Le aziende di sicurezza informatica hanno la responsabilità di proteggere i propri clienti dagli attacchi digitali. Ma quando finiscono per essere vittime, rischiano potenzialmente di perdere credibilità presso questi clienti, soprattutto se le loro operazioni vengono interrotte.
È uno scenario di estorsione potenzialmente succoso per gli aggressori, e abbiamo appena visto un esempio di questo gioco la scorsa settimana quando è stato riferito che la società cyber-as-a-service di Boston Cygilant è stata colpita da un attacco ransomware NetWalker e corrispondente violazione dei dati. In questi casi, la risposta migliore è generalmente che l'azienda infosec metta in pratica ciò che probabilmente già predica alla sua clientela: essere in anticipo e trasparente.
"È necessario molto lavoro per riconquistare la fiducia", ha affermato Jarad Carleton, leader mondiale del programma per la sicurezza informatica presso ICT presso Frost & Sullivan. "E il raggiungimento di tale obiettivo dipende dalla comunicazione e dall'apertura su ciò che è accaduto, perché è successo e cosa sarà fatto per garantire che non accada di nuovo."
Questa non è certamente la prima volta che un fornitore di servizi informatici ha dovuto affrontare l'imbarazzo di essere vittimizzato. Solo il mese scorso, il fornitore di formazione informatica SANS Institute ha riconosciuto una violazione dei dati derivante da una campagna di phishing. E nel 2019 la società informatica Imperva ha rivelato una violazione , mentre la società di data mining di sicurezza e intelligence Verint è stata colpita da un ransomware .
Carleton ha guardato ancora più indietro per trovare un esempio di ciò che Cygilant e aziende come loro dovrebbero fare in uno scenario di attacco ransomware: 2012, quando una violazione ha colpito la società di sicurezza degli endpoint Bit9. Anni dopo, la società acquisì Carbon Black e alla fine divenne VMware Carbon Black.
"La causa, rivelatami da un dirigente di Bit9 con cui lavoravo a stretto contatto all'epoca, era che la società non aveva seguito gli stessi processi di sicurezza su tutti [i suoi computer] che raccomandava ai propri clienti di seguire", ha affermato Carleton . "Il dirigente è rimasto sbalordito dalle rivelazioni ed è stato chiaro che non c'era altra opzione che per la società cadere sulla propria spada e lavorare per dimostrare di aver imparato da un errore molto sfortunato."
“Non ha ucciso l'azienda. In effetti, ha… ha continuato ad espandere la propria attività ", ha continuato Carleton. “Inoltre, il marchio Bit9 non è scomparso fino al 2016, quattro anni dopo l'incidente informatico.
"In breve, danneggia la reputazione, il marchio e i loro ricavi, ma non è la fine di un'azienda, a condizione che l'azienda affronti il problema con il cliente e con i potenziali clienti futuri".
A tal fine, Ilia Kolochenko, fondatrice e CEO della società di sicurezza web ImmuniWeb, si è complimentata per i primi sforzi di Cygilant. "I dettagli di questo incidente specifico non sono chiari, ma finora la risposta di Cygilant sembra essere rapida e professionale", ha detto.
E sebbene sia ragionevole aspettarsi che una società di sicurezza informatica prevenga l'infezione in primo luogo, la verità è che anche le aziende di infosec sono soggette al vecchio assioma: è in definitiva impossibile respingere ogni singolo attacco, soprattutto se l'avversario è determinato e abile.
In effetti, "questo incidente è un'altra prova convincente che nessuna azienda è immune agli attacchi informatici", ha affermato Kolochenko. “Molte società di sicurezza informatica stanno assistendo a un'impennata di attacchi sofisticati e mirati contro di loro, non solo campagne di ransomware. Lavorare da casa aggrava notevolmente i rischi in mezzo alla generale impreparazione per gravi incidenti di sicurezza. I criminali informatici preferiscono prendere di mira terze parti che hanno un accesso privilegiato a dati preziosi, spesso scegliendo società di sicurezza informatica ".
SC Media non è riuscita a trovare un riferimento all'attacco ransomware sul sito Web di Cygilant. SC Media ha contattato la società per ulteriori commenti e contesto sull'attacco e ha ricevuto una dichiarazione da Christina Lattuca, Chief Financial Officer di Cygilant, in cui ha riconosciuto che "una parte dell'ambiente tecnologico di Cygilant" è stata colpita da un attacco ransomware e che "la nostra Cyber Defense e Il team del Response Center ha intrapreso un'azione immediata e decisiva per fermare la progressione ".
Lattuca ha anche affermato che la società sta "lavorando a stretto contatto con investigatori forensi di terze parti e forze dell'ordine per comprendere appieno la natura e l'impatto dell'attacco". TechCrunch ha riportato per la prima volta questa stessa dichiarazione il 3 settembre.
Non è ancora chiaro se Cygilant abbia pagato o avviato trattative con i suoi aggressori, che secondo quanto riferito avevano pubblicato quelli che sembravano essere screenshot dei file e delle directory di rete interna rubati da Cygilant prima di rimuovere successivamente quelle immagini.
Se hanno pagato o negoziato, è stato un grosso errore, ha affermato Carleton.
"Il pagamento di un riscatto invia il peggior messaggio possibile che puoi inviare e il pagamento del riscatto è il motivo per cui questo tipo di estorsione di classe enterprise continua a esistere", ha detto Carleton. "Personalmente riconsidererei il mio rapporto d'affari con un'azienda che paga un riscatto perché la dice lunga su quanto siano bassi nel continuum della maturità della sicurezza, ovvero che sono un'azienda poco preparata e probabilmente una che non sta affrontando le vulnerabilità della sicurezza in Active Directory per trovare configurazioni errate che in realtà finiscono per aiutare i cattivi attori che sono dietro all'estorsione di ransomware ".
Un altro esempio di azienda da emulare, ha affermato Carleton, è la società di alluminio Norsk Hydro, che ha subito un attacco ransomware all'inizio del 2019.
"Hanno … tenuto conferenze stampa regolari su ciò che è accaduto, cosa è stato fatto per garantire che non accadesse di nuovo e cosa stava facendo la società per riavviare le operazioni a livello globale senza l'uso di sistemi compromessi che dovevano essere ricostruiti", ha detto Carleton. "Per me, quello era l'apice delle pratiche commerciali etiche e l'intero team esecutivo merita un altro giro di complimenti per come si è trovato di fronte al problema e si è rifiutato di inchinarsi agli estorsori".
Il post mostra la storia, la trasparenza può alleviare le conseguenze di un attacco informatico apparso per la prima volta su SC Media .