Conflitto Russia-Ucraina, aziende italiane “esposte” a cyber attacchi: i consigli dell’Agenzia cyber

Businessman using tablet and laptop analyzing sales data and economic growth graph chart. Business strategy. Digital marketing. Business innovation technology concept

Conflitto Russia-Ucraina, aziende italiane
“esposte” a cyber attacchi: i consigli
dell’Agenzia cyber

La guerra ibrida in atto tra la Russia e l’Ucraina ha spinto l’Agenzia
per la Cybersicurezza Nazionale (ACN) a fornire alcune
raccomandazioni utili alle aziende italiane per innalzare i livelli di
cyber security delle infrastrutture digitali. Analizziamole nel
dettaglio
di Luisa Franchina
Presidente Associazione Italiana esperti in Infrastrutture Critiche
e di Pamela Graziani
Analyst Hermes Bay
L’Agenzia per la Cybersicurezza Nazionale (ACN) ha segnalato che il conflitto
in Ucraina aumenta “i rischi cibernetici ai quali sono esposte le imprese
italiane che intrattengono rapporti con operatori situati in territorio ucraino,
derivanti da possibili danni a obiettivi digitali di quel Paese” e ha invitato i
soggetti potenzialmente implicati a innalzare i livelli di cyber security delle
proprie infrastrutture digitali.
L’attuale guerra tra Russia e Ucraina non è un fatto recente, ma viene da una
lunga storia di confronto geopolitico, storia che a oggi vede un riemergere di
scontri bellici su più fronti, compreso quello cyber.
Più volte l’Ucraina è stata target di attacchi cyber presumibilmente provenienti
dalla Russia, fortemente sospettata di esserne il mandante (si pensi, ad
esempio, alle elezioni presidenziali del 2014, ai ripetuti attacchi nei confronti
dell’infrastruttura elettrica del Paese e al ransomware NotPeya del 2017), e
risale allo scorso gennaio l’ultima potente azione offensiva che ha comportato
il blocco dei sistemi informativi dell’ex Paese sovietico.
Il ruolo dell’Agenzia cyber a difesa delle aziende
italiane
In questo preoccupante scenario, lo scorso 14 febbraio 2022 l’Agenzia per la
Cybersicurezza Nazionale, attraverso CSIRT-Italia (Computer Emergency
Response Team-Italia), delegato a organizzare la risposta in caso di cyber
incidenti a livello nazionale, ha rilasciato il bollettino “Misure di protezione
delle infrastrutture digitali nazionali dai possibili rischi cyber derivanti dalla
situazione Ucraina”, in cui si rileva la preoccupazione dell’Agenzia rispetto a
un eventuale attacco cibernetico nei confronti del “Paese cuscinetto russo”
che potrebbe estendersi ad “effetto domino” verso tutte quelle infrastrutture
ICT italiane interconnesse con la dimensione cibernetica ucraina.
Sul bollettino (BL01/220214/CSIRT-ITA), pubblicato nel portale ufficiale di
CSIRT-Italia, si legge: “ … si evidenzia il significativo rischio cyber derivante
da possibili impatti collaterali a carico di infrastrutture ICT interconnesse con il
cyberspazio ucraino, con particolare riferimento ad enti, organizzazioni e
aziende che intrattengono rapporti con soggetti ucraini e con i quali siano in
essere interconnessioni telematiche (e.g., connessioni B2B, utenze presso reti
ucraine e viceversa, condivisione di repository o piattaforme collaborative).
Tali impatti potrebbero derivare dalla natura interconnessa della rete Internet,
in quanto azioni malevole, indirizzate verso una parte di essa, possono
estendersi ad infrastrutture contigue come dimostrano precedenti infezioni con
impatto globale quali ad esempio NotPetya e WannaCry”.
Dunque, l’ACN consiglia vivamente a tutti i soggetti nazionali interessati di
adottare, in via prioritaria e in aggiunta alle pratiche in materia di cyber
security già regolamentate e vigenti sul territorio italiano, nuove azioni di
mitigazione del rischio informativo, distinguendole in: “misure
organizzative/procedurali” e “misure tecniche”.
Le misure organizzative e procedurali da adottare
Come riportato sul sito ufficiale di CSIRT-Italia, le “misure
organizzative/procedurali” da adottare da parte dei soggetti implicati sono le
seguenti:

