Protezione del data center: il momento è adesso

di Fabio Buccigrossi - Country Manager di ESET Italia 

La guerra in Ucraina ha messo il mondo in allerta sul tema della cyber sicurezza, e una componente critica del mondo digital-centrico di oggi - i data center - non fa eccezione. Infatti, i data center potrebbero essere i primi sulla linea di tiro se le cyber-ostilità si espandessero oltre l’Ucraina. Una nuova e tempestiva guida del National Cyber Security Centre (NCSC) del Regno Unito ha avvertito che “gli effetti a cascata di una perdita di servizio possono essere enormi”. Ma perché i data center sono un obiettivo primario?

I data center sono un obiettivo primario perché rappresentano un anello fondamentale nella digital supply chain, sia che siano di proprietà di una singola azienda, sia che ospitino più clienti in hub di proprietà di provider di servizi gestiti, aziende di colocation e fornitori di servizi cloud (CSP). A seconda del data center, un attacco potrebbe avere un impatto su svariati settori critici, dalla sanità e dalla finanza all’energia e ai trasporti. I data center sono apparentemente meglio difesi rispetto a molte risorse IT aziendali in sede, ma rappresentano anche un obiettivo più grande, e quindi un maggiore profitto per gli attaccanti. Perché spendere tempo e sforzi per attaccare più obiettivi quando si può colpire un data center e paralizzarne centinaia o migliaia in un colpo solo?

Le principali minacce

Nonostante sia stata realizzata una spesa di 12 miliardi di dollari per la sicurezza a livello globale nel 2020, i responsabili di data center devono anche rendersi conto che il panorama delle minacce è in continua evoluzione. Nel caso di un attacco informatico, un probabile obiettivo finale è l’interruzione del servizio o la distruzione dei dati. 

Ciò significa che tra le più grandi minacce si annovereranno:

Malware - ESET ha già individuato tre ceppi di malware wiper distruttivi utilizzati prima e durante il conflitto: HermeticWiper, IsaacWiper e CaddyWiper. Il primo è stato distribuito poche ore prima dell’inizio dell’invasione, mentre IsaacWiper ha colpito le organizzazioni ucraine il giorno successivo - anche se entrambi erano stati pianificati da mesi, con certificati di firma del codice ottenuti nell’aprile dello scorso anno. Anche se il vettore di accesso iniziale è sconosciuto, questi malware sono stati programmati per distruggere i file sensibili. Nessuno di questi wiper, né un quarto malware wiper mirato alle risorse ucraine, WhisperGate, erano focalizzati specificamente sui data center. Tuttavia un precedente attacco contro l’Ucraina, nel 2017, ha finito per causare danni collaterali ai data center al di fuori del paese. NotPetya è stato mascherato come un elemento ransomware a sfondo finanziario, ma in realtà, ha operato come HermeticWiper per colpire il Master Boot Record (MBR) delle macchine in modo che non potessero riavviarsi.

Attacchi DDoS (Distributed denial-of-service) - abbiamo già visto pesanti campagne DDoS contro le banche statali ucraine e i siti web governativi. E i funzionari di Kiev hanno riferito che i siti governativi sono stati sotto attacco quasi costante da quando è iniziata l’invasione, con attacchi che hanno raggiunto i 100Gbps in alcuni casi. Il DDoS potrebbe anche essere usato per distrarre il personale di sicurezza dei data center mentre vengono lanciati tentativi di malware distruttivi più nascosti.

Minacce fisiche - può sembrare la scena di un film d’azione, ma gli attacchi di sabotaggio ai data center non possono essere esclusi alla luce dell’escalation del conflitto in Ucraina. Di recente, ad esempio, un data center svizzero di proprietà del servizio interbancario SWIFT è stato messo sotto sorveglianza armata. È un rischio che il NCSC evidenzia nella sua nuova guida: “Come proprietario di un data center, chiedetevi se avete percorsi di comunicazione fisicamente separati nel data center, diverse opzioni di alimentazione e backup, e se i locali di servizio dell’edificio sono protetti da attacchi fisici o sabotaggi”.

Costruire la resilienza

Il fatto che gli attacchi a paesi terzi non si siano ancora verificati non significa che i detentori di data center siano al sicuro: tutt’altro. Gruppi di minacce avanzate hanno dimostrato in passato la loro abilità, sofisticazione e determinazione, in campagne come ad esempio gli attacchi SolarWinds che hanno compromesso le reti di almeno 9 agenzie governative statunitensi. Gli attaccanti possono passare mesi a preparare i loro strumenti e a condurre la ricognizione e, alcuni gruppi potrebbero già aver raggiunto la persistenza all’interno di alcuni ambienti IT dei data center.

Si parte del perimetro

Il NCSC sostiene che i proprietari di data center dovrebbero concentrarsi su sei aree chiave:

• il perimetro fisico, compresi tutti gli edifici dei data center; 

• la sala operativa, con particolare attenzione ai controlli di accesso nei data center condivisi;

• le sale riunioni, che dovrebbero essere protette con controllo degli accessi e screening, rilevamento intrusioni tramite TVCC, perquisizioni in entrata e in uscita, protezione dei rack, anonimizzazione e distruzione delle risorse;

• le persone, e questo significa promuovere una buona cultura della sicurezza sostenuta da formazione e sensibilizzazione della supply chain, con analisi del rischio che comprendano i rischi fisici, di personale e di cybersecurity. I proprietari di data center dovrebbero ottimizzare le misure preventive, ma anche mettere in conto il rischio e adottare misure di detection and response per rispondere rapidamente alle minacce e minimizzarne l’impatto.

Sperando di no

Abbiamo fornito una lista di azioni da compiere per migliorare la cyber-resilienza, compresi controlli di accesso più stretti, patch tempestive e autenticazione a più fattori. Naturalmente ci auguriamo che il conflitto non degeneri in qualcosa di più ampio, ma anche se così non fosse, queste precauzioni aiuterebbero a garantire che ogni data center poggi su fondamenta sicure e conformi.