Jared Vichengrad

Le sfide della sicurezza informatica nel settore governativo e dell'istruzione non sono una novità. Sono aumentate con il COVID e non accennano ad arrestarsi. Purtroppo, la difesa informatica dei servizi governativi ed educativi mission-critical non ha sempre tenuto il passo e c'è ancora il rischio di diverse vulnerabilità comuni, soprattutto per le istituzioni scolastiche. Tuttavia, grazie agli strumenti gratuiti disponibili per rilevare le vulnerabilità della sicurezza delle identità e alle nuove opportunità di finanziamento e supporto, nel 2023 le scuole e i distretti scolastici potranno migliorare significativamente la loro posizione rispetto alla sicurezza informatica.

Perché gli hacker prendono di mira gli istituti scolastici?

Secondo il Multi-State Information Sharing and Analysis Center (MS ISAC), il 29% dei membri del settore scolatisco intervistati è stato vittima di un attacco informatico nel 2021. Gli attacchi contro il Los Angeles Unified School District dello scorso settembre hanno portato alla divulgazione di un avvertimento federale degli Stati Uniti sull'aumento degli attacchi ransomware contro il settore scolastico.

Perché prendere di mira gli istituti scolastici? Sono diversi i fattori potenzialmente in gioco:

  • Le scuole e i distretti scolastici ospitano grandi quantità di dati personali e finanziari.
  • Poiché fanno parte dell'infrastruttura critica del Paese, gli istituti scolastici sono i primi a scongiurare lunghi periodi di chiusura.
  • L'aumento delle infrastrutture remote dovuto alla pandemia ha aperto le porte agli aggressori.
  • Le risorse limitate possono tradursi in lacune nelle misure di sicurezza informatica.

Vice Society (gli aggressori dell'incidente di Los Angeles) sono noti per l'utilizzo dell'escalation dei privilegi e dell'accesso all'amministrazione del dominio per portare a termine attacchi a doppia estorsione, in cui gli attori delle minacce rubano i dati e introducono malware o ransomware nei sistemi presi di mira. Tali exploit si basano sull'infiltrazione di Active Directory (AD), il servizio di directory che costituisce l'infrastruttura di identità principale per molti distretti scolastici.

Perché AD è un obiettivo così interessante per i cyberattaccanti?

  • AD è la chiave di accesso agli account degli utenti e dei computer dell'intera azienda o dell'intero istituto.
  • Gli ambienti AD sono noti per la "deriva della configurazione", in cui autorizzazioni di accesso e account utente obsoleti aprono falle nella superficie di attacco AD.
  • Molti aggressori iniettano il malware o il ransomware settimane o mesi prima di attivarlo, infettando così i backup del sistema e rendendo più difficile il ripristino.
  • Gli attacchi più recenti sono abili nell'aggirare o nascondere le misure di sicurezza tradizionali.

Come possono le scuole migliorare la sicurezza delle identità?

La migliore difesa contro qualsiasi attacco informatico consiste nel concentrarsi su un solido piano di resilienza operativa, per prepararsi al ripristino se si verifica il peggio. Una solida strategia di resilienza operativa comprende tutti i sistemi critici, come l'infrastruttura di identità, compresi AD e Azure AD. La protezione di questi sistemi consente all'amministrazione e all'istruzione di mantenere i servizi offerti agli elettori e agli studenti.

La U.S. Cybersecurity & Infrastructure Security Agency (CISA) consiglia agli istituti scolastici di "investire nelle misure di sicurezza di maggiore impatto", tra cui "mitigare le vulnerabilità sfruttate note, implementare e testare i backup" ed "esercitare regolarmente un piano di risposta agli incidenti". Ciò include l'adozione di misure per "ridurre al minimo l'esposizione agli attacchi più comuni".

"La gestione del rischio di sicurezza informatica deve diventare una priorità assoluta per gli amministratori, i sovrintendenti e gli altri dirigenti di ogni istituto scolastico", osserva il CISA. "I dirigenti devono adottare approcci creativi per assicurarsi le risorse necessarie, come sfruttare i programmi di sovvenzione disponibili, collaborare con i fornitori di tecnologia per beneficiare di servizi e prodotti a basso costo che siano sicuri per progettazione e per impostazione predefinita e ridurre urgentemente l'onere della sicurezza migrando verso ambienti cloud sicuri e servizi gestiti affidabili".

Strumenti e risorse per la sicurezza informatica incentrata sull'identità degli alunni

Dare priorità al recupero delle foreste AD come parte dei piani di resilienza informatica e operativa è un passo fondamentale che gli istituti scolastici, e tutte le organizzazioni statali, locali e dell'istruzione (SLED), possono compiere oggi per proteggersi dalle minacce informatiche in evoluzione sul lungo periodo. La buona notizia è che sono disponibili finanziamenti e supporto per portare avanti questa missione. Lo State and Local Cybersecurity Grant Program e il CISA forniscono sovvenzioni e altre risorse.

Anche senza ulteriori finanziamenti, le scuole possono usufruire di strumenti gratuiti per la scoperta delle vulnerabilità AD e dei percorsi di attacco, come ad esempio Purple Knight e Forest Druid. Questi strumenti, che non richiedono installazione o permessi di accesso speciali, sono progettati specificamente per rilevare le vulnerabilità di AD e Azure AD.Forniscono report di facile lettura e indicazioni utili per colmare le lacune della sicurezza AD. Purple Knight identifica anche gli incidenti di compromissione (IOC), ovvero i segni che provano che gli aggressori potrebbero aver già violato l'infrastruttura AD.

SCARICA PURPLE KNIGHT E FOREST DRUID

Per quanto riguarda i backup e la risposta agli incidenti, l'approccio migliore consiste nel mantenere e testare regolarmente i backup specifici per AD e nello sviluppare un piano dettagliato per il ripristino di AD. È fondamentale individuare strumenti specializzati in Identity Threat Detection and Response (ITDR) come Semperis Directory Services Protector (DSP) e Active Directory Forest Recovery (ADFR), che forniscono una protezione di livello superiore:

  • Backup AD senza malware
  • Correzione automatica delle modifiche sospette
  • Recupero rapido della foresta AD (90% più veloce dei metodi di recupero manuali)
  • Servizi di risposta agli incidenti 24/7

La mossa intelligente: agire subito per proteggere AD

Gli hacker non mostrano segni di rallentamento degli attacchi contro le scuole e altre organizzazioni SLED. Le scuole e i distretti che sviluppano un piano di risposta agli incidenti informatici, scaricano e utilizzano strumenti gratuiti per rilevare e chiudere le vulnerabilità AD, e cercano di ottenere finanziamenti per soluzioni di sicurezza informatica più avanzate saranno ben preparati a respingere tali minacce, proteggendo studenti e personale.

Scopri di più sulla sicurezza basata sull'identità per le scuole