Intro
Nel precedente articolo avevo affermato che due buone motivazioni del perché il mondo della Sanità è preso di mira da attacchi informatici è legato principalmente al valore del dato stesso, in quanto i dati sensibili di una cartella clinica sono venduti nel dark web a circa mille euro a cartella e come la Sanità stessa fosse dieci anni indietro, dal punto di vista tecnologico, rispetto a una qualsiasi azienda hi-tech.
Superfice di attacco
Un primo errore che alcuni analisti fanno è sottovalutare e sottostimare la superfice di attacco, prendendo in considerazione solo una parte minima di essa. La Sanità non è una semplice azienda e il suo perimetro non finisce con i confini dell’azienda.
Per esempio, come vettori di attacco vengono, erroneamente, presi in considerazione unicamente tutte le vulnerabilità di quei sistemi o servizi esposti all’esterno dell’azienda. Quante volte ho sentito dire: “il servizio è su rete privata (rfc1918)” oppure: “Il servizio è offerto solo internamente ed è protetto (esternamente) da un firewall“, come se questi due elementi, la rete privato o un firewall che filtra il traffico entrate da Internet, fossero la condizione necessaria per affermare che l’intera implementazione fosse sicura.
Il feudo
Progettare la Cybersecurity aziendale come un piccolo feudo dove ci sono mura alte, fossati e coccodrilli verso il mondo esterno e con nessuna limitazione interna, è un vero errore, di quelli gravi, da matita rossa.
Una soluzione del genere porterebbe immediatamente a movimenti laterali, da parte di un attaccante, nel momento in cui quest’ultimo riuscisse a bypassare le difese esterne.
Una “vecchia storia” racconta che ad ogni grande muraglia feudale con tanto di fossato, ponte levatoio e guardie, corrisponda una piccola porta lasciata aperta dall’altra parte della struttura muraria che permette, a coloro che la trovano, di entrare indisturbati e senza troppa fatica. Una volta entrati il gioco è fatto, è possibile girovagare indisturbati nel feudo, senza essere fermati o senza la paura di essere riconosciuti in quanto le guardie sono tutte fuori a verificare il perimetro.
Ripeto questo errore lo commettono in tanti e la Sanità non è priva di design di Cybersecurity realizzati secondo questa logica.
Conclusioni
Occorre che il design della sicurezza sia non solo perimetrale ma anche interno, e che, in particolare, sia prevista una maggiore protezione per i Datacenter (lo richiede anche il GDPR) e per tutti quegli obiettivi ritenuti sensibili dall’azienda.
La questione “vettori di attacco” non si ferma qui e necessita di maggiore approfondimento, quindi aspettatevi un futuro articolo che entrerà ancora più nel dettaglio della questione.
Scrivetemi, scrivetemi, scrivetemi e continuate a seguirmi per accrescere la vostra awareness …
Per chi si fosse perso il prima articolo è possibile leggerlo qui.