Dopo gli allarmi dei giorni scorsi, un nuovo post del CSIRT (Computer Security Incident Response Team) dell’Agenzia per la Cybersicurezza Nazionale contiene un nuovo importante avviso. “L’acuirsi delle attività malevole nello spazio cibernetico“, spiega, “incrementa la possibilità che le stesse possano generare fenomeni di spillover al di fuori degli assetti direttamente oggetto delle campagne“.
L’avviso è un vero e proprio vademecum per le aziende italiane, soprattutto quelle maggiormente esposte ai mercati esteri o più importanti dal punto di vista strategico, affinché si eviti di prestare il fianco ad uno sciame di cyberattacchi che si dà ormai per scontato. Gli esperti ammoniscono però anche il mondo delle PMI perché, in virtù di minori esperienze interne e minori fondi da poter investire su questo fronte, si rischia di veder esposto ai pericoli un intero tessuto produttivo o intere filiere. Occorre invece blindare le aziende e l’economia attraverso azioni precise che l’Agenzia per la Cybersicurezza ha ben descritto in questo nuovo bollettino partorito nelle ore stesse della concertazione tra Ucraina e Russia.
CSIRT: come innalzare la postura difensiva
Lo CSIRT parla di “innalzare la postura difensiva” e spiega questo concetto in modo dettagliato. Anzitutto vengono elencati i principali vettori utilizzati per condurre attività malevole dall’esterno del perimetro delle reti aziendali:
- utilizzo di piattaforme di comunicazione pubbliche per il rilascio di codice malevolo;
- invio di email di phishing contenenti allegati o link malevoli nel body delle email;
- file malevoli distribuiti tramite piattaforme di condivisione peer-to-peer;
- sfruttamento di vulnerabilità note nei sistemi internet-facing;
- malware rilasciato tramite siti web appositamente creati o compromessi, ad esempio per campagna di watering-hole;
- utilizzo di sistemi che possano essere utilizzati per amplificare l’effetto di attacchi DDoS volumetrici (e.g. LDAP e DNS non correttamente configurati).
Per quanto concernente gli asset interni alla rete, invece, occorrerà prestare massima attenzione ad eventuali anomalie riscontrate in:
- sistemi di gestione delle patch;
- sistemi di asset management;
- sistemi di gestione remota;
- sistemi di sicurezza (antivirus, firewall, etc);
- sistemi assegnati agli amministratori;
- sistemi centralizzati di logging, backup, file sharing, storage;
- sistemi per la gestione di un dominio (es. Active Directory, LDAP, etc);
- apparati di rete (router, switch).
Come mitigare i pericoli
Queste le azioni di mitigazione suggerite:
- riduzione della superficie di attacco esterna
- eseguire l’asset management approfondito di tutti i sistemi direttamente o indirettamente esposti su Internet verificandone Sistema Operativo e software installato (e relativo patch-level), servizi in esecuzione, task schedulati, regole di firewalling che ne consentono l’esposizione, sistemi di protezione (AV, EDR, WAF, HIPS, NIPS, Firewall, CDN, etc) e relativo livello di aggiornamento e corretta configurazione, disponibilità di tutto il necessario per la reinstallazione completa del sistema (golden-image, codice sorgente, struttura database, etc);
- assicurarsi che su tutte le componenti di tali sistemi siano implementate le best-practice più restrittive in termini di sicurezza, disabilitando inoltre tutte le funzionalità/pacchetti non necessari;
- eseguire la bonifica di tutti i record DNS non più utilizzati;
- implementare sui propri DNS autoritativi le seguenti misure: disabilitazione della ricorsività, limitazione della ricorsività ai soli client necessari, implementare il response rate limiting;
- verificare l’effettiva necessità di esposizione dei sistemi identificati e ove non necessario procedere alla rimozione degli stessi;
procedere al patching di tutte le componenti identificate ponendo particolare attenzione ad utilizzare solo fonti verificate per il reperimento del software di aggiornamento; - in caso non fosse possibile per limitazioni applicative l’attività di patching valutare la possibilità di disconnettere il servizio/asset, implementare sistemi di virtual patching, segregare in una DMZ dedicata le componenti non aggiornabili consentendo alle stesse esclusivamente le comunicazioni strettamente necessarie al funzionamento del servizio ospitato, innalzare al livello massimo le capacità di logging e monitoraggio di tali sistemi;
- verificare i flussi di comunicazione disponibili agli asset esposti, riducendoli alle sole comunicazioni essenziali ed innalzando il livello di logging e monitoraggio di tali flussi;
- inibire, se non strettamente necessario, il traffico in uscita degli assetti esposti su internet.
