ݺߣ

ݺߣShare a Scribd company logo

Infografica - Misure di protezione CSIRT contro rischi di cyber derivanti dal conflitto tra Russia e Ucraina

Giulio Coraggio
Giulio Coraggio

Il tragico conflitto tra Russia e Ucraina è anche un conflitto cyber che ha fatto aumentare il cyber rischio rispetto al quale il CSIRT ha dato indicazioni riassunte in questa infografica in stile legal design. E' delle ultime ore la notizia che Anonymous, il movimento decentralizzato di hacktivismo, ha preso di mira i siti governativi e le TV russe quale parte del devastante conflitto tra Russia ed Ucraina che è attualmente in corso. Tuttavia, esiste un cyber rischio anche per enti, organizzazioni ed aziende che intrattengono rapporti con soggetti ucraini e con i quali siano in essere interconnessioni telematiche (e.g., connessioni B2B, utenze presso reti ucraine e viceversa, condivisione di repository o piattaforme collaborative). Per agevolare le aziende in questa situazione di difficoltà le esperte di legal design dello studio legale DLA Piper, Deborah Paracchini ed Enila Elezi, hanno riassunto in questa infografica le indicazioni fornite dal CSRIT, il Computer Security Incident Response Team - Italia.

1 of 6
Download to read offline
Allarme attacchi informatici e misure di sicurezza da adottare per proteggersi dai rischi cyber Russia vs Ucraina
Il rischio di guerra cyber: il malware HermeticWiper RISCHIO: Il CSIRT ha evidenziato il rischio cyber per le infrastrutture tecnologiche interconnesse con il cyberspazio ucraino (ad esempio, in caso di connessioni B2B, utenze presso reti ucraine e viceversa, condivisione di repository o piattaforme collaborative). www.dlapiper.com SOLUZIONE: Per questo motivo l'Agenzia per la cybersicurezza nazionale, raccomanda fortemente di adottare misure di difesa cibernetica alte e massimi controlli interni per la protezione delle proprie infrastrutture digitali. ATTENZIONE: è stato diffuso HermeticWiper (o KillDisk.NCV), un malware di tipo wiper denominato che può distruggere intenzionalmente i dati sui dispositivi per renderli irrecuperabili, minando il corretto funzionamento del sistema operativo in esecuzione.
Misure organizzative e procedurali raccomandate Designazione di un team di risposta alle crisi all'interno dell'organizzazione, assicurando la disponibilità del personale chiave e dei mezzi necessari a fornire un supporto immediato per la risposta agli incidenti. Identificazione degli asset critici per lo svolgimento delle principali attività (e.g. processi di business) e implementazione di una zona demilitarizzata (demilitarized zone – DMZ) per le connettività B2B. Identificazione dei flussi informativi e delle componenti direttamente interconnesse con partner e/o localizzate presso reti ucraine.
Misure organizzative e procedurali raccomandate Incremento delle attività di monitoraggio e logging, nonché applicazione del principio di privilegio minimo (least privilege) per i sistemi con relazioni di trust e/o con la possibilità di accesso da remoto. Attenzione alla protezione degli ambienti cloud in caso di trasferimento di file rilevanti. Si raccomanda l'incremento delle attività di info-sharing con le strutture di sicurezza informatica con particolare riferimento allo CSIRT. Aggiornamento dei piani di gestione degli incidenti cyber, mantenimento ed esercizio periodico di capacità di incident response, di un piano di continuità operativa e resilienza, anche verificando la consistenza e la disponibilità offline dei backup necessari al rispristino dei servizi di core business.
Misure tecniche raccomandate Monitoraggio degli account e dei Domain Controller (in particolare gli eventi Kerberos TGS - ticket-granting service), per rilevare eventuali attività anomale e adozione di programmi per individuare il dump di credenziali. Prioritizzazione delle attività di (a) patching dei sistemi internet-facing, nonché di (b) analisi in caso di individuazione di codice malevolo (es. Cobalt Strike e webshell). Verifica delle interconnessioni tra la rete IT e le reti OT prediligendo la massima segregazione possibile tra le stesse.
Misure tecniche raccomandate Autenticazione a più fattori (MFA) per i servizi VPN e i portali aziendali rivolti verso l'esterno (extranet), nonché per l'accesso alla posta elettronica. Monitoraggio del traffico di rete analizzando picchi anomali di connettività in uscita, in particolare verso destinazioni inusuali quali provider VPS e VPN, nonché la rete TOR. Monitoraggio dell'installazione di software di trasferimento file quali FileZilla e rclone, nonché dei processi associati agli strumenti di compressione o archiviazione.

