Come affermano da tempo gli esperti di cyber security e di Difesa, oggi qualsiasi conflitto fra due nazioni diventa anche un conflitto digitale. La guerra tra Ucraina e Russia non fa ovviamente eccezione. E il rischio, per le imprese della nazioni anche non direttamente coinvolte, è diventare vittime collaterali di campagne di hacking ostile, poco importa da quale lato della barricata digitale queste vengano lanciate.

Lo CSIRT italiano parla in questo senso di "fenomeni di spillover": la possibilità che azioni digitali malevole colpiscano anche al di fuori del raggio d'azione ideale, e persino voluto. Per questo gli esperti indicano di prestare attenzione ai vettori principali che permettono a queste azioni di penetrare il perimetro delle reti aziendali. Si tratta tra l'altro delle piattaforme di comunicazione pubbliche e delle reti P2P, che potrebbero veicolare codice malevolo, come anche della classica posta elettronica (per email di phishing), per arrivare a siti web appositamente creati o compromessi per azioni di "watering hole".

Le vulnerabilità possono essere anche all'interno della rete. Quindi lo CSIRT consiglia di sfruttare i sistemi e le soluzioni che permettono di rilevare rapidamente anomalie nei sistemi di gestione e di networking. Anomalie che possono essere indicatori di compromissione. Soprattutto, le aziende dovrebbero mettere in atto misure di protezione che possono ridurre i rischi di una violazione della rete. O perlomeno ridurre le conseguenze di un attacco eventualmente riuscito. Lo CSIRT classifica queste azioni in quattro ambiti principali.

Primo passo: la riduzione della superficie di attacco esterna. Rientra in questo ambito innanzitutto la valutazione dell'esistente: un buon asset management dei sistemi direttamente o indirettamente esposti su Internet e del loro stato di protezione e di patching. Bisogna poi assicurarsi che su tutte le componenti di tali sistemi siano implementate le best practice più restrittive in termini di sicurezza. Verificando tra l'altro se è proprio necessario che i sistemi esposti lo siano, altrimenti è meglio "chiuderli".

Altre operazioni consigliate: procedere al patching di tutte le componenti identificate (e occhio alle fonti delle patch), segregare in una DMZ dedicata le componenti non aggiornabili, ridurre le comunicazioni in rete degli asset esposti solo a quelle essenziali, se possibile inibire il loro traffico in uscita.

Tra dentro e fuori la rete

Secondo passo: la riduzione della superficie di attacco interna. Qui, in estrema sintesi, l'obiettivo è non lasciare metaforicamente aperte le porte anche all'interno della propria abitazione. Se qualcuno vi entra, non deve essere possibile che si muova poi liberamente. Quindi in primis implementare la segmentazione della rete, permettere solo il traffico dati strettamente necessario, porre in una rete segregata tutto il traffico di management dei device e nodi di rete.

È importante poi che tutti i flussi di traffico siano definiti, documentati, approvati, monitorati. Ovviamente, chiudere le porte da/verso l'esterno: verificare tutti gli accessi a Internet rimuovendo quelli non strettamente necessari. Per quelli che lo sono, attivare funzioni di logging e impostare opportune regole di blocco del traffico.

Le altre due fasi chiave della difesa preventiva sono il controllo degli accessi e il monitoraggio. C'è ad esempio ancora qualcuno che non usa l’autenticazione multifattoriale? Allora è il momento di adottarla. E, per tutti, di adottare una policy per le password davvero solida, se necessario valutando l’opportunità di forzare un reset password complessivo per tutta l’utenza. È anche il momento per rivedere tutta la propria gestione dei privilegi, che spesso è sin troppo di manica larga. Gli account di servizio - sì, anche quelli dei digital worker - devono avere i privilegi al livello minimo necessario.

Inoltre, meglio rimuovere le autorizzazioni legate a gruppi generici e assicurarsi che venga utilizzato un account di servizio dedicato per ogni differente servizio di rete. In generale, meglio valutare quanto la maggiore comodità degli utenti nell'utilizzare servizi e risorse condivise sia un pericolo per la sicurezza. Meglio un login automatico in meno che una breccia in più.

Lato monitoraggio, tutto quello che accade o circola in rete deve essere controllato, alla ricerca di comportamenti sospetti. Ad esempio troppi login falliti, accessi anomali alle risorse di rete, connessioni verso porte non previste dalle applicazioni, eventi che possono rappresentare attività di scansione della rete alla ricrca di vulnerabilità.

Certo, tutto questo è possibile se i sistemi di logging sono adeguati - se non lo sono, è il momento di aggiornarli - e se si conoscono gli indicatori di compromissione da cercare. E qui possono aiutare servizi esterni di informazione, alerting, threat hunting. E ovviamente un costante aggiornamento interno. Gli strumenti non mancano.

Lo CSIRT sottolinea che per difendersi è necessario anche organizzarsi, pianificare, condividere informazioni. La nostra struttura organizzativa è adeguata a gestire un incidente informatico di impatto elevato? Abbiamo procedure di business continuity? I backup funzionano davvero? Già che stiamo lavorando per conoscerci meglio, perché non cominciare ad adottare un approccio Zero Trust?

Infine, se si scopre qualcosa è davvero opportuno comunicarlo a tutti gli altri. Eventuali attacchi e brecce non sono una vergogna o panni sporchi da lavare in casa: "la condivisione delle informazioni rappresenta un moltiplicatore importante in termini di protezione dello spazio cibernetico", sottolinea lo CSIRT.