I cyber-attacchi possono avere ripercussioni sull’intero sistema informatico mondiale: ecco linee guida del Computer Security Incident Response Team – Italia per innalzare il livello di protezione
Come anticipato da numerosi analisti nei giorni scorsi, i risvolti della crisi in Ucraina stanno investendo in modo diretto anche il mondo informatico. Oltre alle note azioni di hackeraggio condotte da Anonymous nei confronti di obiettivi strategici russi, in questi drammatici momenti di guerra il numero di attacchi informatici, di varia natura e origine, è cresciuto notevolmente, mettendo a dura prova i sistemi di sicurezza dell’intero spazio cibernetico.
Come sottolineato, infatti, lo scorso 28 febbraio dal CSIRT (Computer Security Incident Response Team – Italia) “l’acuirsi delle attività malevole possono generare fenomeni di spillover al di fuori degli assetti direttamente oggetto delle campagne”. In altre parole, le numerose azioni di cyber-attacco a cui stiamo assistendo in queste ore rischiano di avere effetti dannosi anche al di fuori degli obiettivi a cui le stesse puntano.
Stiamo vivendo, insomma, una fase particolarmente complessa, dove è necessario innalzare al massimo grado di attenzione il livello di sicurezza informatica delle nostre reti.
Sono molteplicI, del resto, secondo il CSIRT, i fattori di alert che devono essere tenuti fortemente in considerazione in questo momento così delicato:
- l’utilizzo da parte degli hacker di piattaforme di comunicazione pubbliche per il rilascio di codice malevolo;
- l’invio di email di phishing contenenti allegati o link malevoli nel body delle email;
- la distribuzione di file malevoli attraverso le piattaforme di condivisione peer to peer;
- lo sfruttamento di vulnerabilità note nei sistemi internet facing;
- il rilascio di malware tramite siti web appositamente creati o compromessi, ad esempio per campagna di watering hole;
- l’utilizzo di sistemi che possano essere utilizzati per amplificare l’effetto di attacchi DDoS volumetrici (e.g. LDAP e DNS non correttamente configurati).
Riguardo agli asset interni alla rete, invece, è particolarmente importante tenere sotto controllo i sistemi di gestione delle patch, di asset management, di gestione remota, di sicurezza operativa (come antivirus, firewall, etc), i sistemi assegnati agli amministratori, quelli centralizzati di logging, backup, file sharing e storage, quelli per la gestione dei domini (es. Active Directory, LDAP, etc) e di tutti gli apparati di rete (router, switch).
Innalzamento dei livelli di sicurezza informatica: i suggerimenti del CSIRT
Oltre a delineare i principali fattori di rischio derivanti dalle azioni malevoli in corso, l’analisi pubblicata dal Computer Security Incident Response Team – Italia punta anche a delineare alcune importanti misure di sicurezza che possono essere adottate come la riduzione della superficie di attacco esterno (fra cui, la verifica dei sistemi direttamente o indirettamente esposti su Internet, l’implementazione delle best pratice di sicurezza e la bonifica dei DNS non più utilizzati); la riduzione della superficie di attacco interno (segmentazione della rete, rimozione degli accessi a internet non necessari e sistemi antispam rinforzati); il controllo degli accessi con l’autenticazione multifattoriale, l’impiego di password più sicure e la verifica periodica del corretto funzionamento dei backup; l’innalzamento, infine, dei livelli di monitoraggio dei singoli account, dei sistemi di logging e di funzionamento dell’intera rete.