Cyber attacco costringe Colonial Pipeline a chiudere uno dei più grandi oleodotti Usa

È uno degli attacchi hacker più gravi degli ultimi anni quello che si è consumato venerdì 7 maggio ai danni della rete di oleodotti del gruppo statunitense Colonial Pipeline. L’operazione ha causato il blocco preventivo degli impianti di distribuzione petrolifera dell’azienda. A darne notizia è stata la stessa azienda confermando indiscrezioni che si stavano inseguendo fin dalle ore successive all’attacco subito.

La nota pubblicata da Colonial Pipeline riferisce semplicemente che il gruppo è risultato vittima di un attacco di tipo ransomware, ovvero una intrusione che ha messo a repentaglio gli archivi informatici e i sistemi di comunicazione del gruppo in cambio del pagamento di un riscatto. In questo caso sembra che gli hacker siano riusciti ad estrarre dalle banche dati del gruppo circa 100 gigabyte di informazioni che hanno poi minacciato di pubblicare in assenza del riscatto.

In effetti sono anni ormai che gli attacchi informatici di tipo ransomware diretti ad aziende e governi si moltiplicano a dismisura, dimostrando in modo sempre più chiaro che con la giusta motivazione è possibile violare anche sistemi di importanza vitale per la sicurezza e l’economia di interi Paesi.
La crittografia è la base della protezione dei dati ed il modo più importante per garantire che le informazioni non possano essere rubate e lette.

Backup SaaS: lezioni dal fuoco del data center di OVHcloud

Nelle prime ore di mercoledì 10 marzo 2021, un incendio ha distrutto o danneggiato quattro importanti data center gestiti da OVHcloud, la società francese che è il più grande operatore europeo di infrastrutture cloud.

La conflagrazione a Strasburgo, nella Francia orientale, ha distrutto milioni di siti Web in Europa e Africa, inclusi portali di agenzie governative, banche, rivenditori, siti Web di notizie e circa il 2% dell’intero dominio del paese .FR. Nonostante una risposta rapida, 100 vigili del fuoco locali non sono stati in grado di contenere l’incendio né di identificarne la causa.

Backup necessario per i dati SaaS

Oltre ai siti Web disattivati, molti clienti OVHcloud hanno segnalato interruzioni prolungate della posta elettronica e significative perdite di dati. A mezzogiorno, OVHcloud aveva comunicato ai principali clienti che avrebbero dovuto attivare i loro piani di ripristino di emergenza e, entro la sera, aveva annunciato che due dei data center interessati non avrebbero ripreso le operazioni fino a lunedì 15 marzo e un terzo sarebbe rimasto offline fino a venerdì, 19 marzo. Il quarto sembra essere stato completamente distrutto. I centri di Strasburgo erano tra i 17 data center di OVHcloud in Francia e 32 nel mondo.

L’orribile incendio arriva in un momento in cui molte aziende e istituzioni governative stanno spostando sempre più i loro processi aziendali critici e i dati associati alle applicazioni SaaS in esecuzione su un’infrastruttura cloud fornita da OVHcloud, Amazon, Microsoft, Google e simili. E mentre i grandi fornitori di cloud sono in grado di eseguire un failover abbastanza rapido e di condividere il carico con gli altri data center, le interruzioni sperimentate dai clienti di OVHcloud dimostrano che, per impostazione predefinita, tali fornitori non si assumono la responsabilità di fornire resilienza simile per applicazioni e dati. Come azienda, puoi effettivamente affidare in outsourcing l’hardware e i sistemi operativi del tuo data center a un fornitore di servizi cloud, ma hai comunque la responsabilità di proteggere i tuoi dati.

Considerando il ripristino di emergenza

L’incendio di OVHcloud è un esempio da manuale del tipo di disastro naturale o provocato dall’uomo per il quale sono progettati scenari di ripristino di emergenza. In un’era di cambiamenti climatici, la probabilità di tali eventi sta aumentando in tutto il mondo, con siccità che aumentano le possibilità di incendi, eventi meteorologici distruttivi come tornado e uragani che aumentano in violenza e frequenza e innalzamento del livello del mare che minaccia un aumento delle inondazioni delle aree costiere.

