Lo CSIRT, facente parte della ACN (Agenzia per la Cybersicurezza Nazionale), ha emesso un nuovo bollettino di allerta sulla situazione in Ucraina. Si tratta di una risposta agli attacchi che possono mettere a rischio le infrastrutture critiche di tutti i Paesi. Il cyberspazio, infatti, non avendo confini ben definiti, può essere utilizzato per operare attacchi diversificati anche verso Paesi non coinvolti in via diretta.
I rischi che questa ondata di attacchi può portare fino al nostro Paese sono quelli che vedono l’acuirsi di massicce campagne di phishing operate via mail, contenenti link malevoli, per carpire dati sensibili delle vittime, e la distribuzione di malware noti e di nuovo sviluppo, mettendo così in crisi la protezione perimetrale di cui solitamente le aziende dispongono.
Le infrastrutture maggiormente esposte sono i sistemi di rete aziendali, router, switch e firewall, ma anche i server di gestione di domini come LDAP e ActiveDirectory, nonché quelli dedicati alla centralizzazione dei dati: backup e conservazione di logs tecnici.
Tra le misure da adottare con urgenza, lo CSIRT esorta all’allerta generalizzata un po’ su tutti i fronti dell’infrastruttura, con grande enfasi per la protezione esterna. Qui si fa riferimento all’aggiornamento costante delle strutture esposte (firewall e apparati di rete), per quanto riguarda l’applicazione di patch su vulnerabilità già note e per l’integrazione degli ultimi IoC (indicatori di compromissione) che vengono man mano individuati e segnalati.
Per la protezione interna, invece, viene sottolineata la necessità di alzare la guardia sul fenomeno del phishing via mail, tra gli account aziendali dei dipendenti, cercando di prestare attenzione ai filtri anti spam, qualora richiedessero aggiornamenti.
Altre due aree di miglioramento che vengono evidenziate nel bollettino sono il controllo degli accessi (evitare che vi siano nell’infrastruttura utenti e gruppi di utenti generici che abbiano facoltà di azione all’interno dei sistemi e rimodulare i permessi che ciascun dipendente ha a disposizione per svolgere la propria mansione) e il monitoraggio (è consigliato l’utilizzo di software e utility che sfruttino gli ultimi più recenti IoC resi disponibili, al fine di ridurre i tempi di rilevamento dell’eventuale minaccia).
