CYBER-WAR: l’altra faccia della guerra Russia – Ucraina che mette a rischio le imprese italiane

La guerra in corso che vede coinvolte la Russia e l’Ucraina si sta combattendo anche nel cyberspazio e gli Stati che supportano l’Ucraina sono potenziali bersagli degli hacker russi, i quali potrebbero colpire le organizzazioni italiane – dalle banche fino agli Enti pubblici – al fine di sabotarle e bloccarne l’operatività.

Diversi sono gli alert arrivati in questo senso da tutta Europa: la Banca Centrale Europea (BCE) ha alzato ufficialmente il livello dall’allerta ed il National Cyber ​​Security Center (NCSC) del Regno Unito ha avvertito le organizzazioni di monitorare la loro resilienza informatica dopo avere rilevato aumento di attacchi ransomware provenienti dalla Russia.

RISCHI E DANNI COLLATERALI PER LE IMPRESE ITALIANE

Come in tutte le guerre, anche in quella cyber potrebbero farne le spese i cosiddetti “civili”, come in questo caso possono essere considerate le imprese che si imbatteranno in uno dei virus messi in circolazione per colpire altri bersagli strategicamente rilevanti. È il caso del malware HermeticWiper, scoperto in Ucraina in seguito alle offensive russe ai danni di organizzazioni e reti governative interne che però sta diffondendo anche in Occidente prendendo nel mirino sempre più paesi.

HermeticWiper è un data wiper: il suo intervento sul PC mira a distruggere i dati del sistema in maniera tale da renderne impossibile il futuro recupero, andando a colpire il funzionamento del sistema operativo. Ciò significa che l’infezione porterà infine al blocco completo del PC, risolvibile solamente cambiando gli hard disk e reinstallando l’OS da zero. Un eventuale incidente informatico di questo tipo, in assenza di idonee procedure di data recovery e business continuity, potrebbe avere un impatto devastate per la malcapitata azienda “attaccata”.

Anche per questi motivi il CSIRT (Computer Security Incident Response Team) si è mobilitato, allertando sull’emergenza internazionale che impatta sulla sicurezza del Paese, con nuove disposizioni urgenti, chiedendo di innalzare la sicurezza aziendale, al fine di mitigare i rischi e di diminuire il più possibile la superficie attaccabile e le vulnerabilità.

COME PROTEGGERSI? IL PRIMO PASSO È IL CYBER-SECURITY RISK ASSESSMENT

In questa situazione ciascuna azienda, a prescindere dalla propria dimensione, dovrebbe prepararsi prudenzialmente allo scenario peggiore, analizzando le proprie vulnerabilità informatiche e mettendo in atto tutte le contromisure per sanarle rapidamente.

Uno strumento estremamente utile per comprendere quali siano i rischi in cui la tua azienda potrebbe incorrere, creando così delle vulnerabilità nel tuo sistema informatico, è sicuramente il cyber-security risk assessment (Valutazione del rischio informatico): un’analisi del sistema informatico mirata ad individuare potenziali vulnerabilità che possono mettere a rischio la sicurezza dei dati aziendali.

Desideri ricevere maggiori informazioni?

Nel frattempo, consigliamo di adottare le cautele suggerite dal CSIRT (Computer Security Incident Response Team):

