Continuano gli attacchi a utenti privilegiati e cresce l’esigenza di protezione dei PoS

Gli attacchi recenti ai PoS evidenziano l’importanza di difendere gli utenti privilegiati. I rischi che si corrono  e cosa fare illustrati da CyberArk

 

Saks Fifth Avenue e Lord & Taylor sono  tra le vittime più recenti di cyber attacchi che hanno come target  i retailer di maggior prestigio e i loro sistemi di pagamento PoS, tramite i quali  possono risultare potenzialmente compromessi i dati di milioni di carte di credito.

I dettagli dell’attacco portato sono ancora in fase di esame  ma da primi rapporti  sull’effrazione subita e le successive conferme dalla compagnia  collegata Hudson’s Bay, è stato possibile delineare  abbastanza dettagli  sul percorso e le modalità con cui è stato portato l’attacco, e fare considerazioni su cosa il potenziale punto debole nelle difese potrebbe significare per altri retailer e come questi potrebbero bloccare attacchi simili.

Noi continueremo a analizzare  i dettagli dell’attacco ma  alcuni temi principali si evidenziano”, ha osservato CyberArk.  E i dettagli non evidenziano solo  un semplice (ndr: si fa per dire) prendere possesso di un PoS, ma molto di più.

Attacco ai PoS

Attacco ai PoS

La rete come vettore di attacco

Il punto di interesse finale era evidentemente il sistema dei PoS ma per giungerci  gli attaccanti hanno  probabilmente percorso la rete di Hudson’s Bay. In pratica ciò implicherebbe che  hanno preso qualche sorta di controllo della medesima e che si sono procurati un modo per rimanere al suo interno.

L’ipotesi di un attacco attraverso la rete, osserva CyberArk, è realistica perché se il vettore di attacco fosse il sistema PoS in sé stesso, si sarebbe molto probabilmente saputo  di altri breach interessanti altri retailer che non solamente Lord & Taylor.

Superata la rete la strada  diventa in discesa, perlomeno secondo quanto CyberArk ha potuto  rilevare  in precedenti attacchi. In sostanza, quello che avviene è che gli attaccanti  si procurano un primo punto di appoggio mediante attacchi di phishing, si appropriano di credenziali e privilegi dagli endpoint e poi tramite questi si spostano lateralmente  attraverso la rete  verso i sistemi PoS.

Una volta  raggiunti i PoS il percorso è in discesa e le credenziali privilegiate  possono essere utilizzate per esfiltrare i dati relativi alle carte di pagamento  evitando  di essere rilevati o di far scattare gli allarmi di sicurezza.

La tecnologia EMV

Cosa è possibile fare per difendersi da questi attacchi? Una utile tecnologia per eliminare il rischio che una  card venga compromessa, evidenzia CyberArk, è la EMV, basata sull’abbinamento di chip e PIN.

Da prime analisi, i retailer coinvolti nell’effrazione  usavano  lettori  di striscia magnetica datati, che hanno esposto all’attacco i dati  delle card  contenuti  sulle tracce 1 e 2.  Si tratta di lettori  meno sicuri dei più recenti PoS  ma ciononostante molto comuni.

I PoS datati sono i più esposti ad attacchi

I PoS datati sono i più esposti ad attacchi

Conoscendo la cosa gli attaccanti  hanno creato un apposito malware (una sorta di BlackPoS) che ha permesso loro di mettere le mani sui dati contenuti.

In sostanza,  in base ai pattern di attacchi precedenti, è probabile  che gli attaccanti  siano saltati dall’endpoint  di un dipendente ai sistemi PoS, cosa che potrebbe a sua volta voler significare  che  c’era un gap nella sicurezza  di rete che lo ha permesso.

Un modo per contenere il rischio  consiste nel segmentare la rete invece di farla vedere come un tutt’uno in modo da poter contenere un attacco all’interno di un segmento ed impedirne la propagazione urbi et orbi.

E’ pur vero, osserva CyberArk, che la segmentazione non è la panacea universale perché  un attaccante potrebbe sempre riuscire a realizzare una sorta di bridge tra un segmento e l’altro, ma l’impegno richiesto viene di solito profuso  per attaccare  stati e le infrastrutture critiche o le istituzioni finanziarie.

Una cosa è però certa, osserva CyberARk. Anche se non si può essere sicuri che  gli attaccanti abbiano preso il completo controllo  della rete di Hudson’s Bay, tuttavia si può essere certi che sono riusciti a penetrarvi in profondità e in modo tale da  compromette l’intero ecosistema di PoS di Saks e Lord & Taylor PoS.

Tecnologia EMV

Tecnologia EMV

Che fare una volta attaccati?

Attacchi in profondità del tipo di quello evidenziato richiedono  generalmente  che si ponga  mano alla rete e alla sua architettura fisica, logica e di sicurezza e rimuovere da essa gli attaccanti  in modo da disporre di una infrastruttura che sia trusted.

Prevenire altri attacchi  richiede però altri passi, ad esempio  una autenticazione a più fattori per quanto concerne  gli account privilegiati e la rimozione  degli hash residuali al fine di prevenire che un attaccante possa scalare attraverso la rete.

Un dato è però certo. Se gli account privilegiati  vengono usati su endpoint che presentano delle vulnerabilità la superficie di attacco continuerà ad espandersi aumentando le possibilità che un attaccante ha per costruire un bridge  che permetta di raggiungere il sistema dei PoS. Automatizzare il vaulting e proteggere e monitorare le credenziali è quindi un fattore critico per contenere questo tipo di attacco, osserva CyberArk , e tenere al sicuro  i sistemi PoS e la rete.