Ma questi non sono gli unici potenziali disastri che possono portare alla perdita o alla distruzione dei dati. Bande di criminali informatici sempre più sofisticate eseguono centinaia di migliaia di attacchi di malware ogni giorno in tutto il mondo, molti dei quali utilizzano ransomware per bloccare per sempre i dati aziendali se non viene pagata una tassa di estorsione. Gli attori statali ostili hanno lanciato attacchi sofisticati su larga scala alle catene di fornitura del software e ai server di posta elettronica più diffusi che hanno il potenziale per bloccare centinaia di migliaia di applicazioni critiche.

L’anno scorso ha visto anche un forte aumento del numero di incidenti di perdita di dati a causa di errori di configurazione non dannosi commessi dal personale tecnico. Molti di questi possono essere attribuiti alla loro inesperienza con la gestione degli archivi di dati nel cloud in cui le aziende si sono affrettate a migrare in seguito alla pandemia e all’impennata del lavoro remoto. Per molte aziende, soprattutto quelle più piccole, un’interruzione di giorni o settimane causata da disastri è una minaccia esistenziale per l’azienda.

Pensiero finale

L’incendio di OVHcloud è un promemoria tempestivo che le aziende di ogni dimensione dovrebbero rivedere i loro piani di protezione dei dati e di ripristino di emergenza per garantire che proteggano adeguatamente le loro applicazioni SaaS dai tempi di inattività ei dati associati da danni o distruzione.

Scarica il White Paper

I server Microsoft Exchange affrontano l’ uragano dell’attacco APT

Probabilmente avrai già letto la notizia relativa ad una vulnerabilità che riguarda Microsoft Exchange Server nelle versioni 2013, 2016 e 2019, problematica che riguarda sia le aziende e gli uffici del settore pubblico sia quelli del settore privato.

Indipendentemente da quali siano e saranno le conseguenze di questi attacchi, sottolineiamo quanto sia importante valutare una soluzione di archiviazione e conservazione della posta elettronica. 

 
PERCHÈ LIBRAESVA EMAIL ARCHIVER

Libraesva offre alle aziende una valida soluzione alle problematiche legate all’archiviazione dei messaggi scambiati via email, inclusa la Posta Elettronica Certificata, aiutandole ad adempiere al complesso dovere illustrato, in primis, nel codice civile.
Il punto di partenza è l’obbligo di conservare i messaggi di posta elettronica a rilevanza giuridica e commerciale per 10 anni; sono poi molte le aziende che decidono di conservare tutta la posta elettronica, così da prevenire qualsiasi possibile data loss e tutelarsi anche in caso di controversie legali. A tal proposito, grazie a particolari retention rules e archiving rules, Libraeasva Email Archiver consente alle aziende di definire quali email archiviare, secondo quali criteri e per quanto tempo: è l’azienda a scegliere cosa, come e per quanto tempo conservare le email.
Tale archiviazione avviene con marca temporale RFC3161, che certifica e garantisce integrità e immodificabilità delle email nel tempo, consentendo alle organizzazione di adempiere anche a quanto stabilito dalle Linee Guida Agid sulla formazione, gestione e conservazione dei documenti informatici. Inoltre, consente di utilizzare anche marche temporali differenziate, qualora l’azienda cliente ne avesse bisogno.
Libraesva Email Archiver protegge le informazioni critiche per l’azienda, semplifica la conformità e migliora l’efficienza dei dipendenti!

Libraesva Email Archiver è una soluzione potente e semplice per la governance, il rischio e la conformità della posta elettronica; attivo e funzionante in pochi minuti crea copie 1: 1 di tutte le e-mail in un archivio e-mail centrale per garantire la sicurezza e la disponibilità di grandi quantità di dati per un periodo di anni.

