Cybersecurity: come proteggersi dai rischi derivanti dal conflitto in Ucraina

Con l’inizio e l’inasprimento del conflitto tra Russia ed Ucraina è necessario un innalzamento dei livelli di guardia per quel che riguarda la cybersecurity. Come sappiamo, questo conflitto non è certamente ascrivibile ai soli territori coinvolti ma va anche oltre i confini europei. I paesi che stanno sanzionando la Russia sono pertanto vulnerabili ad attacchi provenienti proprio da quest’ultimo paese ed è fondamentale che si eviti ogni tipo di rischio. Oltretutto, la stessa Italia non è esattamente pronta per determinati tipi di attacco ed ora si ritrova nella condizione di dover innalzare barriere e seguire le best practices.

Lo Csirt (Computer Security Incident Response Team – Italia) ha diramato una serie di misure da intraprendere per aumentare le difese in caso di attacchi provenienti dai territori attualmente coinvolti nel conflitto. Innanzitutto, le minacce sono multi-fattore, pertanto è necessario fare attenzione ad email, piattaforme di condivisione, vulnerabilità già note dei vari sistemi utilizzati, siti malevoli ed attacchi DDoS.

Per quel che riguarda le policy interne, per CSIRT è necessario fare attenzione a vari asset fondamentali come quello di gestione delle patch e per la gestione remota oltre che ai sistemi antivirus e antispam, i sistemi interni di storage, logging e file sharing, gli apparati di rete ed i sistemi di gestione dominio.

Le misure prioritarie, adesso, per difendersi dai rischi derivanti dalla situazione Ucraina sono la riduzione delle superfici d’attacco interne ed esterne, monitoraggio stretto di accessi, log, traffico ed attività degli account admin, potenziare la capacità di comprendere i rischi mediante la formazione interna e, infine, organizzare le proprie strutture interne seguendo il principio Zero Trust. Per fare tutto ciò è necessario, andando per ordine, controllare le versioni installate ed il livello di patch applicate su tutti i sistemi esposti alla rete internet così come le loro regole firewall oltre alle corrette configurazioni. Una componente fondamentale di questa pratica è il corretto aggiornamento di tutti i sistemi che ne hanno la possibilità. È opportuno anche disabilitare le componenti ormai non più necessarie degli stessi asset e sincerarsi che le misure di sicurezza siano restrittive.

Per aggiornare i sistemi è necessario fare affidamento sempre e solo a fonti autorizzate, se ciò non sono disponibili sarà necessario percorrere altre strade. Per quel che riguarda la superficie d’attacco interna viene consigliata fondamentalmente una forte azione di formazione del personale, arma che si rende sempre più necessaria. Oltre a questo è importante segmentare la rete, verificare tutti gli accessi rimuovendo quelli non necessari e fortificare il sistema antispam.

Per gli accessi si continua a sottolineare l’importanza dei sistemi multi-fattore così come la creazione di regole molto stringenti per la creazione delle password. È auspicabile anche un controllo delle password per verificare che non figurino in alcun data breach noto. Tutti i soggetti a rischio dovranno analizzare attentamente il livello della propria infrastruttura testandone la resistenza in caso di attacco così come dovranno pianificare, se non l’hanno già fatto, strategie di Disaster Recovery e Business Continuity.

Tutte queste indicazioni potranno essere approfondite direttamente sui canali dello CSIRT Italia facendo clic sul link presente nelle fonti di questo articolo.

 

Fonte: 1