Red Hot Cyber

Sicurezza informatica, cybercrime, hack
news, e altro ancora
  • English

10 azioni per rendere la tua azienda cyber sicura: la guida di RHC.

Autore: Pietro di Maria e Olivia Terragni
Data Pubblicazione: 08/03/2022

Nelle ultime settimane l’attività informatica in rete – a causa del conflitto Russia-Ucraina –  è aumentata in modo notevole. Negli ultimi anni gli attacchi ransomware hanno fatto salire l’Italia al terzo posto delle nazioni più attaccate dai cybercriminali, ma è anche vero che le minacce variano nel tempo e spesso in modo del tutto inaspettato.

Per questo motivo dobbiamo imparare a proteggere la nostra organizzazione e i nostri sistemi. 

Come abbiamo visto, una serie di attacchi  DDoS (Distributed Denial of Service) al governo ucraino – a partire dal 15 febbraio – sono continuati nel tempo, colpendo anche le istituzioni bancarie. Il 23 febbraio invece è stata scoperto il nuovo malware HermeticWiper, e infine le attività malevole hanno riguardato anche la deturpazione (defacement) dei siti web.

Advertisements

Diversi governi – tra cui anche l’Italia – stanno avvisando tramite varie raccomandazioni i loro cittadini perché si preparino ad attacchi informatici che potrebbero interrompere, disabilitare o distruggere infrastrutture critiche, e attacchi rappresaglia a causa delle misure politiche contro la guerra in corso.

Ci troviamo quindi in uno stato di allerta sempre maggiore, dove dobbiamo preparaci a reagire in modo proattivo a qualsiasi problema che si possa verificare, che è infine il comportamento giusto che dovremmo tenere sempre a causa di una criminalità in aumento sul web. Come?

  • dando priorità alle implementazioni che riguardano sicurezza informatica;
  • aumentando il livello di sicurezza informatica;
  • utilizzando i migliori strumenti per prevenire un attacco informatico;
  • gestendo nel migliore dei modi un attacco informatico qualora avvenga.

Per aiutarvi abbiamo preparato una guida, passo per passo, per orientarvi alla difesa dei vostri sistemi e dei dati della vostre aziende ed organizzazioni di ogni dimensione ed in ogni settore.  

I Fattori che condizionano e influenzano il tuo rischio informatico

Le tensioni geopolitiche di questi giorni, l’hackitivismo che è aumentato in modo esponenziale e la continua presenza di criminali che agiscono solo a proprio beneficio, sono la base da cui partire per comprendere come sia necessario tutelarsi e rispondere in modo proattivo a questi eventi.

Advertisements

Sebbene le minacce informatiche siano una lotta continua, queste possono essere prevenute entrando a conoscenza dei vari tipi di protocolli, exploit, strumenti e risorse utilizzati proprio dai vari attori malintenzionati. Ad esempio: è disponibile una vulnerabilità zero-day in un servizio ampiamente utilizzato che gli attaccanti stanno sfruttando?

È raro infatti che un’organizzazione sia in grado di influenzare il livello o il rischio della stessa minaccia, oppure capire di che tipo di attacco sarà o da dove arriverà, quindi bisogna agire proprio sulla riduzione dello spazio di esposizione e sulla riduzione della vulnerabilità in primo luogo e in secondo, alla riduzione dell’impatto di un attacco riuscito. 

Anche gli aggressori più sofisticati e determinati usano vulnerabilità note, configurazioni errate o attacchi alle credenziali (come il tentativo di usare password violate o il riutilizzo di token di autenticazione).

Ridurre la possibilità agli attaccanti di utilizzare le tecniche più note può ridurre il rischio informatico per la vostra organizzazione.

Advertisements

Le 10 azioni e le regole di routine per la tua sicurezza

La prima cosa da fare è assicurarsi che i sistemi rivolti alla sicurezza siano aggiornati e funzionanti così che possano proteggere i dispositivi, le reti e i sistemi. Seconda cosa intraprendete azioni regolari di buona igiene informatica per mantenere integra la sicurezza di hardware e software: aggiornate i sistemi operativi, i software, l’antivirus, operare un regolare backup dei dati su dischi rigidi disconnessi dalla rete e di archiviazione su cloud. 

1 – Controllare le patch di sistema

  • Assicuratevi che i vostri server, desktop, laptop e i dispositivi mobili siano tutti dotati di patch, compresi i software di terze parti come i browser e le suite di produttività per ufficio. Se possibile, attivate gli aggiornamenti automatici;
  • Controllate che anche il firmware dei dispositivi della vostra organizzazione sia protetto da patch. A volte questo viene implementato in un modo diverso dall’aggiornamento del software;
  • Assicuratevi che i vostri servizi esposti su Internet siano aggiornati alle ultime patch di sicurezza. I servizi Internet-facing – o applicazioni connesse a Internet anziché solo tramite una rete interna –  con vulnerabilità di sicurezza non patchate sono un rischio ingestibile. Tra queste il firewall, le applicazioni web, il gateway VPN, piattaforme di distribuzione di applicazioni cloud e via dicendo;
  • Assicuratevi, dove possibile, che i vostri sistemi aziendali chiave siano tutti dotati di patch. Se ci sono vulnerabilità non patchate, assicuratevi che siano in atto altre mitigazioni. 

