Argomenti trattati:

Quali sono i rischi?
I consigli dell’ACN
Le azioni di mitigazione suggerite dal CSIRT
Le raccomandazioni del Clusit

Quali sono i rischi?

Il conflitto russo-ucraino ha incrementato la pericolosità di attacchi hacker da parte della Russia, dei quali anche l’Italia è potenziale bersaglio in quanto membro della NATO.
Per quanto detto dagli esperti, come riportato da Cyber Security 360, l’attuale livello di preparazione delle aziende e delle pubbliche amministrazioni italiane per fronteggiare cyber attacchi risulta essere molto basso, anche se la capacità di opporre resistenza varia molto anche fra aziende dello stesso settore.

Al fine di fronteggiare la minaccia nel migliore dei modi, è utile ricordare quali sono le principali attività malevole che facilmente possono diffondere dall’esterno del perimetro delle reti aziendali. Quelle riportate dal CSIRT sono:
– l’utilizzo di piattaforme di comunicazione pubbliche per il rilascio di codice malevolo;
– l’invio di email di phishing contenenti allegati o link malevoli nel body delle email;
– distribuzione di file malevoli tramite piattaforme di condivisione peer to peer;
– lo sfruttamento di vulnerabilità note nei sistemi internet facing;
– il rilascio del malware tramite siti web appositamente creati o compromessi, ad esempio per campagna di watering hole;
– l’utilizzo di sistemi che possano essere utilizzati per amplificare l’effetto di attacchi DDoS volumetrici (e.g. LDAP e DNS non correttamente configurati).

Sono sfruttati anche gli asset interni alla rete, in particolare i seguenti sistemi:
– sistemi di gestione delle patch;
– sistemi di asset management;
– sistemi di gestione remota;
– sistemi di sicurezza (antivirus, firewall, etc);
– sistemi assegnati agli amministratori;
– sistemi centralizzati di logging, backup, file sharing, storage;
– sistemi per la gestione di un dominio (es. Active Directory, LDAP, etc)
– apparati di rete (router, switch).

Ma come fare per difenderci da potenziali cyber attacchi? 

I consigli dell’ACN 

Il 14 febbraio 2022 l’ACN (Agenzia per la Cybersicurezza Nazionale) ha dichiarato pubblicamente lo stato di allerta nei confronti di potenziali attacchi da parte della Russia alle organizzazioni italiane, attraverso la pubblicazione del bollettino “Misure di protezione delle infrastrutture digitali nazionali dai possibili rischi cyber derivanti dalla situazione Ucraina” sul sito del CSIRT-Italia (Computer Emergency Response Team-Italia).

L’ACN consiglia in primis di notificare gli incidenti al CSIRT nazionale, poiché ciò consentirebbe di allertare tempestivamente altre organizzazioni che potrebbero essere soggette allo stesso attacco, e di predisporre conseguentemente contromisure che la singola organizzazione potrebbe non essere in grado di predisporre. L’effettiva partecipazione al mantenimento di un sistema di difesa è essenziale per proteggere i singoli partecipanti e l’intero sistema Paese.
Inoltre, l’ACN suggerisce di adottare in via prioritaria, e in aggiunta alle pratiche in materia di cyber security già regolamentate e vigenti sul territorio italiano, nuove azioni di mitigazione del rischio informativo, distinguendole in misure organizzative e procedurali e misure tecniche.

Le misure organizzative e procedurali sono così sintetizzate:

  • verifica della consistenza e disponibilità offline dei backup necessari al rispristino in particolare dei servizi di core business;
  • identificazione dei flussi informativi e delle componenti direttamente interconnesse con partner e/o localizzate presso reti ucraine;
  • implementazione di una zona demilitarizzata (demilitarized zone – DMZ) per le connettività Business-to-Business (B2B);
  • identificazione degli asset critici per lo svolgimento delle principali attività (e.g. processi di business);
  • applicazione del principio di privilegio minimo (least privilege) per i sistemi con relazioni di trust e/o con la possibilità di accesso da remoto;
  • incremento delle attività di monitoraggio e logging;
  • aggiornamento dei piani di gestione degli incidenti cyber in base alle eventuali modifiche architetturali introdotte;
  • creazione, aggiornamento, mantenimento ed esercizio periodico di capacità di incident response, di un piano di continuità operativa e resilienza in caso di perdita di accesso o controllo di un ambiente informatico (IT) e/o operativo (OT);
  • designazione di un team di risposta alle crisi con i principali punti di contatto, ruoli/responsabilità all’interno dell’organizzazione, inclusi tecnologia, comunicazioni, legal e continuità aziendale;
  • assicurare la disponibilità del personale chiave, identificare i mezzi necessari a fornire un supporto immediato per la risposta agli incidenti;
  • esercitare il personale nella risposta agli incidenti informatici assicurandosi che tutti i partecipanti comprendano i loro ruoli e compiti specifici;
  • prestare particolare attenzione alla protezione degli ambienti cloud prima di trasferire file rilevanti per le attività della propria organizzazione. Inoltre, si raccomanda di utilizzare i controlli di sicurezza resi disponibili dalle piattaforme cloud; incrementare le attività di info-sharing con le strutture di sicurezza informatica con particolare riferimento al CSIRT-Italia.

