“Difesa alta, massimi controlli interni!”. Una scritta allarmante, ben quattro punti esclamativi, campeggia da qualche ora sul sito del Computer Security Incident Response Team (CSIRT).
L’avanzare dell’escalation cyber da e per le infrastrutture critiche di Russia e Ucraina, fa alzare l’allerta difensivo anche in Italia. E ieri sera lo Csirt ha emesso un nuovo bollettino di allerta sulla situazione Ucraina, dai contenuti di rilievo per le aziende italiane e in particolar modo quelle che svolgono attività quotidiane con relazioni estere.
L’Italia rischia ritorsioni dalla Russia: si prepari a una cyberwar
Cosa comprende il bollettino Csirt allarme cyber in Italia
Quella evasa dal CSIRT nella giornata di ieri, è una risposta agli attacchi, già in corso verso le parti coinvolte in questa guerra Russia – Ucraina che stiamo vivendo, ma che sempre di più mette a rischio le infrastrutture critiche di tutti i paesi. Il cyberspazio infatti, non ha confini ben definiti e momenti di tensione internazionale, come questo, possono essere utilizzati per operare attacchi diversificati anche verso paesi, al momento, apparentemente non coinvolti in via diretta.
Arriva proprio simultaneamente alle disposizioni urgenti messe in atto dal governo italiano, che vedono l’accensione dello stato di emergenza nazionale, fino al 31 dicembre 2022 e un decreto che offre aiuti militari all’Ucraina. Con questo bollettino, dunque, l’Agenzia per la Cybersecurity Nazionale (che dirige appunto il CSIRT nostrano) comunica l’emergenza anche lato sicurezza informatica.
Quali rischi interessano l’Italia?
L’Italia è sotto minaccia perché il premier russo Putin ha dichiarato di considerare nemici anche quelli che aiutano l’Ucraina.
Al lato pratico, i rischi che questa ondata di attacchi possono portare fino al nostro Paese sono quelli che vedono l’acuirsi di massicce campagne di phishing, operate via mail, contenenti link malevoli.
Queste sono atte a carpire dati sensibili delle vittime, soprattutto tra le aziende italiane che rimangono l’obiettivo prediletto, in questa fase. Ma anche alla distribuzione di malware noti e di nuovo sviluppo, mettendo così in crisi la protezione perimetrale di cui solitamente le aziende dispongono. Gli occhi sono puntati anche verso tutte le piattaforme di filesharing, che soprattutto in questa fase, vengono utilizzati per condividere malware travestiti da file legittimi, presumibilmente ricercati dal pubblico.
Ransomware, certo. Ma non solo. Questi rischi non sono nuovi, però contengono al loro interno segnali di novità che se non perseguiti, portano l’esposizione a danni dell’infrastruttura. Queste novità arrivano dallo sviluppo di nuove minacce, che come abbiamo visto nel caso del malware HermeticWiper, coglie di sorpresa tutte le società di sicurezza informatica. Ossia quindi virus distruttivi, che cercano solo di fare più danni possibili.
Le infrastrutture maggiormente esposte, in questa fase internazionale delicata, sono i sistemi di rete aziendali, router, switch e firewall. Ma anche i server di gestione di domini come LDAP e ActiveDirectory, nonché quelli dedicati alla centralizzazione dei dati: backup e conservazione di logs tecnici.
I consigli urgenti del CSIRT
Tra le misure da adottare con urgenza, il CSIRT esorta all’allerta generalizzata un po’ su tutti i fronti dell’infrastruttura, con grande enfasi per la protezione esterna. Qui si fa riferimento all’aggiornamento costante delle strutture esposte (firewall e apparati di rete), per quanto riguarda l’applicazione di patch su vulnerabilità già note e per l’integrazione degli ultimi IoC (indicatori di compromissione) che vengono man mano individuati e segnalati.
Per la protezione interna invece viene sottolineata la necessità di alzare la guardia sul fenomeno del phishing via mail, tra gli account aziendali dei dipendenti, cercando di prestare attenzione ai filtri anti spam, qualora richiedessero aggiornamenti. In questo ambito risulta molto preponderante il fattore umano, sia per non assecondare errori sui ritardi degli aggiornamenti sistemistici, ma anche per quanto riguarda la formazione del personale dipendente, per enti pubblici e aziende strategiche private.
“Eseguire sessioni interne di istruzione per il proprio personale in particolare evidenziando i rischi connessi all’apertura di file e link ricevuti tramite sistemi di posta elettronica, sms, instant messaging”, ribadisce il CSIRT.
Altre due aree di miglioramento, vengono evidenziate nel bollettino e comprendono, nel primo caso il controllo degli accessi: evitare che vi siano nell’infrastruttura, utenti e gruppi di utenti generici che abbiano facoltà di azione all’interno dei sistemi; rimodulare i permessi che ciascun dipendente ha a disposizione per svolgere la propria mansione, in effetti si sono verificati in passato recente molti casi di permessi eccessivi su account che ne potevano avere decisamente meno, con relativo abuso da utenti malintenzionati; grande enfasi anche per l’autenticazione multi-fattore, ormai diventato uno standard di sicurezza e per il quale si hanno evidenze di grande mitigazione dei rischi connessi al login. Infine per l’area dedicata al monitoraggio si evidenzia una particolare attenzione agli account (o gruppi di account) che abbiano alti privilegi amministrativi all’interno della struttura, di modo da concentrare i propri sforzi sulla parte sensibile dell’organizzazione, spesso lasciata scoperta proprio per l’alto profilo al quale è associata; anche per questa fase è consigliato l’utilizzo di software e utility che sfruttino gli ultimi più recenti IoC resi disponibili, al fine di ridurre i tempi di rilevamento dell’eventuale minaccia.
La difesa italiana alla crisi Ucraina
Ancora prima che iniziasse la fase intensa dell’invasione, l’azienda leader nel settore della difesa, anche cibernetica, italiana Leonardo SpA, allertava già sui pericoli individuati. Questo è un chiaro segnale di come viene monitorata, ai più alti livelli della difesa nazionale, il pericolo connesso al cyberspazio. Anche quando si parla di ambito internazionale infatti la sicurezza informatica diventa un pericolo vivo, nonostante l’apparente distanza geografica.
Era il 16 febbraio quando il comparto cybersecurity di Leonardo, grazie a un monitoraggio effettuato in collaborazione con il NATO Communication and Information Agency, scriveva della crisi in Ucraina “È un problema globale, di cui non conosciamo ancora i confini, aggravato dal fatto che a livello internazionale manca ancora un adeguato quadro normativo”, considerando la guerra cyber già iniziata.
Sottolineando infatti come a malware e phishing si stiano aggiungendo importanti minacce con attacchi DDoS mirate a infrastrutture critiche. Con particolare attenzione a gruppi, statali e non, con sofisticate capacità di persistenza sugli obiettivi (APT). Ci sono pochi gruppi al mondo in grado di operare una persistenza simile sugli attacchi, in condizioni così instabili come sono gli scenari di guerra, per questo il loro monitoraggio è d’obbligo.
