Con l’acuirsi delle attività malevole nello spazio cibernetico ucraino, il CSIRT Italia (Computer Security Incident Response Team) dell’Agenzia per la Cybersicurezza Nazionale ha pubblicato un importante avviso contenente le misure di protezione prioritarie da adottare da parte delle organizzazioni.
Queste attività malevole possono generare fenomeni di spillover al di fuori degli assetti direttamente oggetto delle campagne. I vettori principali per condurle dall’esterno del perimetro delle reti aziendali sono riferibili a:
– utilizzo di piattaforme di comunicazione pubbliche per il rilascio di codice malevolo;
– invio di e-mail di phishing contenenti allegati o link malevoli nel body delle email;
– file malevoli distribuiti tramite piattaforme di condivisione peer to peer;
– sfruttamento di vulnerabilità note nei sistemi internet facing;
– malware rilasciato tramite siti web appositamente creati o compromessi, ad esempio per campagna di watering hole;
– utilizzo di sistemi che possano essere utilizzati per amplificare l’effetto di attacchi DDoS volumetrici (e.g. LDAP e DNS non correttamente configurati).
In merito invece allo sfruttamento di asset interni alla rete, va posta particolare attenzione nel rilevamento rapido di anomalie riscontrate nei sistemi di gestione e di networking (in quanto gli stessi in caso di compromissione possono rappresentare dei facilitatori alle attività avversarie) quali:
– sistemi di gestione delle patch;
– sistemi di asset management;
– sistemi di gestione remota;
– sistemi di sicurezza (antivirus, firewall, etc);
– sistemi assegnati agli amministratori;
– sistemi centralizzati di logging, backup, file sharing, storage;
– sistemi per la gestione di un dominio (es. Active Directory, LDAP, etc)
– apparati di rete (router, switch).
Azioni di Mitigazione
Il CSIRT comunica che è necessario adottare, se non già fatto, misure di protezione prioritarie che abbraccino i seguenti ambiti:
- riduzione della superficie di attacco esterna
- riduzione della superficie di attacco interna
- controllo stringente degli accessi ai sistemi/servizi
- monitoraggio dei log, del traffico di rete e delle attività effettuate dagli account di amministrazione
- organizzazione interna per la preparazione e gestione delle crisi cibernetiche
- pianificazione della revisione delle proprie infrastrutture IT in ottica Zero Trust
- sostenere l’infosharing interno ed esterno.
Di seguito le raccomandazioni di dettaglio
Riduzione della superficie di attacco esterna
- eseguire l’asset management approfondito di tutti i sistemi direttamente o indirettamente esposti su Internet verificandone Sistema Operativo e software installato (e relativo patch level), servizi in esecuzione, task schedulati, regole di firewalling che ne consentono l’esposizione, sistemi di protezione (AV, EDR, WAF, HIPS, NIPS, Firewall, CDN, etc) e relativo livello di aggiornamento e corretta configurazione, disponibilità di tutto il necessario per la reinstallazione completa del sistema (golden image, codice sorgente, struttura database, etc);
- assicurarsi che su tutte le componenti di tali sistemi siano implementate le best practice più restrittive in termini di sicurezza, disabilitando inoltre tutte le funzionalità/pacchetti non necessari;
- eseguire la bonifica di tutti i record DNS non più utilizzati;
- implementare sui propri DNS autoritativi le seguenti misure: disabilitazione della ricorsività, limitazione della ricorsività ai soli client necessari, implementare il response rate limiting;
- verificare l’effettiva necessità di esposizione dei sistemi identificati e ove non necessario procedere alla rimozione degli stessi;
- procedere al patching di tutte le componenti identificate ponendo particolare attenzione ad utilizzare solo fonti verificate per il reperimento del software di aggiornamento;
- in caso non fosse possibile per limitazioni applicative l’attività di patching valutare la possibilità di disconnettere il servizio/asset, implementare sistemi di virtual patching, segregare in una DMZ dedicata le componenti non aggiornabili consentendo alle stesse esclusivamente le comunicazioni strettamente necessarie al funzionamento del servizio ospitato, innalzare al livello massimo le capacità di logging e monitoraggio di tali sistemi;
- verificare i flussi di comunicazione disponibili agli asset esposti, riducendoli alle sole comunicazioni essenziali ed innalzando il livello di logging e monitoraggio di tali flussi;
- inibire, se non strettamente necessario, il traffico in uscita degli assetti esposti su internet.