2 – Verificare i controlli di accesso

  • Chiedete al personale di assicurarsi che le loro password siano uniche per i vostri sistemi aziendali e non siano condivise con altri sistemi non aziendali. Assicuratevi che le password per i vostri sistemi siano forti e uniche e che quelle che non lo sono vengano cambiate immediatamente;
  • Rivedete e controllate gli account utente, rimuovendo quelli vecchi o inutilizzati. Se avete abilitato l’autenticazione a più fattori (MFA), controllate che sia configurata correttamente. Assicuratevi che sia abilitata sui sistemi e sugli account utente secondo le vostre politiche di sicurezza;
  • Esaminate attentamente tutti gli account che hanno accesso privilegiato o amministrativo e rimuovete quelli vecchi, inutilizzati o non riconosciuti. Assicuratevi che gli account che hanno accesso privilegiato o altri diritti siano gestiti attentamente e, dove possibile, usate il Multi Factor Authentication (MFA). Il privilegio può riferirsi all’amministrazione del sistema, ma anche all’accesso a risorse o informazioni sensibili, quindi assicuratevi che anche le risorse siano adeguatamente protette;
  • Esaminate la vostra architettura generale di amministrazione del sistema per capire meglio il vostro rischio in quest’area. 

3 – Assicurarsi che i sistemi di difesa siano funzionanti

  • Assicuratevi che il software antivirus sia installato e verificate regolarmente che sia attivo su tutti i sistemi e che le firme si aggiornino correttamente;
  • Controllate che le regole del firewall siano corrette – in particolare controllare le regole temporanee che possano essere state lasciate in vigore oltre la loro durata prevista;
  • Presidiate le protezioni perimetrali, in particolare se avete gli Intrusion Prevention system e i Web Application firewall che risultino attivi e funzionanti e aggiornati.

4 – Log e monitoraggio

  • Cercate di capire che tipo di logging sono attivi, dove sono archiviati i registri e per quanto tempo vengono conservati;
  • Monitorate i log principali e monitorate i log dell’antivirus. Se possibile, assicuratevi che i vostri log siano conservati per almeno un mese;
  • Sulle web application esposte su internet, qualora il sistema lo consenta, abilitate un log verboso che vi permetta una analisi del payload delle richieste.

5 – Controllo dei backup

  • Controllate che i vostri backup funzionino correttamente. Eseguite dei ripristini di prova dai vostri backup per assicurarvi che il processo di ripristino sia perfettamente funzionante;
  • Controllate che ci sia una copia offline del vostro backup – e che sia sempre abbastanza recente da essere utile se un attacco provochi una perdita di dati o di configurazione del vostro sistema;
  • Assicuratevi che anche lo stato della macchina e qualsiasi credenziale esterna critica (come chiavi private, token di accesso) siano sottoposti a backup, pertanto non solo i dati.

6 – Piano per gli incidenti informatici

  • Controllate che il vostro piano di risposta agli incidenti sia aggiornato;
  • Controllate che i percorsi di escalation e i dettagli di contatto siano tutti aggiornati;
  • Assicuratevi che il piano di risposta agli incidenti sia chiaro soprattutto evidenzi chi ha l’autorità di prendere decisioni chiave, specialmente al di fuori del normale orario di lavoro;
  • Assicuratevi che il vostro piano di risposta agli incidenti e i meccanismi di comunicazione che utilizza siano disponibili, anche se i vostri sistemi aziendali non lo sono.

7 – Controllo dei footprint: l’esposizione su Internet di tutte le risorse informatiche

  • Controllate che le registrazioni delle vostre tracce digitali su internet siano corrette e aggiornate. Questo include informazioni come gli indirizzi IP che i vostri sistemi usano su Internet o quali nomi di dominio appartengono alla vostra organizzazione. Assicuratevi che i dati di registrazione del dominio siano tenuti in modo sicuro (controllate la password del vostro account del provider di servizi, per esempio) e che tutte le deleghe siano come previsto;
  • Eseguite una scansione esterna delle vulnerabilità di tutte le tracce digitali presenti su internet e controllate che tutto ciò che è necessario patchare sia stato patchato. I servizi connessi a Internet con vulnerabilità di sicurezza non patchate sono un rischio ingestibile.
  • Effettuare su tutta la superfice esterna esposta su internet, regolari attività di Vulnerability Assessment sia infrastrutturali che applicativi e sulle risorse critiche attività di penetration test, atti a verificare la resilienza ad un potenziale attacco informatico;
  • Disabilitate ogni accesso amministrativo da Internet. Qualora risulti necessario, occorrerà prevedere l’utilizzo di una apposita VPN.

