Spesso chi legge le notizie sugli aggiornamenti di sicurezza, in cui si segnala che l'installazione "è urgente", tende a sottovalutare il problema. Grazie a uno studio su quanto accaduto con il disastro informatico di Microsoft Exchange è possibile connotare il significato di urgenza con la massima precisione. I cyber criminali hanno iniziato a cercare online i server Exchange vulnerabili entro cinque minuti dalla pubblicazione dell'alert.

Era stato chiaro fin dall'inizio che in questo episodio specifico gli attaccanti si fossero mossi rapidamente. Fu iconica, ai tempi, l'ammissione degli esperti di F-Secure: "i server vulnerabili vengono hackerati più velocemente di quanto riusciamo a contare". Adesso c'è un dato ancora più preciso.

Una ricerca condotta da Palo Alto Networks sui dati raccolti con Cortex Xpanse fra gennaio e marzo di quest'anno mette nero su bianco che le scansioni per sfruttare le vulnerabilità zero-day possono partire entro 15 minuti dalla divulgazione pubblica della falla. Nel caso di Exchange gli aggressori "hanno lavorato più velocemente" e le scansioni sono state rilevate a non più di cinque minuti dall'advisor.

Un invito ad attaccare

Quanto rilevato da Palo Alto conferma quello le cronache informatiche avevano già lasciato comprendere: la pubblicazione dell'esistenza di una vulnerabilità critica innesca una corsa contro il tempo tra aggressori e amministratori IT. Gli attaccanti più abili e preparati si muovono per primi per prendersi la fetta più succosa del bottino. Ossia per attaccare gli obiettivi più ambiti e redditizi. Man mano che il tempo scorre sono i meno abili o attrezzati a entrare in gioco, per rastrellare gli avanzi.

Nel caso specifico di Exchange, si reputa che il primo ad attaccare sia stato il gruppo APT Hafnium sponsorizzato dal governo cinese, poi è stata la volta di altri APT, tra cui LuckyMouse, Calypso, Websiis, Tick e Winnti Group. ESET ha tracciato il coinvolgimento di almeno 10 gruppi APT. A ruota sono arrivati poi i gruppi ransomware. In tutto gli attacchi sono durati almeno tre settimane, ma è nei primi giorni che si sono verificati quelli più gravi.

Questa informazione rivela un dato importante: il pericolo maggiore è quello immeditato. I gruppi APT sono numerosi, ben finanziati e dispongono di strumenti e tecniche di attacco più micidiali di quelli dei gruppi ransomware. Beneficiano di una rete di monitoraggio globale perfettamente funzionante e non hanno difficoltà a procurarsi i codici PoC (Proof-of-Concept), pagandoli profumatamente pur di averli subito.

La difesa estrema

Dalla parte opposta c'è il personale IT. Sovraccarico di lavoro, quasi sempre sottodimensionato rispetto al carico di lavoro, spesso dotato di strumenti datati privi di automatismi. In perenne affanno nel passare in rassegna migliaia di altert, non dà sempre priorità all'installazione delle patch perché bloccare un potenziale attacco è più urgente.
Da qui parte la corsa contro il tempo. Gli aggressori, soprattutto gli APT, sanno cosa cercano, e con i motori di scansione automatica della rete sanno dove trovarlo. Basta che l'installazione delle patch venga rimandata di qualche ora per dare loro il tempo di agire.

La battaglia però non è persa in partenza. Le soluzioni di automazione delle patch abbondano sul mercato, così come le piattaforme che integrano non solo il patch management, ma anche soluzioni avanzate di threat intelligence, con XDR che si occupano della remediation, oltre che della detection and response. Chi non può permettersi forti investimenti e non ha personale formato o dedicato può sempre esternalizzare la gestione della security a MSSP (Managed Security Service Provider), che dispongono di soluzioni scalabili adattabili a differenti esigenze di budget e di servizio.