Indipendentemente dal server di posta che stai utilizzando, nel cloud o in sede: Libraesva Email Archiver si integra perfettamente con qualsiasi server di posta e offre l’integrazione nativa con Office 365 e Microsoft Exchange.

Grazie all’esclusivo componente aggiuntivo di Outlook , che supporta sia Windows che Mac, gli utenti possono comunque accedere alla propria posta archiviata nel solito modo.

POSTA ELETTRONICA CERTIFICATA
Relativamente alla Posta Elettronica Certificata, Libraesva ha sviluppato un apposito connettore che ne consente l’archiviazione secondo quanto stabilito dalle differenti normative in materia, quindi per un periodo minimo di 10 anni, con marca temporale RFC3161 (che attesta il preciso momento in cui il documento è stato creato, inviato o archiviato), rendendole inalterabili e legalmente valide.
A differenza di altre soluzioni, Libraesva Email Archiver non si limita ad archiviare la PEC ma certifica anche la validità della crittografia e della firma digitale del Gestore di Posta Certificata, conservandole e mantenendole inalterate in fase di importazione.
Quindi, oltre ad archiviare l’email di PEC, Libraesva Email Archiver certifica e archivia anche la validazione della stessa e consente di esportarla in formato PDF con tutti i i riferimenti alla validazione della firma digitale. Grazie poi a un QR code, è possibile recuperare e verificare la validità della stessa in tempo reale, nonchè stamparla per averla a disposizione in formato cartaceo, cosa molto utile, ad esempio, durante le procedure legali.

Attacco agli USA, nuovi dettagli del breach SolarWinds e come mitigare i rischi

L’attacco più grave alle infrastrutture americane, e non solo, è stato effettuato modificando un aggiornamento a uno dei tool più diffusi per il monitoraggio di reti e applicazioni: Orion di SolarWinds.

Si ritiene che il gruppo di attacco sia affiliato al governo russo e che abbia avuto accesso ai sistemi di diversi ministeri degli Stati Uniti, incluso il Tesoro e il Commercio, il Pentagono e diverse agenzie di sicurezza nel corso di una lunga campagna cominciata lo scorso marzo. Non è chiara la portata dei danni, in termini di informazioni riservate sottratte o altre conseguenze, generati da una permanenza malevola così lunga all’interno di infrastrutture così critiche.

L’incidente evidenzia l’impatto che può avere un attacco di tipo supply-chain, in cui viene compromesso il software di un fornitore per attaccare tutti i suoi clienti, e anche che purtroppo molte organizzazioni sono gravemente impreparate nel prevenire e rilevare questo tipo di minacce.

Secondo FireEye, questo è uno dei più sofisticati attacchi mai osservati, perché utilizza tecniche per evadere il rilevamento e sfrutta relazioni di trust sui processi software esistenti. L’azienda ritiene tuttavia che questi attacchi possono essere individuati attraverso un monitoraggio attento e persistente e ha descritto diverse tecniche utili a questo scopo.

“Le entità attaccate possono esaminare i log alla ricerca di sessioni SMB che mostrano accesso a directory non sospette, ma che seguono uno schema cancellazione → creazione → esecuzione → cancellazione → creazione sullo stesso file – scrivono i ricercatori di FireEye -. In aggiunta, si possono analizzare i task pianificati alla ricerca di aggiornamenti temporanei, eseguendo un’analisi della frequenza per individuare delle modifiche anomale ai task eseguiti o task legittimi che attivano eseguibili sconosciuti”.

Gli attacchi di tipo supply-chain non sono una novità, e gli esperti di cybersecurity da anni mettono in guardia aziende e governi sui loro rischi. Questi attacchi sono particolarmente efficaci perché sfruttano una relazione di fiducia esistente tra il bersaglio e i suoi fornitori software, e canali di comunicazione diretta tra macchine delle due organizzazioni, per esempio i meccanismi di aggiornamento del software.