Allarme rosso attacchi cyber:
lo CSIRT italiano ci allerta sull’emergenza internazionale
Difesa alta, massimi controlli interni!”. Una scritta allarmante, presente sul sito del Computer Security Incident Response Team (CSIRT).
L’avanzare dell’escalation cyber da e per le infrastrutture critiche di Russia e Ucraina, fa alzare l’allerta difensivo anche in Italia. E ieri sera lo Csirt ha emesso un nuovo bollettino di allerta sulla situazione Ucraina, dai contenuti di rilievo per le aziende italiane e in particolar modo quelle che svolgono attività quotidiane con relazioni estere.
Nella homepage del CSIRT un annuncio avvisa sui rischi cyber derivati dalla situazione in Ucraina e spiega come affrontarli.
Stiamo naturalmente parlando di RISCHI e di come prevenire eventuali attacchi: “al momento non vi siano indicatori in tal senso, si evidenzia il significativo rischio cyber derivante da possibili impatti collaterali a carico di infrastrutture ICT interconnesse con il cyberspazio ucraino, con particolare riferimento ad enti, organizzazioni ed aziende che intrattengono rapporti con soggetti ucraini e con i quali siano in essere interconnessioni telematiche” cita lo stesso CSIRT.
Cosa comprende il bollettino Csirt allarme cyber in Italia
Il CISRT risponde così agli attacchi, già in corso verso le parti coinvolte in questa guerra Russia – Ucraina, ma che sempre di più mette a rischio le infrastrutture critiche di tutti i paesi. La natura stessa priva di confini del cyberspazio, data la tesa aria internazionale, potrebbe infatti essere utilizzata per operare attacchi diversificati anche verso paesi al momento non direttamente coinvolti nel conflitto.
In simultanea il governo italiano ha emanato nuove disposizioni, che vedono l’accensione dello stato di emergenza nazionale, fino al 31 dicembre 2022 e un decreto che offre aiuti militari all’Ucraina. Diventa quindi fondamentale tutelare il nostro spazio informatico, cercando di seguire quanto più da vicino le direttive fornite dal’ Agenzia per la Cybersecurity Nazionale.
Studio Rivelli Consulting, col suo team di esperti, può aiutarvi a controllare la sicurezza informatica della vostra azienda e studiare un piano efficace di prevenzione dei rischi.
Quali i rischi per l’Italia?
Le ultime dichiarazioni di Putin, con la creazione di una “lista nera” di paesi che hanno aderito alle sanzioni imposte alla Russia o ne hanno approvato la finalizzazione, pone anche l’Italia in uno stato di allerta reale.
Secondo il CISRT, i rischi che questa ondata di attacchi possano portare fino al nostro Paese son quelli che riguardanti massicce campagne di phishing, operate via mail, contenenti link malevoli; atte a carpire dati sensibili delle vittime, soprattutto tra le aziende italiane che rimangono l’obiettivo prediletto, in questa fase. Ma anche alla distribuzione di malware noti e di nuovo sviluppo, mettendo così in crisi la protezione perimetrale di cui solitamente le aziende dispongono. Gli occhi sono puntati anche verso tutte le piattaforme di filesharing, che soprattutto in questa fase, vengono utilizzati per condividere malware travestiti da file legittimi, presumibilmente ricercati dal pubblico.
Ransomware, certo. Ma non solo. Questi rischi non sono nuovi, però contengono al loro interno segnali di novità che se non perseguiti, portano l’esposizione a danni dell’infrastruttura. Queste novità arrivano dallo sviluppo di nuove minacce, che come abbiamo visto nel caso del malware HermeticWiper, coglie di sorpresa tutte le società di sicurezza informatica. Ossia quindi virus distruttivi, che cercano solo di fare più danni possibili.
Le infrastrutture maggiormente esposte, in questa fase internazionale delicata, sono i sistemi di rete aziendali, router, switch e firewall. Ma anche i server di gestione di domini come LDAP e ActiveDirectory, nonché quelli dedicati alla centralizzazione dei dati: backup e conservazione di logs tecnici.
