nonché provare i processi di Incident Response, sono fondamentali per la resilienza al ransomware.

Un altro vettore di attacco chiave per le aziende di trasporto è rappresentato dalle API e dalle applicazioni cloud-native. Oggi, oltre l’80% di tutto il traffico Internet appartiene a servizi basati su API. Le applicazioni cloud (SaaS, PaaS o IaaS) hanno trasformato il modo in cui le API vengono generalmente progettate, utilizzate e sfruttate dagli sviluppatori di software. Le API si sono evolute fino a diventare la spina dorsale della maggior parte delle applicazioni moderne che consumiamo oggi. La portata e la popolarità di alcune di queste applicazioni cloud, nonché il tesoro di dati critici che contengono, rendonole API un obiettivo redditizio per gli attori delle minacce. La natura connessa delle API introduce potenzialmente ulteriori rischi per le aziende, in quanto diventano un vettore di ingresso per attacchi più ampi alla supply chain. Nella maggior parte dei casi, gli attacchi alle API passano inosservati perché sono generalmente considerate canali affidabili e non beneficiano dello stesso livello di governance e di controlli di sicurezza.

Come reagire? In questo contesto, l’acquisizione di visibilità sia sull’utilizzo delle applicazioni con la possibilità di esaminare le API consumate dovrebbe costituire una priorità per le organizzazioni, con l’obiettivo di disporre di un inventario basato sul rischio delle API in uso e di una politica di governanceper controllare l’accesso a questi servizi, ma anche in entità non basate sull’utente all’interno dell’infrastruttura, come gli account di servizio e i principi applicativi che integrano le API nel più ampio ecosistema aziendale.

Per gli sviluppatori, lo sviluppo di un modello efficace di minacce per le loro API e l’implementazione di un meccanismo di controllo degli accessi a fiducia zero dovrebbero essere una priorità, così come una registrazione e una telemetria di sicurezza efficaci per una migliore risposta agli incidenti e per il rilevamento di un uso dannoso.

Un’azienda di trasporti deve proteggere i dati dei clienti e mantenere la disponibilità per rispondere alle loro esigenze. A tal fine, migliori controlli di sicurezza contro il ransomware e il cloudsono strumenti fondamentali per aumentare il livello di protezione.

Principali punti di attenzione per la sicurezza da considerare durante la codifica:

1. Configurazione errata delle API con conseguente esposizione indesiderata delle informazioni.
2. Sfruttamento dei moderni meccanismi di autenticazione come Oauth/Golden SAML per ottenere l’accesso alle API e persistere all’interno di ambienti mirati.
3. Evoluzione degli attacchi malware tradizionali che utilizzano maggiormente le API del cloud, come l’API Graph di Microsoft, per introdursi ed espandersi. Ne abbiamo già visto la prova nell’attacco Solarwinds e in altri attori delle minacce come APT40/GADOLINIUM.
4. Potenziale uso improprio delle API per lanciare attacchi ai dati aziendali, come ransomware su servizi di cloud storage come OneDrive ecc.
5. L’uso di API per l’infrastruttura definita dal software implica anche un potenziale uso improprio, che porta all’acquisizione completa dell’infrastruttura o alla creazione di un’infrastruttura ombra per scopi dannosi.

Di fronte alla diffusione dell’IOT lungo tutta la supply chain e nel contesto di un ecosistema esteso, come può un’azienda di logistica e trasporti controllare il rischio informatico?

Zero Trust e Cyber Resilience sono due principi di sicurezza che le aziende di trasporto dovrebbero adottare come strategia di gestione del rischio.

La NIST Special Publication definisce Zero Trust come un insieme in evoluzione di paradigmi di sicurezza informatica che sposta la difesa dai perimetri statici basati sulla rete per concentrarsi su utenti, asset e risorse. Zero Trust richiede che non venga concessa alcuna fiducia implicita agli asset basata esclusivamente sul loro segmento fisico o di rete. Questo è molto applicabile, ad esempio, ai dispositivi IOT.