More Related Content

Infografica - Misure di protezione CSIRT contro rischi di cyber derivanti dal conflitto tra Russia e Ucraina

  • 1. Allarme attacchi informatici e misure di sicurezza da adottare per proteggersi dai rischi cyber Russia vs Ucraina
  • 2. Il rischio di guerra cyber: il malware HermeticWiper RISCHIO: Il CSIRT ha evidenziato il rischio cyber per le infrastrutture tecnologiche interconnesse con il cyberspazio ucraino (ad esempio, in caso di connessioni B2B, utenze presso reti ucraine e viceversa, condivisione di repository o piattaforme collaborative). www.dlapiper.com SOLUZIONE: Per questo motivo l'Agenzia per la cybersicurezza nazionale, raccomanda fortemente di adottare misure di difesa cibernetica alte e massimi controlli interni per la protezione delle proprie infrastrutture digitali. ATTENZIONE: è stato diffuso HermeticWiper (o KillDisk.NCV), un malware di tipo wiper denominato che può distruggere intenzionalmente i dati sui dispositivi per renderli irrecuperabili, minando il corretto funzionamento del sistema operativo in esecuzione.
  • 3. Misure organizzative e procedurali raccomandate Designazione di un team di risposta alle crisi all'interno dell'organizzazione, assicurando la disponibilità del personale chiave e dei mezzi necessari a fornire un supporto immediato per la risposta agli incidenti. Identificazione degli asset critici per lo svolgimento delle principali attività (e.g. processi di business) e implementazione di una zona demilitarizzata (demilitarized zone – DMZ) per le connettività B2B. Identificazione dei flussi informativi e delle componenti direttamente interconnesse con partner e/o localizzate presso reti ucraine.
  • 4. Misure organizzative e procedurali raccomandate Incremento delle attività di monitoraggio e logging, nonché applicazione del principio di privilegio minimo (least privilege) per i sistemi con relazioni di trust e/o con la possibilità di accesso da remoto. Attenzione alla protezione degli ambienti cloud in caso di trasferimento di file rilevanti. Si raccomanda l'incremento delle attività di info-sharing con le strutture di sicurezza informatica con particolare riferimento allo CSIRT. Aggiornamento dei piani di gestione degli incidenti cyber, mantenimento ed esercizio periodico di capacità di incident response, di un piano di continuità operativa e resilienza, anche verificando la consistenza e la disponibilità offline dei backup necessari al rispristino dei servizi di core business.
  • 5. Misure tecniche raccomandate Monitoraggio degli account e dei Domain Controller (in particolare gli eventi Kerberos TGS - ticket-granting service), per rilevare eventuali attività anomale e adozione di programmi per individuare il dump di credenziali. Prioritizzazione delle attività di (a) patching dei sistemi internet-facing, nonché di (b) analisi in caso di individuazione di codice malevolo (es. Cobalt Strike e webshell). Verifica delle interconnessioni tra la rete IT e le reti OT prediligendo la massima segregazione possibile tra le stesse.
  • 6. Misure tecniche raccomandate Autenticazione a più fattori (MFA) per i servizi VPN e i portali aziendali rivolti verso l'esterno (extranet), nonché per l'accesso alla posta elettronica. Monitoraggio del traffico di rete analizzando picchi anomali di connettività in uscita, in particolare verso destinazioni inusuali quali provider VPS e VPN, nonché la rete TOR. Monitoraggio dell'installazione di software di trasferimento file quali FileZilla e rclone, nonché dei processi associati agli strumenti di compressione o archiviazione.