- riduzione della superficie di attacco interna
- verificare/implementare la segmentazione della rete assicurandosi che le regole di gestione del traffico client-to-server e server-to-server consentano esclusivamente traffico strettamente necessario al corretto funzionamento delle applicazioni assicurandosi che tali flussi siano definiti, documentati, approvati e monitorati;
- verificare/implementare una rete segregata per tutto il management degli apparati di rete, storage, infrastrutture di virtualizzazione;
- verificare tutti gli accessi alla rete Internet rimuovendo, ove possibile, quelli non strettamente necessari, e assicurandosi che offrano capacità di logging e di impostazione di regole di blocco del traffico;
- verificare che tutte le componenti della rete siano correttamente censite e gestite;
- irrobustire i controlli effettuati dai sistemi antispam per ridurre la consegna di possibili email di phishing;
- eseguire sessioni interne di istruzione per il proprio personale in particolare evidenziando i rischi connessi all’apertura di file e link ricevuti tramite sistemi di posta elettronica, sms, instant messaging.
- controllo stringente degli accessi ai sistemi/servizi
- implementare l’autenticazione multifattoriale per i servizi esterni ed interni;
- verificare/implementare la password policy (min. 12 caratteri alfanumerici, maiuscole minuscole, caratteri speciali), e la lockdown policy, verificando inoltre che le password inserite non siano contenute in databreach pubblici (es. utilizzando il servizio HIBP) e valutando l’opportunità di forzare un reset password complessivo per tutta l’utenza;
- rimuovere le autorizzazioni legate a gruppi generici (es. Everyone, Domain Users, Autenticated Users) assicurandosi che ogni utente appartenga al corretto gruppo autorizzativo;
- assicurarsi che venga utilizzato un account di servizio dedicato per ogni differente servizio e che questi siano correttamente documentati;
- ridurre i permessi concessi agli account di servizio al livello minimo necessario al corretto funzionamento delle applicazioni, rimuovendo ove possibile le autorizzazioni al logon locale e interattivo, l’accesso alle share di rete o a dati critici non necessari;
- testare con cadenza periodica (in dipendenza in particolare dalla specifica profondità temporale) la funzionalità dei backup.
- monitoraggio dei log, del traffico di rete e delle attività effettuate dagli account di amministrazione
- innalzare i livelli di monitoraggio in particolare per gli account dotati di privilegi amministrativi e per gli account di servizio, verificando con attenzione i log relativi ai login con successo/falliti, all’accesso alle share di rete, ai logon interattivi e di rete effettuati tramite sessione remota;
- monitorare i flussi di rete identificando connessioni effettuate verso porte non previste dalle applicazioni;
- monitorare gli eventi che possono rappresentare attività di scansione o di enumerazione;
- assicurarsi che i sistemi di logging e raccolta degli stessi siano sempre adeguati in caso di modifiche architetturali e che coprano tutti i sistemi presenti sulla rete;
- identificare e innalzare il livello di monitoraggio delle componenti di rete/servizio che possono rappresentare punti di snodo per il passaggio tra segmenti differenti;
- monitorare le proprie reti utilizzando tutti gli indicatori di compromissione disponibili.
- organizzazione interna per la preparazione e gestione delle crisi cibernetiche: “I soggetti e le organizzazioni sono inviati ad analizzare la propria struttura organizzativa nell’ottica di verificare che sia adeguata alla preparazione e gestione di un incidente informatico di impatto elevato sulla propria operatività, da tutti i punti di vista, sia tecnologico, sia di business“;
- pianificazione della revisione delle proprie infrastrutture IT in ottica Zero-Trust: “Oltre alla revisione dei propri piani interni relativi alla gestione degli incidenti informatici (es. Incident response plan) e alla continuità operativa (es. Disaster recovery plan, Business continuity plan), si consiglia, ove già non in essere, l’avvio di un percorso di revisione delle proprie infrastrutture IT che porti all’adozione di paradigmi Zero-Trust in grado di innalzare in maniera sensibile la resilienza delle stesse“;
- sostenere l’infosharing interno ed esterno.
Quest’ultimo punto è cruciale soprattutto in ottica nazionale, poiché comporta una interconnessione comunicativa che permette di condividere pericoli e best practice, individuando eventuali focolai (triste parola che tornerà ricorrente in questo nuovo contesto) e calmierandone la portata. a tal fine lo CSIRT ricorda che “La condivisione delle informazioni rappresenta un moltiplicatore importante in termini di protezione dello spazio cibernetico e pertanto si invitano tutti i soggetti a monitorare i canali istituzionali dello CSIRT Italia e a condividere con lo stesso tramite i moduli di segnalazione e la mail info@csirt.gov.it ogni informazione ritenuta d’interesse“.