Questa settimana è venuto alla luce un incidente di sicurezza informatica particolarmente istruttivo e allarmante: L'Autorità nazionale idrica rumena colpita da un attacco ransomware, cioè il Administrația Națională Apele Române organizzazione. L'attacco è stato effettuato utilizzando un metodo basato su BitLocker e, sebbene i sistemi OT che controllano l'infrastruttura idrica non siano stati compromessi, il danno all'ambiente IT rappresenta di per sé un grave rischio operativo e normativo.
Secondo le informazioni disponibili, circa 1000 postazioni di lavoro è diventato inutilizzabile, e Sono stati colpiti 10 uffici regionali su 11. Sistemi GIS, database, servizi di posta elettronica e server web erano inattivi mentre gli aggressori chiedevano un riscatto. Questo incidente ha dimostrato ancora una volta che per un'organizzazione che gestisce infrastrutture critiche, il solo guasto dei sistemi IT è sufficiente a compromettere l'esecuzione delle attività di base.
Tuttavia, una delle lezioni più importanti della storia non è il fatto dell'attacco in sé, ma il modo in cui è successo. Gli aggressori non hanno utilizzato un ransomware classico e facilmente riconoscibile, ma hanno utilizzato come arma una funzione di sistema legittima, la crittografia delle unità BitLocker. Dopo l'infiltrazione, si sono spostati lateralmente nella rete e hanno attivato la crittografia localmente. Le soluzioni antivirus ed EDR tradizionali sono praticamente impotenti in questa situazione: non "vedono" il vero malware, poiché è in esecuzione una funzione integrata di Windows.
Questo è esattamente lo scenario che il la protezione reattiva basata sulla firma non è preparata. Quando l'EDR emette l'avviso, i dati sono già crittografati, le operazioni aziendali sono state interrotte e l'organizzazione si trova di fronte a una scelta: pagare o avviare un lungo processo di ripristino. Nel caso di un'istituzione che gestisce un'infrastruttura critica in base allo standard NIS2, si tratta di un problema non solo tecnico, ma anche questione normativa e di responsabilità Anche.
Ed ecco che arriva la vera domanda "cosa succederebbe se". A protezione degli endpoint realmente preventiva e basata sull'intelligenza artificiale in questo caso sarebbe intervenuto molto prima. Istinto profondo Ad esempio, la sua tecnologia di apprendimento profondo non prende decisioni basate su modelli comportamentali o firme note, ma piuttosto analizza le caratteristiche matematiche del codice e blocca l'attacco prima che venga eseguito. Ciò significa che i ransomware sconosciuti di tipo 0-day, compresi gli attacchi che sfruttano BitLocker, semplicemente non arriveranno al punto di causare danni.
Un altro vantaggio della soluzione è che NGAV ed EDR in uno, con un tasso di falsi allarmi estremamente basso che non sovraccarica i team SOC ed è in grado di prendere decisioni anche in ambienti offline. Se fai tutto questo in un Cyber Stellare Se lo integriamo con una piattaforma XDR basata sul Web, otterremo un quadro completo dei tentativi di attacco non solo sugli endpoint, ma anche sul lato rete e server.
Il caso dell'autorità idrica rumena è un perfetto esempio di come se BitLocker sta già crittografando, è troppo tardi. In questo caso, non ci sono dati, non c'è sistema, non c'è operazione: solo gestione della crisi. Con un approccio preventivo, tuttavia, non si verificano perdite di dati, riscatti o arresti forzati.
La questione oggi non è più se un'organizzazione è sotto attacco. La questione è se Ce ne accorgeremo in tempo o non accadrà affatto?. Per le infrastrutture critiche e le organizzazioni interessate da NIS2, questo non è un lusso tecnologico, ma un requisito fondamentale.