Questo articolo fa parte della serie Spiegare la sicurezza, e analizza un case study interessante per capire come prevenire certi eventi.

Tutti penso sappiate dei pesantissimi attacchi subiti da Sony Computer Entertainment lo scorso anno. L’attacco principale ha portato alla chiusura del PlayStation Network, con il furto di dati di milioni di utenti, una figuraccia globale e danni quasi incalcolabili di immagine e soldi.

Dell’attacco in se si è parlato molto, ma di cosa succedeva all’interno di SCE si sapeva poco o nulla. Certo i rumori delle teste che venivano falciate si sentiva bene qui tra gli USA e il Giappone, ma poi cosa è successo davvero?

Ora un’esclusiva di SC Magazine Australia fa luce su come Sony ha reagito ai violentissimi e devastanti attacchi.

Vediamo cosa è successo, e cerchiamo di capire come questo può essere un esempio per implementare correttamente la sicurezza in un’azienda di queste dimensioni.

Prima di tutto, hanno chiamato Wolf a risolvere i problemi.
Chiamare Brett Wahlin a diventare il primo CSO di Sony Network Entertainment è stato sicuramente un gran colpo (che sarà costato molto…), ma cosa ci dice questo?

Ci dice che non c’era un Chief Security Officer.

Questa cosa è gravissima in qualsiasi azienda di quel livello, ma è allucinante se si pensa che Sony erogava servizi a milioni di clienti, su decine di piattaforme diverse e con una superficie d’attacco praticamente sconfinata.

Wahlin è un grande esperto del settore, in particolare di intelligence. Cosa ha fatto appena arrivato?

The new department, Wahlin says, is the “connective tissue” that ties Sony’s electronics and computer divisions together and is the company’s biggest investment in information security.

Ha subito riattivato l’unità di sicurezza interna e, soprattutto, ha creato un centro di coordinamento di tutte le strutture di sicurezza interna, cosa che prima evidentemente non c’era e che:

[Will] analyse feeds from all corners of SonyEntertainment Network, including information security and CCTV feeds. The centre’s goal is to automate security prevention capabilities so staff may work on enhanced detection and response.

In pratica il nuovo SOC farà da concentratore di tutti gli eventi di sicurezza, sia fisica che logica, in modo da avere una visione globale di tutto quello che succede. Allo stesso tempo automatizzare alcuni controlli significa liberare risorse umane per una migliore analisi e risposta agli eventi più complessi.

Considerato poi che uno dei vettori di attacco più usati contro Sony è stato lo spear phishing, l’esperienza di Wahlin nel controspionaggio militare ha puntato su due ambiti di azione ben definiti:

• Locking down: ovvero blindare quanto più possibile la rete Sony da possibili attacchi esterni, convogliare gli eventi di sicurezza nell’unico SOC. Questo comprende il monitoraggio degli accessi fisici, delle telefonate, e anche i sistemi antifrode del PlayStation Network, precedentemente lasciati isolati dalla gestione della sicurezza, che non aveva pensato a correlare eventi che provenissero da tutti gli ambienti. Dimenticando appunto che sono tutti collegati, e che un attaccante può colpire con molti vettori in contemporanea.
• Educazione: altro fattore fondamentale è la formazione di tutti i dipendenti, soprattutto i tecnici chiave che possono essere più soggetti ad attacchi, ad un livello di consapevolezza adeguato. Quindi corsi, procedure, best practice e quant’altro serva per far comprendere che i rischi sono molto più diffusi di quanto si pensi.

Come dice giustamente Wahlin:

Put simply, be safe if you don’t want to go to hospital.

Questa è sicuramente un’implementazione da manuale della sicurezza in un’azienda di queste proporzioni e con questi servizi. Sicuramente non la renderà invincibile, ma di certo dovrà essere presa come esempio.

Vediamo però cos’altro ci insegna questa vicenda.
Torno al titolo: non era meglio fare tutto prima?

La situazione prima dell’arrivo di “only four security staff remained at the company in October last year“. Ora non so se è perché sono stati cacciati o se ne sono andati volontariamente, fatto sta che i danni subiti da Sony erano incredibilmente alti.

Ma proprio perché la reazione della società è stata da manuale, dovrebbe essere altrettanto da manuale comprendere che bisognava pensarci prima.

Sono abbastanza sicuro che molte volte all’interno di Sony si è parlato di creare un CSO, lo dico perché chi lavora nella sicurezza di aziende come quella non è di certo l’ultimo arrivato, e sa cosa sta facendo (almeno, lo spero). Non è stato però capace di trasmettere al top management il messaggio corretto, cioè che serviva un coordinamento centrale, serviva analizzare meglio tutte le fonti. Perché solo così si riesce ad avere una visione complessiva delle possibili minacce e degli eventi in corso. Eventi e attacchi che impattano su più linee operative per raggiungere lo scopo.

Quello che è successo è esattamente la stessa situazione che ho affrontato parlando di compliance. Quando c’è una pressione, in quel caso legale in questo caso economica e di immagine, il commitment arriva alla velocità della luce. Ma arriva come un bombardamento a tappeto, non con perizia e precisione chirurgica.

Quindi il mio consiglio è quello sì di prendere la vicenda Sony come case study su come organizzare la sicurezza di un’azienda. Ma soprattutto di prenderlo ad esempio su come non dover aspettare il dramma per agire. Perché al di la di chiamare il super esperto, cosa che ovviamente non tutti possono permettersi, le azioni decise da Wahlin sono assolutamente in linea e fattibili in qualunque posto.

Necessitano di investimenti e devono essere adeguatamente progettate e motivate, ma sono le azioni base su cui costruire tutto.

Centralizzazione di tutti gli eventi in un SOC (da dare in outsourcing ad esperti se non si ha il know-how adeguato), analisi dei rischi a cui i propri servizi possono andare incontro, controllare le minacce interne ed educare il personale per comprendere che le azioni fatte con eccessiva leggerezza possono mettere a rischio la stabilità dell’azienda.

Questa non è fantascienza, e tutti i responsabili della sicurezza devono, se non l’hanno già fatto, inserire quanto prima questi passi nella propria agenda. Devono anche analizzare bene il caso Sony, e presentarlo ai propri capi per far comprendere che non è necessario fare il botto per risolvere i problemi.

Ma per farlo dovrete avere una proposta ben strutturata, che non sia quella di fondi e persone illimitate ma che sia basata sulle reali necessità di sicurezza dell’azienda. E che ne comprenda le dinamiche e risolva i problemi quanto più possibile con una migliore organizzazione. Ed è molto più facile di quanto pensiate.

Siete in grado di farlo?

Perché se non lo siete, quando succederà qualcosa (e qualcosa succederà sempre), i vostri capi chiameranno Wolf.

“Sono Wolf. Risolvo problemi.”

Non voi.

Bye!

P.S. Un po’ scomodo che SC Magazine richieda la registrazione per vedere articoli più vecchi di sette giorni, però non è proprio carino che una rivista di sicurezza permetta poi di bypassare questo controllo semplicemente inserendo l’ID dell’articolo nella funzione di print. 🙂