Siamo al quinto giorno di guerra tra Russia e Ucraina, una guerra che ci coinvolge tutti, sia perché l’Ucraina viene considerata Europa, anche se non è all’interno della UE, sia perché questa guerra, considerata IBRIDA viene combattuta su diversi piani: militare, finanziario, comunicativo e informatico.

Il problema della sicurezza informatica è uno dei temi che preoccupa l’Italia.

L’Agenzia per la cybersicurezza guidata da Roberto Baldoni ha già ha alzato il livello di allerta al massimo, inviando un warning specifico alle infrastrutture strategiche.

“Esistono possibili rischi cyber derivanti dalla situazione ucraina in grado di distruggere dati importanti” –  Questo l’allarme lanciato da Gabrielli in un’audizione parlamentare, durante la quale si è parlato di un malware (programma informatico usato per disturbare le operazioni svolte da un utente di un computer) davvero pericoloso.

Dopo gli attacchi digitali ad alcune infrastrutture ucraine (ministeri e banche) da parte di hacker russi, gli analisti hanno serio motivo di credere che nei prossimi giorni anche l’Europa finirà negli obiettivi di Putin, Italia compresa, proprio per questo bisogna alzare le barriere cyber.

Cybersicurezza: c’è un bug nell’ordinamento italiano

Nell’ordinamento italiano c’è una specie di bug in materia di attacchi digitali. Nell’audizione di ieri, Gabrielli ha spiegato che le leggi attuali permettono la difesa ma non la risposta offensiva. Il deputato Enrico Borghi, membro della segreteria nazionale del Pd con delega alle politiche di sicurezza e membro del Copasir, ha spiegato che “la guerra ibrida lanciata dalla Russia fa emergere un nodo scoperto anche in Italia: oggi gli attacchi cibernetici non sono normati come minacce alla sicurezza nazionale”. Proprio per questo “chiediamo al governo una norma che parifichi all’atto terroristico gli attacchi cibernetici alle infrastrutture pubbliche e private”.

I consigli dello CSIRT per proteggersi

Lo CSIRT (Computer Security Incident Response Team – Italia) ha diramato un alert sui possibili impatti collaterali a carico di infrastrutture ICT interconnesse con il cyberspazio ucraino, con particolare riferimento ad enti, organizzazioni ed aziende che intrattengono rapporti con soggetti ucraini e con i quali siano in essere interconnessioni telematiche (e.g., connessioni B2B, utenze presso reti ucraine e viceversa, condivisione di repository o piattaforme collaborative).

Per prevenire i possibili impatti, CSIRT consiglia di implementare quanto prima le seguenti azioni di mitigazione, in aggiunta all’adozione delle migliori pratiche in materia di cybersicurezza di cui abbiamo velocemente trattato nello scorso articolo.

Misure organizzative/procedurali

1. Verifica della consistenza e disponibilità offline dei backup necessari al rispristino in particolare dei servizi di core business;
2. Identificazione dei flussi informativi e delle componenti direttamente interconnesse con partner e/o localizzate presso reti ucraine;
3. Implementazione di una zona demilitarizzata (demilitarized zone – DMZ) per le connettività Business-to-Business (B2B);
4. Identificazione degli asset critici per lo svolgimento delle principali attività (e.g. processi di business);
5. Applicazione del principio di privilegio minimo (least privilege) per i sistemi con relazioni di trust e/o con la possibilità di accesso da remoto;
6. Incremento delle attività di monitoraggio e logging;
7. Aggiornamento dei piani di gestione degli incidenti cyber in base alle eventuali modifiche architetturali introdotte.
8. Creazione, aggiornamento, mantenimento ed esercizio periodico di capacità di incident response, di un piano di continuità operativa e resilienza in caso di perdita di accesso o controllo di un ambiente informatico (IT) e/o operativo (OT).
9. Designazione di un team di risposta alle crisi con i principali punti di contatto, ruoli/responsabilità all’interno dell’organizzazione, inclusi tecnologia, comunicazioni, legal e continuità aziendale;
10. Assicurare la disponibilità del personale chiave, identificare i mezzi necessari a fornire un supporto immediato per la risposta agli incidenti;
11. Esercitare il personale nella risposta agli incidenti informatici assicurandosi che tutti i partecipanti comprendano i loro ruoli e compiti specifici;
12. Prestare particolare attenzione alla protezione degli ambienti cloud prima di trasferire file rilevanti per le attività della propria organizzazione. Inoltre, si raccomanda di utilizzare i controlli di sicurezza resi disponibili dalle piattaforme cloud;
13. Incrementare le attività di info-sharing con le strutture di sicurezza informatica con particolare riferimento allo CSIRT Italia.

Misure tecniche

1. Prioritizzazione delle attività di patching dei sistemi internet-facing;
2. Verifica delle interconnessioni tra la rete IT e le reti OT prediligendo la massima segregazione possibile tra le stesse;
3. Monitoraggio degli account di servizio e degli account amministrativi per rilevare eventuali attività anomale;
4. Monitoraggio dei Domain Controller, in particolare gli eventi Kerberos TGS (ticket-granting service), al fine di rilevare eventuali attività anomalie;
5. Ricerca di processi e/o esecuzione di programmi da linea di comando che potrebbero indicare il dump di credenziali, in particolare monitorando i tentativi di accesso o di copia del file ntds.dit da un Domain Controller;
6. Monitoraggio dell’installazione di software di trasferimento file quali FileZilla e rclone, nonché dei processi associati agli strumenti di compressione o archiviazione;
7. Monitoraggio del traffico di rete analizzando picchi anomali nella connettività di rete in uscita, in particolare verso destinazioni inusuali quali provider VPS e VPN, nonché la rete TOR;
8. Prioritizzare le analisi a seguito di individuazione di codice malevolo (es. Cobalt Strike e webshell);
9. Assicurarsi che tutti gli accessi remoti richiedano l’autenticazione a più fattori (MFA), in particolare per servizi VPN, portali aziendali rivolti verso l’esterno (extranet) e accesso alla posta elettronica (es. OWA o Exchange Online).

La tua impresa è protetta?

Cosa devi implementare per minimizzare i rischi informatici?

Se vuoi saperne di più contattami: info@studioingrighetti.it