  • eseguire l’asset management approfondito di tutti i sistemi direttamente o indirettamente esposti su Internet verificandone Sistema Operativo e software installato (e relativo patch level), servizi in esecuzione, task schedulati, regole di firewalling che ne consentono l’esposizione, sistemi di protezione (AV, EDR, WAF, HIPS, NIPS, Firewall, CDN, etc) e relativo livello di aggiornamento e corretta configurazione, disponibilità di tutto il necessario per la reinstallazione completa del sistema (golden image, codice sorgente, struttura database, etc);
  • assicurarsi che su tutte le componenti di tali sistemi siano implementate le best practice più restrittive in termini di sicurezza, disabilitando inoltre tutte le funzionalità/pacchetti non necessari;
  • eseguire la bonifica di tutti i record DNS non più utilizzati;
  • implementare sui propri DNS autoritativi le seguenti misure: disabilitazione della ricorsività, limitazione della ricorsività ai soli client necessari, implementare il response rate limiting;
  • verificare l’effettiva necessità di esposizione dei sistemi identificati e ove non necessario procedere alla rimozione degli stessi;
  • procedere al patching di tutte le componenti identificate ponendo particolare attenzione ad utilizzare solo fonti verificate per il reperimento del software di aggiornamento;
  • in caso non fosse possibile per limitazioni applicative l’attività di patching valutare la possibilità di disconnettere il servizio/asset, implementare sistemi di virtual patching, segregare in una DMZ dedicata le componenti non aggiornabili consentendo alle stesse esclusivamente le comunicazioni strettamente necessarie al funzionamento del servizio ospitato, innalzare al livello massimo le capacità di logging e monitoraggio di tali sistemi;
  • verificare i flussi di comunicazione disponibili agli asset esposti, riducendoli alle sole comunicazioni essenziali ed innalzando il livello di logging e monitoraggio di tali flussi;
  • inibire, se non strettamente necessario, il traffico in uscita degli assetti esposti su internet.
  • Verificare/implementare la segmentazione della rete assicurandosi che le regole di gestione del traffico client-to-server e server-to-server consentano esclusivamente traffico strettamente necessario al corretto funzionamento delle applicazioni assicurandosi che tali flussi siano definiti, documentati, approvati e monitorati;
  • verificare/implementare una rete segregata per tutto il management degli apparati di rete, storage, infrastrutture di virtualizzazione;
  • verificare tutti gli accessi alla rete Internet rimuovendo, ove possibile, quelli non strettamente necessari, e assicurandosi che offrano capacità di logging e di impostazione di regole di blocco del traffico;
  • verificare che tutte le componenti della rete siano correttamente censite e gestite;
  • irrobustire i controlli effettuati dai sistemi antispam per ridurre la consegna di possibili email di phishing;
  • eseguire sessioni interne di istruzione per il proprio personale in particolare evidenziando i rischi connessi all’apertura di file e link ricevuti tramite sistemi di posta elettronica, sms, instant messaging.
  • implementare l’autenticazione multifattoriale per i servizi esterni ed interni;
  • verificare/implementare la password policy (min. 12 caratteri alfanumerici, maiuscole minuscole, caratteri speciali), e la lockdown policy, verificando inoltre che le password inserite non siano contenute in databreach pubblici (es. utilizzando il servizio HIBP) e valutando l’opportunità di forzare un reset password complessivo per tutta l’utenza;
  • rimuovere le autorizzazioni legate a gruppi generici (es. Everyone, Domain Users, Autenticated Users) assicurandosi che ogni utente appartenga al corretto gruppo autorizzativo;
  • assicurarsi che venga utilizzato un account di servizio dedicato per ogni differente servizio e che questi siano correttamente documentati;
  • ridurre i permessi concessi agli account di servizio al livello minimo necessario al corretto funzionamento delle applicazioni, rimuovendo ove possibile le autorizzazioni al logon locale e interattivo, l’accesso alle share di rete o a dati critici non necessari;
  • testare con cadenza periodica (in dipendenza in particolare dalla specifica profondità temporale) la funzionalità dei backup.
  • innalzare i livelli di monitoraggio in particolare per gli account dotati di privilegi amministrativi e per gli account di servizio, verificando con attenzione i log relativi ai login con successo/falliti, all’accesso alle share di rete, ai logon interattivi e di rete effettuati tramite sessione remota;
  • monitorare i flussi di rete identificando connessioni effettuate verso porte non previste dalle applicazioni;
  • monitorare gli eventi che possono rappresentare attività di scansione o di enumerazione;
  • assicurarsi che i sistemi di logging e raccolta degli stessi siano sempre adeguati in caso di modifiche architetturali e che coprano tutti i sistemi presenti sulla rete;
  • identificare e innalzare il livello di monitoraggio delle componenti di rete/servizio che possono rappresentare punti di snodo per il passaggio tra segmenti differenti;

monitorare le proprie reti utilizzando tutti gli indicatori di compromissione disponibili

  • I soggetti e le organizzazioni sono inviati ad analizzare la propria struttura organizzativa nell’ottica di verificare che sia adeguata alla preparazione e gestione di un incidente informatico di impatto elevato sulla propria operatività, da tutti i punti di vista, sia tecnologico, sia di business.
  • Oltre alla revisione dei propri piani interni relativi alla gestione degli incidenti informatici (es. Incident response plan) e alla continuità operativa (es. Disaster recovery plan, Business continuity plan), si consiglia, ove già non in essere, l’avvio di un percorso di revisione delle proprie infrastrutture IT che porti all’adozione di paradigmi Zero Trust in grado di innalzare in maniera sensibile la resilienza delle stesse.
  • La condivisione delle informazioni rappresenta un moltiplicatore importante in termini di protezione dello spazio cibernetico e pertanto si invitano tutti i soggetti a monitorare i canali istituzionali dello CSIRT Italia e a condividere con lo stesso tramite i moduli di segnalazione e la mail info@csirt.gov.it ogni informazione ritenuta d’interesse.

