Qualche giorno fa CSIRT ha diramato una serie di consigli per aumentare la propria cybersecurity considerando i rischi derivanti dal conflitto in Ucraina. Focalizzandoci sui rischi che si corrono via email, che ricordiamo essere il vettore d’attacco maggiormente utilizzato rispetto ad altri, è interessante conoscere i consigli di Libra Esva per evitare al massimo i problemi.
Prima di iniziare ricordiamo che Libra Esva è un’azienda italiana che sin dalla sua nascita si è occupata della sicurezza delle email con le sue soluzioni antivirus e antispam riconosciute ormai internazionalmente come di altissimo livello. In base a questo, è molto utile scoprire quali sono le best practices diffuse dall’articolo del blog ufficiale dell’azienda.
La preoccupazione attuale è che i gruppi hacker più noti utilizzino questa situazione di crisi così come hanno fatto allo scoppio della pandemia di Covid19, approfittando dell’allerta per diffondere mail che, per la fretta, verranno prese per veritiere. Ciò di cui si è maggiormente preoccupati, tuttavia, sono le campagne mirate agli organi statali ed alle strutture critiche, spesso finanziate e foraggiate dagli stati avversari.
Per ridurre la vulnerabilità agli attacchi è possibile utilizzare lo strumento di Geo-Blocking, che consente di bloccare sempre la ricezione di email da indirizzi IP appartenenti ad alcuni stati. Chiaramente non è sufficiente, poiché gli hacker possono fare in modo di perpetrare le loro campagne anche passando da altri paesi ma, secondo Rodolfo Saccani di Libra Esva, questo aumento di operazioni rende anche l’attacco più passivo di rilevazione. È chiaro che le aziende con rapporti in paesi più a rischio non possano permettersi una pratica come il Geo-Blocking, ma per tutti gli altri può essere un primo filtro di protezione.
Dal lato degli hacker, bloccando gli IP di taluni paesi l’aggressore saprà subito che si sta applicando una protezione di questo tipo e potrebbe cambiare modalità di attacco. Inoltre il Geo-Blocking, come accennato, potrebbe far perdere anche molte mail lecite e magari importanti. È qui che entra in campo una seconda strategia, quella della quarantena.
Utilizzando questo metodo non verrà bloccata alcuna mail, si avranno informazioni sul traffico in entrata e non si forniranno comunque indicazioni agli attaccanti. Oltretutto questa strategia consente di mettere in quarantena sia le mail che hanno origine in alcuni paesi sia quelle che sono state inoltrate da quei paesi. In ultimo, la quarantena delle mail consente anche di lasciare la porta aperta ai mittenti che desideriamo, così che se dobbiamo ricevere mail da aziende presenti nei paesi a rischio possiamo fare passare solo quelle provenienti da determinati domini di posta. Alla luce di queste considerazioni su Geo Blocking e quarantena il CTO di Libra Esva consiglia più la seconda strategia, sebbene il blocco geografico possa essere comunque considerato valido in talune specifiche circostanze.
Fonte: 1