8 – Risposta al phishing

  • Assicurati che il personale sappia come segnalare le email di phishing. Assicurati di avere un processo in atto per gestire qualsiasi email di phishing segnalata;
  • Effettuare attività cadenzate di verifica del livello di consapevolezza al rischio del personale dell’organizzazione.

9 – Accesso di terze parti

  • Se organizzazioni di terze parti hanno accesso alle vostre reti o proprietà IT, assicuratevi di avere una comprensione completa di quale livello di privilegio è esteso ai vostri sistemi e a chi.
  • Rimuovete qualsiasi accesso che non vi è più necessario. Assicuratevi anche di comprendere le pratiche di sicurezza utilizzate delle vostre terze parti;
  • Assicuratevi di esercitare il diritto (ove questo è possibile) di effettuare dei controlli di sicurezza sulle infrastrutture messe a disposizione dalla terza parte a supporto della vostra organizzazione.

10 – Informare tutto il personale dell’aumento della minaccia cyber

  • Assicuratevi che gli altri team della vostra organizzazione comprendano la situazione e l’aumento della minaccia cibernetica. Ottenere il buy-in dal resto dell’azienda è fondamentale per poter completare le azioni qui descritte;
  • Assicuratevi che i colleghi di altre aree comprendano il possibile impatto sui carichi di lavoro e sui compiti dei loro team. Assicuratevi che tutti sappiano come segnalare eventi di sicurezza sospetti e perché la segnalazione durante un periodo di elevata minaccia è così importante;
  • Assicuratevi che ogni membro dell’organizzazione faccia del suo meglio per scongiurare i rischi di una minaccia informatica in quanto l’anello più debole della catena è sempre l’utente.

7 ulteriori azioni per ridurre le vulnerabilità e l’impatto di un attacco riuscito 

Per proteggere voi, la vostra azienda, i vostri sistemi e i vostri utenti, questi dieci punti elencati sono essenziali per garantire che le misure di sicurezza più fondamentali siano attive.

Se oltre a queste regole di routine si teme una maggior esposizione alle minacce, ci sono altre azioni avanzate che si possono intraprendere:

  1. Se avete piani in atto per apportare miglioramenti alla sicurezza informatica, dovreste rivedere se accelerare l‘implementazione delle misure di mitigazione chiave, che a sua volta richiederanno probabilmente una ridefinizione delle priorità delle risorse o degli investimenti;
  2. Nessun servizio o sistema tecnologico è completamente privo di rischi e quindi bisognerebbe prendere decisioni equilibrate e informate basate sul rischio. Quando la minaccia si intensifica, le organizzazioni dovrebbero rivedere le decisioni chiave basate sul rischio e convalidare se disposte a tollerare eventuali rischi o se sia meglio investire in misure correttive o accettare una mitigazione del rischio; 
  3. Alcune funzioni di sistema, come lo scambio di dati da reti non affidabili, possono intrinsecamente portare un livello maggiore di rischio informatico. Valutate quindi se ridurre temporaneamente delle funzionalità per ridurre l’esposizione alla minaccia e qualora necessario, implementare un approccio zero trust;
  4. Le organizzazioni più grandi avranno meccanismi per valutare, testare e applicare le patch del software su scala. Quando la minaccia è più forte, le organizzazioni potrebbero voler adottare un approccio più aggressivo per applicare le patch alle vulnerabilità di sicurezza, essendo però consapevoli che ciò potrebbe impattare sul servizio stesso;
  5. Durante questo periodo, considerate di ritardare qualsiasi cambiamento significativo del sistema che non sia legato alla sicurezza.  
  6. Se avete un team di sicurezza operativa o un Security Operation Center (SOC), che vi fornisce servizi di finalizzati alla sicurezza informatica,  può essere utile considerare degli accordi per estendere gli orari operativi o per mettere in atto piani di emergenza, per scalare rapidamente le operazioni se si verifica un incidente informatico. 
  7. Se avete sistemi in atto che vi informano automaticamente con azioni o notifiche  –  basate sulle informazioni sulle minacce –  potreste anche prendere in considerazione l’acquisto di feed di minacce che fornisce informazioni su tutte le potenziali minacce, consentendone al contempo la prevenzione.

Quelle che abbiamo visto sono alcune delle best-practices da implementare all’interno della vostra organizzazione, ma non ritenetele come “le uniche”.

Advertisements

Questo perché la conoscenza della cybersecurity non finisce mai e anche i massimi esperti di sicurezza di oggi studiano costantemente nuove metodologie e modelli di contrasto alle minacce, pertanto prendetele questo come un buon “inizio di un percorso” che vi porterà sempre ad un auto miglioramento continuo delle vostre performance.