  1. verifica della consistenza e disponibilità offline dei backup necessari al
    rispristino in particolare dei servizi di core business;
  2. identificazione dei flussi informativi e delle componenti direttamente
    interconnesse con partner e/o localizzate presso reti ucraine;
  3. implementazione di una zona demilitarizzata (demilitarized zone –
    DMZ) per le connettività Business-to-Business (B2B);
  4. identificazione degli asset critici per lo svolgimento delle principali
    attività (e.g. processi di business);
  5. applicazione del principio di privilegio minimo (least privilege) per i
    sistemi con relazioni di trust e/o con la possibilità di accesso da remoto;
  6. incremento delle attività di monitoraggio e logging;
  7. aggiornamento dei piani di gestione degli incidenti cyber in base alle
    eventuali modifiche architetturali introdotte;
  8. creazione, aggiornamento, mantenimento ed esercizio periodico di
    capacità di incident response, di un piano di continuità operativa e
    resilienza in caso di perdita di accesso o controllo di un ambiente
    informatico (IT) e/o operativo (OT);
  9. designazione di un team di risposta alle crisi con i principali punti di
    contatto, ruoli/responsabilità all’interno dell’organizzazione, inclusi
    tecnologia, comunicazioni, legal e continuità aziendale;
  10. assicurare la disponibilità del personale chiave, identificare i mezzi
    necessari a fornire un supporto immediato per la risposta agli incidenti;
  11. esercitare il personale nella risposta agli incidenti informatici
    assicurandosi che tutti i partecipanti comprendano i loro ruoli e compiti
    specifici;
  12. prestare particolare attenzione alla protezione degli ambienti cloud
    prima di trasferire file rilevanti per le attività della propria
    organizzazione. Inoltre, si raccomanda di utilizzare i controlli di
    sicurezza resi disponibili dalle piattaforme cloud;
  13. incrementare le attività di info-sharing con le strutture di sicurezza
    informatica con particolare riferimento al CSIRT-Italia.
    Misure tecniche consigliate alle aziende dall’Agenzia
    Cyber
    Per ridurre il rischio di esposizione ad attacchi cyber conseguenti alla guerra
    ibrida in atto tra Russia e Ucraina, l’Agenzia per la Cybersicurezza Nazionale
    ha consigliato alle aziende di adottare, oltre alle misure organizzative e
    procedurali appena viste, anche le seguenti “misure tecniche”:
    ● prioritizzazione delle attività di patching dei sistemi internet-facing;
    ● verifica delle interconnessioni tra la rete IT e le reti OT, prediligendo la
    massima segregazione possibile tra le stesse;
    ● monitoraggio degli account di servizio e degli account amministrativi per
    rilevare eventuali attività anomale;
    ● monitoraggio dei Domain Controller, in particolare gli eventi Kerberos
    TGS (ticket-granting service), al fine di rilevare eventuali attività
    anomalie;
    ● ricerca di processi e/o esecuzione di programmi da linea di comando
    che potrebbero indicare il dump di credenziali, in particolare
    monitorando i tentativi di accesso o di copia del file ntds.dit da un
    Domain Controller;
    ● monitoraggio dell’installazione di software di trasferimento file quali
    FileZilla e clone, nonché dei processi associati agli strumenti di
    compressione o archiviazione;
    ● monitoraggio del traffico di rete analizzando picchi anomali nella
    connettività di rete in uscita, in particolare verso destinazioni inusuali
    quali provider VPS e VPN, nonché la rete TOR;
    ● prioritizzazione delle analisi a seguito di individuazione di codice
    malevolo (es. Cobalt Strike e webshell);
    ● assicurarsi che tutti gli accessi remoti richiedano l’autenticazione a più
    fattori (MFA), in particolare per servizi VPN, portali aziendali rivolti verso
    l’esterno (extranet) e accesso alla posta elettronica (es. OWA o
    Exchange Online).
    L’ACN, inoltre, aggiunge che le imprese italiane coinvolte ed esposte a rischio
    informativo possono rivolgersi a CSIRT-Italia attraverso le modalità riportate
    sul sito ufficiale per acquisire ulteriori informazioni di cui potrebbero
    necessitare, e che è possibile consultare le raccomandazioni generali diffuse
    sullo stesso portale.
    Conclusioni
    Ad ogni modo, è tanto critica la “situazione Ucraina” per il conflitto in atto, che
    da un punto di vista di cybersecurity, è visibile anche dallo “stato di allerta”
    della BCE che negli ultimi tempi ha avvisato le banche europee su potenziali
    rischi cibernetici, con lo scopo di prepararle a fronteggiare possibili azioni
    informatiche avverse, qualora “l’escalation delle ostilità” dovesse peggiorare
    ulteriormente.
    Anche gli Stati Uniti d’America hanno avvertito la stessa esigenza di tutela del
    proprio dominio cibernetico (specie in ambito finanziario) e l’innalzamento e il
    potenziamento delle capacità di cyber security risulta essere un obiettivo
    prioritario anche per Washington.
    fonte: CORCOM

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.