Le misure tecniche sono, invece, sintetizzate in:

  • prioritizzazione delle attività di patching dei sistemi internet-facing;
  • verifica delle interconnessioni tra la rete IT e le reti OT, prediligendo la massima segregazione possibile tra le stesse;
  • monitoraggio degli account di servizio e degli account amministrativi per rilevare eventuali attività anomale;
  • monitoraggio dei Domain Controller, in particolare gli eventi Kerberos TGS (ticket-granting service), al fine di rilevare eventuali attività anomalie;
  • ricerca di processi e/o esecuzione di programmi da linea di comando che potrebbero indicare il dump di credenziali, in particolare monitorando i tentativi di accesso o di copia del file ntds.dit da un Domain Controller;
  • monitoraggio dell’installazione di software di trasferimento file quali FileZilla e rclone, nonché dei processi associati agli strumenti di compressione o archiviazione;
  • monitoraggio del traffico di rete analizzando picchi anomali nella connettività di rete in uscita, in particolare verso destinazioni inusuali quali provider VPS e VPN, nonché la rete TOR;
  • prioritizzazione delle analisi a seguito di individuazione di codice malevolo (es. Cobalt Strike e webshell);
  • assicurarsi che tutti gli accessi remoti richiedano l’autenticazione a più fattori (MFA), in particolare per servizi VPN, portali aziendali rivolti verso l’esterno (extranet) e accesso alla posta elettronica (es. OWA o Exchange Online).

Oltre ad esporre le misure da adottare, l’ACN si è premurata di ricordare che le imprese italiane possono rivolgersi a CSIRT-Italia attraverso le modalità riportate sul sito ufficiale per acquisire ulteriori informazioni, e che è possibile consultare le raccomandazioni generali diffuse sullo stesso portale.

Le azioni di mitigazione suggerite dal CSIRT

Il CRST ha suggerito alle aziende di svolgere determinate azioni di mitigazione nei confronti della minaccia di cyber attacchi. Esse sono:

    1. Riduzione della superficie di attacco esterna, attraverso:
      • l’esecuzione dell’asset management approfondito di tutti i sistemi direttamente o indirettamente esposti su Internet, verificandone Sistema Operativo e software installato (e relativo patch level), servizi in esecuzione, task schedulati, regole di firewalling che ne consentono l’esposizione, sistemi di protezione (AV, EDR, WAF, HIPS, NIPS, Firewall, CDN, etc) e relativo livello di aggiornamento e corretta configurazione, disponibilità di tutto il necessario per la reinstallazione completa del sistema (golden image, codice sorgente, struttura database, etc);
      • l’implementazione delle best practice più restrittive in termini di sicurezza su tutte le componenti di tali sistemi, disabilitando inoltre tutte le funzionalità/pacchetti non necessari;
      • l’esecuzione di bonifica di tutti i record DNS non più utilizzati;
      • l’implementazione sui propri DNS autoritativi delle seguenti misure: disabilitazione della ricorsività, limitazione della ricorsività ai soli client necessari, implementare il response rate imiting;
      • la verifica dell’effettiva necessità di esposizione dei sistemi identificati e ove non necessario procedere alla rimozione degli stessi;
      • il patching di tutte le componenti identificate ponendo particolare attenzione ad utilizzare solo fonti verificate per il reperimento del software di aggiornamento;
      • in caso non fosse possibile per limitazioni applicative l’attività di patching valutare la possibilità di disconnettere il servizio/asset, bisognerà implementare sistemi di virtual patching, segregare in una DMZ dedicata le componenti non aggiornabili consentendo alle stesse esclusivamente le comunicazioni strettamente necessarie al funzionamento del servizio ospitato, innalzare al livello massimo le capacità di logging e monitoraggio di tali sistemi;
      • la verifica dei flussi di comunicazione disponibili agli asset esposti, riducendoli alle sole comunicazioni essenziali ed innalzando il livello di logging e monitoraggio di tali flussi;
      • l’inibizione, se non strettamente necessario, del traffico in uscita degli assetti esposti su internet.

       

