Ancora spear phishing e monitoraggio

Sembra sia diventato di moda. L’Oak Ridge National Laboratory è stato attaccato con spear phishing e una vulnerabilità per la quale non era ancora disponibile una patch. Sembra che l’attacco sia parte di un attacco coordinato a diversi laboratori USA. La parte più interessante riguarda proprio lo spear phishing (phishing mirato): “carefully-crafted emails purporting to be from a genuine source, in this case the ORNL’s human resources department  were sent to 10 percent of the lab’s employees, approximately 530 computers.” Della cosa si sono accorti, manco a dirlo, attraverso il monitoraggio:”We saw substantial activity, and rather than risk the exfiltration of data, we decided to take the domain offline“, e “very limited data in the megabytes, not the gigabytes“. Quanti si accorgerebbero di pochi megabytes di traffico dati in uscita? A quanto pare l’attacco ha avuto successo circa sul 10% degli utenti attaccati, 57 per la precisione. Può sembrare una percentuale elevata, ma per quello che ho visto con lo spear phishing, si tratta di una percentuale bassa, giustificata solo dal fatto che in quel laboratorio l’attenzione alla sicurezza è sperabilmente più alta della media.

Nella maggior parte delle discussioni che ho visto al riguardo, non vengono fatte le solite osservazioni su “cosa avrebbe dovuto fare il laboratorio per non subire l’attacco”. Che in presenza di attacchi mirati e sofisticati ogni tanto qualche violazione ci sia, è una cosa che pian piano comincia ad essere acquisito: senza cadere nellla banalità del “tanto la sicurezza assoluta non esiste, quindi qualsiasi cosa va bene”, l’attenzione è su come minimizzare l’impatto di queste violazioni. Anche se naturalmente le “soluzioni” di DLP possono aiutare, proprio con questi problemi dovrebbe essere chiaro quanto siano importanti le scelte architetturali e organizzative. E le considerazioni sullo spear phishing sono sempre le stesse: training specifico e frequente, fatto subito dopo una dimostrazione dell’efficacia dell’attacco, perché la “lezione” si dimentica in fretta,

This entry was posted in Sicurezza, Uncategorized and tagged , , , , , , . Bookmark the permalink.