Cyber Resilience, invece, è la capacità di un’organizzazione di adattare continuamente la posizione di sicurezza, rilevare e rispondere rapidamente alle minacce per operare efficacemente in condizioni avverse. La resilienza informatica oggi richiede un’architettura di sicurezza basata su Zero Trust che collabora con altre pratiche di garanzia, come la continuità operativa e la protezione delle informazioni per consentire un’organizzazione resiliente. Le aziende di trasporto, come le aziende manifatturiere o sanitarie, sono considerate infrastrutture critiche per molti Paesi del mondo. La loro capacità di operare in caso di attacco informatico che colpisca la tecnologia operativa o i servizi ospitati nel cloud sarà fondamentale per il successo e la resilienza dell’azienda stessa.

Poiché Zero Trust è un principio e una strategia di architettura, è più probabile che si tratti di un percorso da implementare. Tuttavia, ecco alcuni buoni punti di partenza:

Implementare il monitoraggio continuo su tutti i sistemi aziendali. Il monitoraggio non deve limitarsi alla raccolta e all’archiviazione dei registri (log), ma deve essere proattivo per individuare potenziali attività dannose in tutta l’azienda, modifiche o vulnerabilità nella postura di sistemi o servizi critici e attività anomale degli utenti.

Ottenere il maggior numero possibile di informazioni sugli asset e sui servizi aziendali. L’individuazione e la comprensione degli asset deve andare oltre i sistemi gestiti dall’IT e i dispositivi degli utenti finali. Secondo i principi Zero Trust, tutte le fonti di dati e i servizi di calcolo sono risorse. Pertanto, tali attività devono estendersi ai servizi cloud, al BYOD, ai sistemi di automazione OT di proprietà degli appaltatori, ai sistemi dei dipendenti e dei fornitori che accedono alle risorse aziendali e ai dati aziendali.

Eliminare le zone di fiducia e le risorse micro-segmentate. Un principio chiave di Zero Trust è quello di non concedere l’accesso alle risorse aziendali solo in base alla posizione o al segmento di rete. Questo aspetto è particolarmente importante tra il luogo di lavoro e i sistemi industriali, ma si estende anche alle reti di accesso remoto dei fornitori o dei lavoratori, nonché alla micro-segmentazione tra i sistemi critici aziendali e di sicurezza.

Come vede la sicurezza e la sovranità dei dati, che sono sempre più memorizzati su infrastrutture cloud, di proprietà di grandi aziende americane e presto anche cinesi, su cui i mezzi di controllo rimangono deboli?

Si tratta di una questione impegnativa e credo che sia necessario adottare un approccio in tre fasi.

In primo luogo, la protezione dei dati dei clienti contro il furto da minacce esterne, indipendentemente dalle piattaforme di hosting dell’infrastruttura cloud o dalla proprietà, è a mio avviso la priorità numero uno. Si tratta di una responsabilità condivisa tra il proprietario dei dati (azienda di trasporto) e il fornitore di servizi cloud. Le aziende di trasporto devono assicurarsi che le applicazioni costruite per essere eseguite su piattaforme cloud siano sicure e che l’accesso sia monitorato per individuare eventuali segni di violazione. I fornitori di servizi cloud devono garantire che i componenti Iaas e Paas siano sicuri e fornire le necessarie certificazioni di terze parti come prova di controlli adeguati.

In secondo luogo, i proprietari dei dati e delle applicazioni devono garantire un approccio privacy by design alla realizzazione delle applicazioni che alimentano i sistemi IOT. La riduzione della raccolta dei dati ai soli elementi necessari, la protezione degli stessi attraverso la crittografia e la conformità alle normative locali sulla privacy come il GDPR o Popia saranno fondamentali per gestire il rischio.

Infine, gli enti governativi, i fornitori del cloud e l’industria dovrebbero collaborare per garantire una comprensione comune dei confini digitali e soluzioni in grado di soddisfare i requisiti normativi senza mettere a rischio la sovranità o la privacy dei dati.