CYBER-WAR: l’altra faccia della guerra Russia – Ucraina che mette a rischio le imprese italiane

La guerra in corso che vede coinvolte la Russia e l’Ucraina si sta combattendo anche nel cyberspazio e gli Stati che supportano l’Ucraina sono potenziali bersagli degli hacker russi, i quali potrebbero colpire le organizzazioni italiane – dalle banche fino agli Enti pubblici – al fine di sabotarle e bloccarne l’operatività.

Diversi sono gli alert arrivati in questo senso da tutta Europa: la Banca Centrale Europea (BCE) ha alzato ufficialmente il livello dall’allerta ed il National Cyber ​​Security Center (NCSC) del Regno Unito ha avvertito le organizzazioni di monitorare la loro resilienza informatica dopo avere rilevato aumento di attacchi ransomware provenienti dalla Russia.

RISCHI E DANNI COLLATERALI PER LE IMPRESE ITALIANE

Come in tutte le guerre, anche in quella cyber potrebbero farne le spese i cosiddetti “civili”, come in questo caso possono essere considerate le imprese che si imbatteranno in uno dei virus messi in circolazione per colpire altri bersagli strategicamente rilevanti. È il caso del malware HermeticWiper, scoperto in Ucraina in seguito alle offensive russe ai danni di organizzazioni e reti governative interne che però sta diffondendo anche in Occidente prendendo nel mirino sempre più paesi.

HermeticWiper è un data wiper: il suo intervento sul PC mira a distruggere i dati del sistema in maniera tale da renderne impossibile il futuro recupero, andando a colpire il funzionamento del sistema operativo. Ciò significa che l’infezione porterà infine al blocco completo del PC, risolvibile solamente cambiando gli hard disk e reinstallando l’OS da zero. Un eventuale incidente informatico di questo tipo, in assenza di idonee procedure di data recovery e business continuity, potrebbe avere un impatto devastate per la malcapitata azienda “attaccata”.

Anche per questi motivi il CSIRT (Computer Security Incident Response Team) si è mobilitato, allertando sull’emergenza internazionale che impatta sulla sicurezza del Paese, con nuove disposizioni urgenti, chiedendo di innalzare la sicurezza aziendale, al fine di mitigare i rischi e di diminuire il più possibile la superficie attaccabile e le vulnerabilità.

COME PROTEGGERSI? IL PRIMO PASSO È IL CYBER-SECURITY RISK ASSESSMENT

In questa situazione ciascuna azienda, a prescindere dalla propria dimensione, dovrebbe prepararsi prudenzialmente allo scenario peggiore, analizzando le proprie vulnerabilità informatiche e mettendo in atto tutte le contromisure per sanarle rapidamente.

Uno strumento estremamente utile per comprendere quali siano i rischi in cui la tua azienda potrebbe incorrere, creando così delle vulnerabilità nel tuo sistema informatico, è sicuramente il cyber-security risk assessment (Valutazione del rischio informatico): un’analisi del sistema informatico mirata ad individuare potenziali vulnerabilità che possono mettere a rischio la sicurezza dei dati aziendali.

Desideri ricevere maggiori informazioni?

Nel frattempo, consigliamo di adottare le cautele suggerite dal CSIRT (Computer Security Incident Response Team):