    2. Riduzione della superficie di attacco interna, mediante:
      • verifica/implementazione della segmentazione della rete assicurandosi che le regole di gestione del traffico client-to-server e server-to-server consentano esclusivamente traffico strettamente necessario al corretto funzionamento delle applicazioni assicurandosi che tali flussi siano definiti, documentati, approvati e monitorati;
      • verifica/implementazione di una rete segregata per tutto il management degli apparati di rete, storage, infrastrutture di virtualizzazione;
      • verifica di tutti gli accessi alla rete Internet rimuovendo, ove possibile, quelli non strettamente necessari, e assicurandosi che offrano capacità di logging e di impostazione di regole di blocco del traffico;
      • verifica che tutte le componenti della rete siano correttamente censite e gestite;
      • irrobustimento dei controlli effettuati dai sistemi antispam per ridurre la consegna di possibili email di phishing;
      • esecuzione di sessioni interne di istruzione per il proprio personale in particolare evidenziando i rischi connessi all’apertura di file e link ricevuti tramite sistemi di posta elettronica, sms, instant messaging.
    3. Controllo stringente degli accessi ai sistemi/servizi, per il quale il CSIRT consiglia di:
      • implementare l’autenticazione multifattoriale per i servizi esterni ed interni;
      • verificare/implementare la password policy (min. 12 caratteri alfanumerici, maiuscole minuscole, caratteri speciali), e la lockdown policy, verificando inoltre che le password inserite non siano contenute in databreach pubblici (es. utilizzando il servizio HIBP) e valutando l’opportunità di forzare un reset password complessivo per tutta l’utenza;
      • rimuovere le autorizzazioni legate a gruppi generici (es. Everyone, Domain Users, Autenticated Users) assicurandosi che ogni utente appartenga al corretto gruppo autorizzativo;
      • assicurarsi che venga utilizzato un account di servizio dedicato per ogni differente servizio e che questi siano correttamente documentati;
      • ridurre i permessi concessi agli account di servizio al livello minimo necessario al corretto funzionamento delle applicazioni, rimuovendo ove possibile le autorizzazioni al logon locale e interattivo, l’accesso alle share di rete o a dati critici non necessari;
      • testare con cadenza periodica (in dipendenza in particolare dalla specifica profondità temporale) la funzionalità dei backup.
    4. Monitoraggio dei log, del traffico di rete e delle attività effettuate dagli account di amministrazione. Per fare ciò il CSIRT ricorda di:
      • innalzare i livelli di monitoraggio in particolare per gli account dotati di privilegi amministrativi e per gli account di servizio, verificando con attenzione i log relativi ai login con successo/falliti, all’accesso alle share di rete, ai logon interattivi e di rete effettuati tramite sessione remota;
      • monitorare i flussi di rete identificando connessioni effettuate verso porte non previste dalle applicazioni;
      • monitorare gli eventi che possono rappresentare attività di scansione o di enumerazione;
      • assicurarsi che i sistemi di logging e raccolta degli stessi siano sempre adeguati in caso di modifiche architetturali e che coprano tutti i sistemi presenti sulla rete;
      • identificare e innalzare il livello di monitoraggio delle componenti di rete/servizio che possono rappresentare punti di snodo per il passaggio tra segmenti differenti;
      • monitorare le proprie reti utilizzando tutti gli indicatori di compromissione disponibili.
    5. Organizzazione interna per la preparazione e gestione delle crisi cibernetiche:
      I soggetti e le organizzazioni sono inviati ad analizzare la propria struttura organizzativa nell’ottica di verificare che sia adeguata alla preparazione e gestione di un incidente informatico di impatto elevato sulla propria operatività, da tutti i punti di vista, sia tecnologico, sia di business.
    6. Pianificazione della revisione delle proprie infrastrutture IT in ottica Zero Trust:
      Oltre alla revisione dei propri piani interni relativi alla gestione degli incidenti informatici (es. Incident response plan) e alla continuità operativa (es. Disaster recovery plan, Business continuity plan), si consiglia, ove già non in essere, l’avvio di un percorso di revisione delle proprie infrastrutture IT che porti all’adozione di paradigmi Zero Trust in grado di innalzare in maniera sensibile la resilienza delle stesse.
    7. Sostenere l’infosharing interno ed esterno:
      La condivisione delle informazioni rappresenta un moltiplicatore importante in termini di protezione dello spazio cibernetico e pertanto si invitano tutti i soggetti a monitorare i canali istituzionali dello CSIRT Italia e a condividere con lo stesso tramite i moduli di segnalazione e la mail info@csirt.gov.it ogni informazione ritenuta d’interesse.

Le raccomandazioni del Clusit

Anche Claudio Telmon, membro del comitato direttivo Clusit, l’Associazione Italiana per la Sicurezza Informatica raccomanda di seguire le indicazioni fornite dal CSIRT, ricordando che solo questo ente dispone di tutte le informazioni a cui altre fonti potrebbero non avere accesso.
Telmon precisa che per le aziende che lavorano direttamente con Russia e Ucraina è priorità assoluta Aumentare il livello di attenzione a possibili anomalie che possano essere indicative di attacchi in corso. Ma afferma anche che questa è una occasione per tutte le aziende italiane per ricordare al proprio personale le politiche aziendali in termini di sicurezza delle informazioni, rinnovando in particolare l’attenzione alle regole di comportamento per evitare di essere oggetto di attacchi di phishing o veicolo di attacchi da parte di malware.

In particolare, il Clusit suggerisce di verificare almeno la disponibilità e la correttezza di backup aggiornati e offline e, dove presenti, l’efficacia dei processi e meccanismi di disaster recovery. Infine, consiglia di assicurarsi che i servizi di early warning e threat intelligence eventualmente acquisiti come servizio siano attivi, funzionanti e, da non sottovalutare, che siano monitorati.