Gli attacchi recenti ai PoS evidenziano l’importanza di difendere gli utenti privilegiati. I rischi che si corrono e cosa fare illustrati da CyberArk
Saks Fifth Avenue e Lord & Taylor sono tra le vittime più recenti di cyber attacchi che hanno come target i retailer di maggior prestigio e i loro sistemi di pagamento PoS, tramite i quali possono risultare potenzialmente compromessi i dati di milioni di carte di credito.
I dettagli dell’attacco portato sono ancora in fase di esame ma da primi rapporti sull’effrazione subita e le successive conferme dalla compagnia collegata Hudson’s Bay, è stato possibile delineare abbastanza dettagli sul percorso e le modalità con cui è stato portato l’attacco, e fare considerazioni su cosa il potenziale punto debole nelle difese potrebbe significare per altri retailer e come questi potrebbero bloccare attacchi simili.
“Noi continueremo a analizzare i dettagli dell’attacco ma alcuni temi principali si evidenziano”, ha osservato CyberArk. E i dettagli non evidenziano solo un semplice (ndr: si fa per dire) prendere possesso di un PoS, ma molto di più.
La rete come vettore di attacco
Il punto di interesse finale era evidentemente il sistema dei PoS ma per giungerci gli attaccanti hanno probabilmente percorso la rete di Hudson’s Bay. In pratica ciò implicherebbe che hanno preso qualche sorta di controllo della medesima e che si sono procurati un modo per rimanere al suo interno.
L’ipotesi di un attacco attraverso la rete, osserva CyberArk, è realistica perché se il vettore di attacco fosse il sistema PoS in sé stesso, si sarebbe molto probabilmente saputo di altri breach interessanti altri retailer che non solamente Lord & Taylor.
Superata la rete la strada diventa in discesa, perlomeno secondo quanto CyberArk ha potuto rilevare in precedenti attacchi. In sostanza, quello che avviene è che gli attaccanti si procurano un primo punto di appoggio mediante attacchi di phishing, si appropriano di credenziali e privilegi dagli endpoint e poi tramite questi si spostano lateralmente attraverso la rete verso i sistemi PoS.
Una volta raggiunti i PoS il percorso è in discesa e le credenziali privilegiate possono essere utilizzate per esfiltrare i dati relativi alle carte di pagamento evitando di essere rilevati o di far scattare gli allarmi di sicurezza.
La tecnologia EMV
Cosa è possibile fare per difendersi da questi attacchi? Una utile tecnologia per eliminare il rischio che una card venga compromessa, evidenzia CyberArk, è la EMV, basata sull’abbinamento di chip e PIN.
Da prime analisi, i retailer coinvolti nell’effrazione usavano lettori di striscia magnetica datati, che hanno esposto all’attacco i dati delle card contenuti sulle tracce 1 e 2. Si tratta di lettori meno sicuri dei più recenti PoS ma ciononostante molto comuni.
Conoscendo la cosa gli attaccanti hanno creato un apposito malware (una sorta di BlackPoS) che ha permesso loro di mettere le mani sui dati contenuti.
In sostanza, in base ai pattern di attacchi precedenti, è probabile che gli attaccanti siano saltati dall’endpoint di un dipendente ai sistemi PoS, cosa che potrebbe a sua volta voler significare che c’era un gap nella sicurezza di rete che lo ha permesso.
Un modo per contenere il rischio consiste nel segmentare la rete invece di farla vedere come un tutt’uno in modo da poter contenere un attacco all’interno di un segmento ed impedirne la propagazione urbi et orbi.
E’ pur vero, osserva CyberArk, che la segmentazione non è la panacea universale perché un attaccante potrebbe sempre riuscire a realizzare una sorta di bridge tra un segmento e l’altro, ma l’impegno richiesto viene di solito profuso per attaccare stati e le infrastrutture critiche o le istituzioni finanziarie.
Una cosa è però certa, osserva CyberARk. Anche se non si può essere sicuri che gli attaccanti abbiano preso il completo controllo della rete di Hudson’s Bay, tuttavia si può essere certi che sono riusciti a penetrarvi in profondità e in modo tale da compromette l’intero ecosistema di PoS di Saks e Lord & Taylor PoS.
Tecnologia EMV
Che fare una volta attaccati?
Attacchi in profondità del tipo di quello evidenziato richiedono generalmente che si ponga mano alla rete e alla sua architettura fisica, logica e di sicurezza e rimuovere da essa gli attaccanti in modo da disporre di una infrastruttura che sia trusted.
Prevenire altri attacchi richiede però altri passi, ad esempio una autenticazione a più fattori per quanto concerne gli account privilegiati e la rimozione degli hash residuali al fine di prevenire che un attaccante possa scalare attraverso la rete.
Un dato è però certo. Se gli account privilegiati vengono usati su endpoint che presentano delle vulnerabilità la superficie di attacco continuerà ad espandersi aumentando le possibilità che un attaccante ha per costruire un bridge che permetta di raggiungere il sistema dei PoS. Automatizzare il vaulting e proteggere e monitorare le credenziali è quindi un fattore critico per contenere questo tipo di attacco, osserva CyberArk , e tenere al sicuro i sistemi PoS e la rete.