(ovvero “LA CYBERSICUREZZA SPIEGATA A MIA NONNA)
Il conflitto ucraino-russo, purtroppo, ci coinvolge pesantemente per quanto riguarda la guerra cibernetica in atto.
Gli attacchi informatici, in Italia, sono in forte e continuo aumento in particolar modo da un mese prima del conflitto sul campo.
Anche se non gestiamo, nel nostro sistema, dati che possano essere ritenuti importanti, non siamo esenti da attacchi informatici che ci possono creare danni importanti.
Gli attacchi hacker sono in continua ricerca di sistemi poco protetti indipendentemente dai dati gestiti dagli stessi.
Un sistema poco protetto è un ottimo “ponte” per sferrare attacchi a siti istituzionali e commerciali, bersagli sensibili come obiettivi cyber-bellici.
La conseguenza naturale ad un attacco sferrato da un ignaro sistema informatico non protetto è che tale sistema risulta correo dell’attacco sferrato ad obiettivi sensibili e soggetto a visite (inaspettate e poco gradite) della polizia postale o di altro organismo di indagine.
Il sistema informatico poco protetto che gestisce invece dati importanti per l’azienda è soggetto, oltre a ciò sopra descritto, anche alle richieste di riscatto di un attacco ransomware, con cui i gruppi di hacker in guerra tra loro si autofinanziano.
Di seguito sintetizziamo e spieghiamo in parole semplici le azioni che sono raccomandate.
MISURE ORGANIZZATIVE/PROCEDURALI:
1 – Verifica della consistenza e disponibilità offline dei backup necessari Implementare, oltre che ad un sistema di copie di backup in locale, anche un sistema di copie in cloud dei dati più importanti
2 – Identificazione dei flussi informativi
Identificare, anche tramite procedure documentate, come e dove vanno le informazioni aziendali. L’attenzione deve essere posta sia alle informazioni digitali che a quelle cartacee.
3 – Implementazione di una zona DMZ
La zona DMZ (Demilitarized Zone) è quella “zona cuscinetto” messa a protezione della rete interna che impedisce un accesso diretto da Internet verso programmi e servizi aziendali.
La DMZ viene implementata proprio per far sì che un eventuale attacco da esterno limiti la propria azione alla stessa e non penetri all’interno. Se l’azienda opera con commercio elettronico B2B o B2C è opportuno che il sito e-commerce e i dati relativi siano ospitati in una zona DMZ.
4 – Applicazione del principio di privilegio minimo
Evitare di dare agli utenti permessi di accesso alle informazioni superiori a quelle necessarie. Specialmente quando questi utenti hanno la possibilità di accesso da remoto.
5 – Incremento delle attività di monitoraggio e logging
Monitorare, anche attraverso l’ausilio di software e/o servizi specifici, chi, quando e come ha effettuato un accesso al sistema informativo e le operazioni che ha effettuato dopo tale accesso.
6 – Aggiornamento dei piani di gestione degli incidenti cyber
Aggiornare il Piano di Continuità e Resilienza con le procedure di attenuazione del rischio e il registro degli eventi riguardanti gli incidenti informatici.
7 – Creazione, aggiornamento, mantenimento di un piano di continuità operativa e resilienza
Attivare ed aggiornare il registro degli eventi in caso di perdita di accesso o di controllo in ambiente informatico e/o operativo.
8 – Designazione di un team di risposta alle crisi
Designare i responsabili e assegnare i compiti per chi dovrà agire, in caso di incidente, secondo le procedure scrivendo su apposito registro gli eventi avversi.
9 – Assicurare la disponibilità del personale chiave, identificare i mezzi necessari a fornire un supporto immediato per la risposta agli incidenti.
10 – Esercitare il personale nella risposta agli incidenti informatici
Le esercitazioni del personale vanno fatte in ambito della formazione continua del personale.
11 – Prestare particolare attenzione alla protezione degli ambienti cloud
Al momento che vengono trasferite informazioni importanti su cloud, verificarne il grado di protezione ed utilizzare tutti i controlli di sicurezza resi disponibili dal fornitore di servizi cloud.
12 – Incrementare le attività di info-sharing con le strutture di sicurezza informatica
Condividere le informazioni necessarie alla sicurezza IT con i propri fornitori di servizi IT.
MISURE TECNICHE:
1 – Dare priorità alle attività di patching dei sistemi internet-facing
Aggiornare e tenere aggiornati i sistemi e i programmi che si collegano, anche saltuariamente, ad Internet.
2 – Verifica delle interconnessioni tra la rete IT e le reti OT
La Tecnologia dell’Informazione (IT) controlla i dati; la Tecnologia Operativa (OT) controlla le apparecchiature. Se in passato le due tecnologie non avevano contatti, con l’avvento della “ Internet Of Things” (IoT o, tradotto, Internet delle Cose) questi contatti sono frequenti (ad esempio il controllo del riscaldamento da smartphone, il controllo delle telecamere di sorveglianza ecc.) e sono “cavalli di Troia” molto apprezzati dagli hacker per entrare nella rete aziendale e prenderne il controllo.
È necessario verificare l’integrità e la sicurezza delle interconnessioni tra queste due reti.
3 – Monitoraggio degli account di servizio e degli account amministrativi
Tutti gli account devono essere monitorati negli accessi al sistema e alle procedure.
4 – Monitoraggio dei Domain Controller
Monitoraggio del server di dominio, cioè il server che permette di accedere ai dati dell’utente da qualunque pc della rete.
5 – Ricerca di processi e/o esecuzione di programmi da linea di comando che potrebbero indicare il dump di credenziali
Ricerca di processi e/o programmi in grado di poter intercettare e copiare le credenziali di accesso al sistema.
6 – Monitoraggio dell’installazione di software di trasferimento
Verificare se nella rete sono installati (senza motivo) software di trasferimento (come ad esempio FileZilla) o di archiviazione su cloud (ad esempio Rclone).
7 – Monitoraggio del traffico di rete analizzando picchi anomali nella connettività di rete in uscita
Controllare o far controllare regolarmente dal proprio fornitore di servizi IT il traffico rete in uscita e in ingresso dai dispositivi di collegamento tra rete interna ed esterna (firewall e router).
8 – Dare priorità alle analisi a seguito di individuazione di codice malevolo
Se viene trovato software malevolo nel sistema informatico, non procrastinare l’analisi del perché è nel sistema e la messa in sicurezza del sistema stesso.
9 – Assicurarsi che tutti gli accessi remoti richiedano l’autenticazione a più fattori (MFA)
Tutti gli accessi da esterno devono richiedere non solo la password ma anche un altro fattore di autenticazione, ad es. il codice tramite SMS.