I cyberattacchi possono provenire da qualsiasi luogo e rimanere in agguato per anni - sostiene Peter Dempsey di Axis Communications - quindi è imperativo che i data center si armino di hardware di sicurezza resilienti per non contravvenire a normative sempre più stringenti.
Per i cybercriminali, i data center sono un obiettivo redditizio e allettante, qualunque sia lo scopo dell'attacco: furto di dati, interruzione di servizi critici o implementazione di ransomware. Un data center consiste in un numero enorme di sistemi, processi e dispositivi hardware e basta individuare un punto debole nella corazza e il gioco è fatto. Qualsiasi breccia nel sistema verrà sfruttata e le potenziali vie di ingresso sono molte.
Oltre 20.000 sistemi DCIM (Data Center Infrastructure Management) hanno dimostrato di essere esposti pubblicamente, offrendo a qualsiasi aggressore l'opportunità di interrompere l'attività di un data center semplicemente alterando le soglie di temperatura e umidità. Anche alcuni sistemi di alimentazione ininterrotta (UPS) si sono rivelati vulnerabili, consentendo agli hacker di accedere all'alimentazione dei data center. Inoltre, i data center sono pieni di dispositivi abilitati all'Internet of Things (IoT) che potrebbero fungere da vettori di attacco. I data center devono essere consapevoli della loro vulnerabilità e impegnarsi a proteggere ogni elemento della loro infrastruttura.
APT31: prepararsi ad attacchi sotto copertura
Molti data center potrebbero già essere stati attaccati senza saperlo. Sempre più spesso, gli aggressori mettono in atto sofisticati attacchi "living off the land" (LOTL) che sfruttano gli strumenti di base dei sistemi informatici invece di installare i propri file malevoli. Questo tipo di infiltrazione è difficile da individuare e può passare inosservata per anni fino a quando l'intruso non è pronto a colpire1.
Gli aggressori possono essere grosse organizzazioni. In molti casi, si è scoperto che payload di tipo LOTL provenienti da agenti appoggiati da governi si erano infiltrati in reti critiche in attesa di colpire. Il National Cyber Security Centre del Regno Unito ha accusato il gruppo di hacker APT31 di aver tentato di colpire alcuni parlamentari britannici. In un elenco di altri bersagli, la minaccia di APT31 si estende all'economia, alle infrastrutture nazionali critiche e alla rete logistica del Regno Unito2.
Ciò mette in evidenza la necessità per i responsabili dei data center di adottare un approccio proattivo alla sicurezza, che non si basi semplicemente su principi di cybersecurity noti, ma impieghi un monitoraggio attivo e una rigorosa due diligence, soprattutto in considerazione del contesto normativo odierno.
NIS2: rilevare le anomalie dei dati nelle infrastrutture critiche
La Direttiva NIS 2 (NIS2) e il Cyber Resilience Act riclassificano i data center come infrastrutture critiche. Questo vuol dire che ora rientrano nella stessa categoria delle infrastrutture sanitarie, energetiche e dei trasporti e che saranno sottoposti allo stesso livello di controllo sulla loro governance. Gli operatori dei data center, siano essi soggetti o meno a tale normativa, non possono esimersi dal rafforzare le proprie difese.
Il comportamento di ogni componente hardware, software e firmware all'interno di una rete deve essere analizzato regolarmente per individuare ogni attività insolita, anche quella apparentemente più innocua. Questo lavoro investigativo deve estendersi anche oltre i confini del data center, poiché la NIS2 si applica anche alle attività dei collaboratori e delle entità critiche. Sono quindi inclusi i fornitori di apparecchiature e, cosa fondamentale, ogni passaggio della loro catena di fornitura.
Individuare le vulnerabilità della catena di fornitura
Se un aggressore non riesce a infiltrarsi direttamente in un data center, può tentare di iniettare un payload malevolo in apparecchiature non ancora consegnate al destinatario. I dispositivi IoT sono un terreno fertile per i criminali: sono collegati alla rete per impostazione predefinita e spesso non vengono ispezionati con lo stesso livello di attenzione rispetto ai vettori più utilizzati per i cyberattacchi. Come per i payload LOTL, gli aggressori possono facilmente infiltrarsi sfruttando la fiducia implicita che si ha nei confronti di un dispositivo IoT nuovo di zecca.
Gli attacchi a livello di catena di fornitura sono incredibilmente pericolosi e in crescita, avendo superato gli attacchi diretti di malware del 40%3 nel 2022. Non è più possibile affidarsi alla fiducia implicita: i fornitori devono dimostrare accuratamente la sicurezza e l'integrità della loro catena di fornitura e intraprendere azioni per garantire che non si verifichino modifiche non autorizzate. I data center, a loro volta, devono rivalutare ogni rapporto con i fornitori per assicurarsi di non farsi cogliere di sorpresa.
Fortunatamente, la tecnologia moderna consente ai fornitori di dimostrare l'integrità dei loro hardware. L'hardware di un Trusted Platform Module garantisce tramite firmware firmato l'integrità di un dispositivo lungo tutta la catena. Secure Boot impedisce l'esecuzione di firmware non autorizzati. Inoltre, alcuni dispositivi possono memorizzare chiavi e certificati crittografici in modo sicuro, rafforzando le credenziali di sicurezza e semplificando il processo di gestione delle difese.
Gestire la pressione normativa
Regolamenti come la NIS2 non lasciano ai data center altra scelta se non quella di agire subito per evitare sanzioni pesanti. Le loro disposizioni attribuiscono ai direttori dei data center la responsabilità non solo delle violazioni interne, ma anche di quelle causate da falle nella sicurezza di soggetti terzi. La sicurezza deve essere rivalutata da cima a fondo.
Una robusta sicurezza fisica tramite telecamere, rilevamento termico e radar e controllo degli accessi è ovviamente vitale, perché un aggressore in loco potrebbe causare disservizi dalle conseguenze incalcolabili. Ma la sicurezza logica è altrettanto fondamentale per garantire che gli aggressori non raggiungano un sito virtualmente. Ogni componente hardware e software, soggetto o meno alle normative, deve essere regolarmente catalogato, analizzato, classificato per ordine di priorità e documentato.
La conformità deve essere chiaramente dimostrata, obbligo che deve essere assolto anche dai fornitori. Nessun fornitore di qualsiasi bene vorrebbe mai consegnare qualcosa che non sia all'altezza; lavorare con fornitori che si prendono cura dei loro prodotti è la via che i data center devono percorrere per creare un mondo più smart e più sicuro.