  • eseguire l’asset management approfondito di tutti i sistemi direttamente o indirettamente esposti su Internet verificandone Sistema Operativo e software installato (e relativo patch level), servizi in esecuzione, task schedulati, regole di firewalling che ne consentono l’esposizione, sistemi di protezione (AV, EDR, WAF, HIPS, NIPS, Firewall, CDN, etc) e relativo livello di aggiornamento e corretta configurazione, disponibilità di tutto il necessario per la reinstallazione completa del sistema (golden image, codice sorgente, struttura database, etc);
  • assicurarsi che su tutte le componenti di tali sistemi siano implementate le best practice più restrittive in termini di sicurezza, disabilitando inoltre tutte le funzionalità/pacchetti non necessari;
  • eseguire la bonifica di tutti i record DNS non più utilizzati;
  • implementare sui propri DNS autoritativi le seguenti misure: disabilitazione della ricorsività, limitazione della ricorsività ai soli client necessari, implementare il response rate limiting;
  • verificare l’effettiva necessità di esposizione dei sistemi identificati e ove non necessario procedere alla rimozione degli stessi;
  • procedere al patching di tutte le componenti identificate ponendo particolare attenzione ad utilizzare solo fonti verificate per il reperimento del software di aggiornamento;
  • in caso non fosse possibile per limitazioni applicative l’attività di patching valutare la possibilità di disconnettere il servizio/asset, implementare sistemi di virtual patching, segregare in una DMZ dedicata le componenti non aggiornabili consentendo alle stesse esclusivamente le comunicazioni strettamente necessarie al funzionamento del servizio ospitato, innalzare al livello massimo le capacità di logging e monitoraggio di tali sistemi;
  • verificare i flussi di comunicazione disponibili agli asset esposti, riducendoli alle sole comunicazioni essenziali ed innalzando il livello di logging e monitoraggio di tali flussi;
  • inibire, se non strettamente necessario, il traffico in uscita degli assetti esposti su internet.
  • Verificare/implementare la segmentazione della rete assicurandosi che le regole di gestione del traffico client-to-server e server-to-server consentano esclusivamente traffico strettamente necessario al corretto funzionamento delle applicazioni assicurandosi che tali flussi siano definiti, documentati, approvati e monitorati;
  • verificare/implementare una rete segregata per tutto il management degli apparati di rete, storage, infrastrutture di virtualizzazione;
  • verificare tutti gli accessi alla rete Internet rimuovendo, ove possibile, quelli non strettamente necessari, e assicurandosi che offrano capacità di logging e di impostazione di regole di blocco del traffico;
  • verificare che tutte le componenti della rete siano correttamente censite e gestite;
  • irrobustire i controlli effettuati dai sistemi antispam per ridurre la consegna di possibili email di phishing;
  • eseguire sessioni interne di istruzione per il proprio personale in particolare evidenziando i rischi connessi all’apertura di file e link ricevuti tramite sistemi di posta elettronica, sms, instant messaging.
  • implementare l’autenticazione multifattoriale per i servizi esterni ed interni;
  • verificare/implementare la password policy (min. 12 caratteri alfanumerici, maiuscole minuscole, caratteri speciali), e la lockdown policy, verificando inoltre che le password inserite non siano contenute in databreach pubblici (es. utilizzando il servizio HIBP) e valutando l’opportunità di forzare un reset password complessivo per tutta l’utenza;
  • rimuovere le autorizzazioni legate a gruppi generici (es. Everyone, Domain Users, Autenticated Users) assicurandosi che ogni utente appartenga al corretto gruppo autorizzativo;
  • assicurarsi che venga utilizzato un account di servizio dedicato per ogni differente servizio e che questi siano correttamente documentati;
  • ridurre i permessi concessi agli account di servizio al livello minimo necessario al corretto funzionamento delle applicazioni, rimuovendo ove possibile le autorizzazioni al logon locale e interattivo, l’accesso alle share di rete o a dati critici non necessari;
  • testare con cadenza periodica (in dipendenza in particolare dalla specifica profondità temporale) la funzionalità dei backup.
  • innalzare i livelli di monitoraggio in particolare per gli account dotati di privilegi amministrativi e per gli account di servizio, verificando con attenzione i log relativi ai login con successo/falliti, all’accesso alle share di rete, ai logon interattivi e di rete effettuati tramite sessione remota;
  • monitorare i flussi di rete identificando connessioni effettuate verso porte non previste dalle applicazioni;
  • monitorare gli eventi che possono rappresentare attività di scansione o di enumerazione;
  • assicurarsi che i sistemi di logging e raccolta degli stessi siano sempre adeguati in caso di modifiche architetturali e che coprano tutti i sistemi presenti sulla rete;
  • identificare e innalzare il livello di monitoraggio delle componenti di rete/servizio che possono rappresentare punti di snodo per il passaggio tra segmenti differenti;

monitorare le proprie reti utilizzando tutti gli indicatori di compromissione disponibili

  • I soggetti e le organizzazioni sono inviati ad analizzare la propria struttura organizzativa nell’ottica di verificare che sia adeguata alla preparazione e gestione di un incidente informatico di impatto elevato sulla propria operatività, da tutti i punti di vista, sia tecnologico, sia di business.
  • Oltre alla revisione dei propri piani interni relativi alla gestione degli incidenti informatici (es. Incident response plan) e alla continuità operativa (es. Disaster recovery plan, Business continuity plan), si consiglia, ove già non in essere, l’avvio di un percorso di revisione delle proprie infrastrutture IT che porti all’adozione di paradigmi Zero Trust in grado di innalzare in maniera sensibile la resilienza delle stesse.
  • La condivisione delle informazioni rappresenta un moltiplicatore importante in termini di protezione dello spazio cibernetico e pertanto si invitano tutti i soggetti a monitorare i canali istituzionali dello CSIRT Italia e a condividere con lo stesso tramite i moduli di segnalazione e la mail info@csirt.gov.it ogni informazione ritenuta d’interesse.