La guerra tra Russia e Ucraina non si sta combattendo soltanto nel mondo reale, ma anche nello spazio cyber, il nuovo terreno di scontro già decretato dalla NATO nel summit di Varsavia del 2016 come quinto dominio di guerra dopo aria, terra, mare e spazio.
A tal proposito, è di ieri la pubblicazione del bollettino di sicurezza BL01/220228/CSIRT-ITA dello CSIRT Italia indirizzato a tutti gli operatori di infrastrutture digitali nazionali in cui si raccomanda di adottare una postura di massima difesa cibernetica in considerazione soprattutto del fatto che lo spazio digitale per definizione non presenta confini ben delineati.
L’avvertimento arriva proprio sull’onda degli attacchi informatici come HermeticWiper con obiettivi finali di distruggere dati e minare la continuità di servizi critici ed essenziali.
“L’acuirsi delle attività malevole nello spazio cibernetico incrementa la possibilità che le stesse possano generare fenomeni di ‘spillover’ al di fuori degli assetti direttamente oggetto delle campagne”: così esordisce l’alert CSIRT Italia, ritenendo altamente probabile una escalation degli attacchi informatici rivolti all’Ucraina anche verso altri obiettivi e organizzazioni non solo Europei.
L’Italia rischia ritorsioni dalla Russia: si prepari a una cyberwar
Indice degli argomenti
Misure di mitigazione immediate
Pertanto, a causa dell’aumentare dei rischi connessi alle attività malevoli in corso nel cyberspazio ucraino, le misure di protezione che dovrebbero essere adottate in via prioritaria comprendono i seguenti ambiti:
- riduzione della superficie di attacco esterna;
- riduzione della superficie di attacco interna;
- controllo stringente degli accessi ai sistemi/servizi;
- monitoraggio dei log, del traffico di rete e delle attività effettuate dagli account di amministrazione;
- organizzazione interna per la preparazione e gestione delle crisi cibernetiche;
- pianificazione della revisione delle proprie infrastrutture IT in ottica Zero Trust;
- sostenere l’infosharing interno ed esterno.
L’organizzazione e la pianificazione
Tutte le organizzazioni sono state quindi invitate ad analizzare la propria struttura organizzativa verificando in primis l’adeguatezza del proprio piano interno di gestione di un incidente informatico d’impatto elevato.
Per fare ciò, è opportuno revisionare l’Incident response plan, il Disaster recovery plan e il Business continuity plan secondo un approccio Zero Trust in modo da innalzare il grado di resilienza di tutte le infrastrutture IT, con modelli che superino il concetto di perimetro di rete sicuro ed affidabile, prevedendo autorizzazioni e autenticazioni di ogni singolo accesso ai servizi IT, l’isolamento delle componenti di rete e riducendo il livello di esposizione esterno all’essenziale.
Potenziali vettori d’attacco da tenere sotto controllo
Ponendo sempre particolare attenzione nel rilevamento rapido di anomalie riscontrate nei sistemi di gestione e di networking interni (sistemi di gestione delle patch, di asset management, di gestione remota, di sicurezza, di logging, backup, file sharing e storage) per proteggersi da attività malevole provenienti dall’esterno del perimetro delle reti aziendali, gli esperti dello CSIRT raccomandano di puntare i riflettori del controllo sui possibili punti di accesso potenziali vettori per il rilascio di codice malevolo:
- le piattaforme di comunicazione pubbliche;
- l’invio di email di phishing e malspam;
- lo sfruttamento di vulnerabilità note;
- le campagne di tipo watering hole, tramite siti web creati ad hoc per il rilascio di malware.
L’importanza della condivisione delle informazioni
Lo CSIRT Italia, in considerazione del fatto che l’infosharing rappresenta uno strumento essenziale e indispensabile di protezione, esorta inoltre tutti i soggetti a condividere segnalazioni e ogni informazione ritenuta d’interesse al suo indirizzo e-mail info@csirt.gov.it.
In particolare, tutti gli operatori con infrastrutture digitali in connessione diretta con il cyberspazio ucraino (interconnessione tra i sistemi informativi, piattaforme software di cooperazione e condivisione di repository), possono contattare lo CSIRT dell’Agenzia per la Cybersicurezza Nazionale (ACN) allo specifico indirizzo e-mail csirt@alfacert.gov.it.
Si raccomanda, infine, di valutare l’implementazione sui propri apparati di sicurezza degli Indicatori di Compromissione (IoC) condivisi anche dall’avviso congiunto FBI/CISA relativi ai due principali malware distruttivi WhisperGate e HermeticWiper che hanno colpito l’Ucraina rispettivamente il 15.01.22 e il 23.02.22.