Riduzione della superficie di attacco interna
- verificare/implementare la segmentazione della rete assicurandosi che le regole di gestione del traffico client-to-server e server-to-server consentano esclusivamente traffico strettamente necessario al corretto funzionamento delle applicazioni assicurandosi che tali flussi siano definiti, documentati, approvati e monitorati;
- verificare/implementare una rete segregata per tutto il management degli apparati di rete, storage, infrastrutture di virtualizzazione;
- verificare tutti gli accessi alla rete Internet rimuovendo, ove possibile, quelli non strettamente necessari, e assicurandosi che offrano capacità di logging e di impostazione di regole di blocco del traffico;
- verificare che tutte le componenti della rete siano correttamente censite e gestite;
- irrobustire i controlli effettuati dai sistemi antispam per ridurre la consegna di possibili email di phishing;
- eseguire sessioni interne di istruzione per il proprio personale in particolare evidenziando i rischi connessi all’apertura di file e link ricevuti tramite sistemi di posta elettronica, sms, instant messaging.
Controllo degli accessi
- implementare l’autenticazione multifattoriale per i servizi esterni ed interni;
- verificare/implementare la password policy (min. 12 caratteri alfanumerici, maiuscole minuscole, caratteri speciali), e la lockdown policy, verificando inoltre che le password inserite non siano contenute in databreach pubblici (es. utilizzando il servizio HIBP) e valutando l’opportunità di forzare un reset password complessivo per tutta l’utenza;
- rimuovere le autorizzazioni legate a gruppi generici (es. Everyone, Domain Users, Autenticated Users) assicurandosi che ogni utente appartenga al corretto gruppo autorizzativo;
- assicurarsi che venga utilizzato un account di servizio dedicato per ogni differente servizio e che questi siano correttamente documentati;
- ridurre i permessi concessi agli account di servizio al livello minimo necessario al corretto funzionamento delle applicazioni, rimuovendo ove possibile le autorizzazioni al logon locale e interattivo, l’accesso alle share di rete o a dati critici non necessari;
- testare con cadenza periodica (in dipendenza in particolare dalla specifica profondità temporale) la funzionalità dei backup.
Monitoraggio
- innalzare i livelli di monitoraggio in particolare per gli account dotati di privilegi amministrativi e per gli account di servizio, verificando con attenzione i log relativi ai login con successo/falliti, all’accesso alle share di rete, ai logon interattivi e di rete effettuati tramite sessione remota;
- monitorare i flussi di rete identificando connessioni effettuate verso porte non previste dalle applicazioni;
- monitorare gli eventi che possono rappresentare attività di scansione o di enumerazione;
- assicurarsi che i sistemi di logging e raccolta degli stessi siano sempre adeguati in caso di modifiche architetturali e che coprano tutti i sistemi presenti sulla rete;
- identificare e innalzare il livello di monitoraggio delle componenti di rete/servizio che possono rappresentare punti di snodo per il passaggio tra segmenti differenti;
- monitorare le proprie reti utilizzando tutti gli indicatori di compromissione disponibili.
“I soggetti e le organizzazioni sono inviati ad analizzare la propria struttura organizzativa nell’ottica di verificare che sia adeguata alla preparazione e gestione di un incidente informatico di impatto elevato sulla propria operatività, da tutti i punti di vista, sia tecnologico, sia di business.
Oltre alla revisione dei propri piani interni relativi alla gestione degli incidenti informatici (es. Incident response plan) e alla continuità operativa (es. Disaster recovery plan, Business continuity plan), si consiglia, ove già non in essere, l’avvio di un percorso di revisione delle proprie infrastrutture IT che porti all’adozione di paradigmi Zero Trust in grado di innalzare in maniera sensibile la resilienza delle stesse”, concludono gli esperti.