I consigli urgenti del CSIRT
Tra le misure da adottare con urgenza, il CSIRT esorta all’allerta generalizzata un po’ su tutti i fronti dell’infrastruttura, con grande enfasi per la protezione esterna. Qui si fa riferimento all’aggiornamento costante delle strutture esposte (firewall e apparati di rete), per quanto riguarda l’applicazione di patch su vulnerabilità già note e per l’integrazione degli ultimi IoC (indicatori di compromissione) che vengono man mano individuati e segnalati.
Per la protezione interna invece viene sottolineata la necessità di alzare la guardia sul fenomeno del phishing via mail, tra gli account aziendali dei dipendenti, cercando di prestare attenzione ai filtri anti spam, qualora richiedessero aggiornamenti. In questo ambito risulta molto preponderante il fattore umano, sia per non assecondare errori sui ritardi degli aggiornamenti sistemistici, ma anche per quanto riguarda la formazione del personale dipendente, per enti pubblici e aziende strategiche private.
“Eseguire sessioni interne di istruzione per il proprio personale in particolare evidenziando i rischi connessi all’apertura di file e link ricevuti tramite sistemi di posta elettronica, sms, instant messaging”, ribadisce il CSIRT.
Altre due aree di miglioramento, vengono evidenziate nel bollettino e comprendono, nel primo caso il controllo degli accessi: evitare che vi siano nell’infrastruttura, utenti e gruppi di utenti generici che abbiano facoltà di azione all’interno dei sistemi; rimodulare i permessi che ciascun dipendente ha a disposizione per svolgere la propria mansione, in effetti si sono verificati in passato recente molti casi di permessi eccessivi su account che ne potevano avere decisamente meno, con relativo abuso da utenti malintenzionati; grande enfasi anche per l’autenticazione multi-fattore, ormai diventato uno standard di sicurezza e per il quale si hanno evidenze di grande mitigazione dei rischi connessi al login. Infine per l’area dedicata al monitoraggio si evidenzia una particolare attenzione agli account (o gruppi di account) che abbiano alti privilegi amministrativi all’interno della struttura, di modo da concentrare i propri sforzi sulla parte sensibile dell’organizzazione, spesso lasciata scoperta proprio per l’alto profilo al quale è associata; anche per questa fase è consigliato l’utilizzo di software e utility che sfruttino gli ultimi più recenti IoC resi disponibili, al fine di ridurre i tempi di rilevamento dell’eventuale minaccia.
La difesa italiana alla crisi Ucraina
Ancora prima che iniziasse la fase intensa dell’invasione, l’azienda leader nel settore della difesa, anche cibernetica, italiana Leonardo SpA, già discuteva dei potenziali pericoli individuati. Questo è un chiaro segnale di come viene monitorata, ai più alti livelli della difesa nazionale, il pericolo connesso al cyberspazio. Anche quando si parla di ambito internazionale infatti la sicurezza informatica diventa un pericolo vivo, nonostante l’apparente distanza geografica.
Il 16 febbraio, grazie a un monitoraggio effettuato in collaborazione con il NATO Communication and Information Agency, la cybersecurity di Leonardo scriveva della crisi in Ucraina “È un problema globale, di cui non conosciamo ancora i confini, aggravato dal fatto che a livello internazionale manca ancora un adeguato quadro normativo”, considerando la guerra cyber già iniziata.
Sottolineando infatti come a malware e phishing si stiano aggiungendo importanti minacce con attacchi DDoS mirate a infrastrutture critiche. Con particolare attenzione a gruppi, statali e non, con sofisticate capacità di persistenza sugli obiettivi (APT). Ci sono pochi gruppi al mondo in grado di operare una persistenza simile sugli attacchi, in condizioni così instabili come sono gli scenari di guerra, per questo il loro monitoraggio è d’obbligo.
