Chi ci conosce sa che non ci piace parlare degli incidenti di sicurezza informatica che sono stati subiti: questo perché molte volte non porta ad alcun vantaggio alla discussione se non ad un aumento del danno d’immagine per una società. Dunque, perché stiamo per trattare di un Case Study come quello di LastPass e le relative violazioni di sicurezza? Perché, a nostro avviso, ci consente di imparare qualcosa.
Il 30 Novembre 2022 LastPass in questo comunicato ufficiale ha dichiarato d’aver subito un incidente di sicurezza informatica che, stando alla dichiarazione ufficiale, è dovuto alle informazioni trafugate nel corso nell’attacco subito ad agosto 2022. Guardiamo brevemente alla timeline degli attacchi così come dichiarata da LastPass stessa:
Agosto 2022 - Ottenimento dell'acceso iniziale
Il criminale è riuscito a compromettere un account di uno sviluppatore di LastPass.
STATUS: Il criminale è riuscito a compromettere (probabilmente attraverso una campagna di phishing o attraverso il riutilizzo di credenziali trafugate) l'account di uno sviluppatore.
Agosto 2022 - 4 giorni dopo - Rilevazione e contenimento
Dopo quattro (4) giorni, il Team di Sicurezza Informatica di LastPass ha rilevato e provveduto a contenere il comportamento anomalo del criminale.
STATUS: Contenimento della minaccia correttamente riuscito.
25/08/2022 - Notifica agli interessati
LastPass notifica agli interessati che è occorsa una violazione di sicurezza.
STATUS: Non s'è verificato alcun accesso alle "password vaults" e sono state implementate alcune misure di sicurezza.
15/09/2022 - Conclusione accertamenti
LastPass comunica a tutti gli interessati l'aggiornamento sullo status delle investigazioni.
STATUS: Non s'è verificato alcun accesso alle "password vaults" e la minaccia è stata contenuta.
30/11/2022 - Notifica agli interessati - 2° Data Breach
LastPass notifica che - a seguito delle informazioni ottenute dall'attacco subito ad agosto 2022 - hanno rilevato delle operazioni non usuali in un servizio d'archiviazione di terze parti condiviso sia da LastPass che da GoTo.
STATUS: Investigazioni ancora in corso. Il criminale è riuscito ad accedere ad alcune informazioni dei clienti. Le password vaults non sono state compromesse.
Cosa ci insegna questa timeline?
- LastPass ha un team di sicurezza piuttosto efficace: nel 2018, il tempo medio di permanenza in un network aziendale prima che venisse scoperto l’accesso abusivo era pari a 101 giorni (Cfr. Il Sole 24 Ore e FederPrivacy, entrambi citano il report di FireEye che potete trovare qui). Nel 2021, secondo Sophos, il tempo medio di permanenza era passato da 11 giorni a 15 giorni (con un aumento del 36%);
- Un incidente di sicurezza non è mai a sé stante: questa è una di quelle questioni che molto spesso vengono sottovalutate e che emergono con irruenza durante le presentazioni dei report di un penetration test. Le informazioni vengono riutilizzate per effettuare nuovi attacchi.
Emerge dunque come sia necessario intendere la sicurezza informatica come un processo aziendale che deve andare di pari passo con la normativa vigente in materia di protezione dei dati personali. In particolare, alcuni aspetti meritano d’essere sottolineati ed espressi con maggior vigore:
- è necessario conoscere e mappare i dati: sapere quali dati vanno protetti e come vanno archiviati per la sicurezza informatica e per la riservatezza dei dati nella loro globalità. Se ciò non viene effettuato, in caso di violazione si assisterebbe ad una compromissione che potrebbe portare ad ulteriori problematiche. Questo può essere mitigato sapendo quali sono le tessere del dominio che potrebbero “cadere” a seguito di un determinato incidente;
- Bisogna considerare il punto più debole come il vero livello di sicurezza: purtroppo, questo spesso si declina nella consapevolezza e formazione degli utenti ai quali viene demandato l’utilizzo dei sistemi di sicurezza.
Per concludere questa breve riflessione, vi illustriamo alcune lezioni utili imparate da questo case study:
- Effettuare phishing simulations è divenuto un punto nevralgico della sicurezza aziendale;
- Analizzare possibili implementazioni di sicurezza a seguito dello svolgimento di attività di Vulnerability Assessment e Penetration Test è necessario ma non sufficiente: la cooperazione tra le persone e reparti è l’unica vera soluzione.