1.
Allarme attacchi informatici e
misure di sicurezza da adottare
per proteggersi dai rischi cyber
Russia vs Ucraina

2.
Il rischio di guerra cyber:
il malware HermeticWiper
RISCHIO: Il CSIRT ha evidenziato il rischio cyber per le
infrastrutture tecnologiche interconnesse con il
cyberspazio ucraino (ad esempio, in caso di connessioni
B2B, utenze presso reti ucraine e viceversa, condivisione
di repository o piattaforme collaborative).
www.dlapiper.com
SOLUZIONE: Per questo motivo l'Agenzia per la
cybersicurezza nazionale, raccomanda fortemente di
adottare misure di difesa cibernetica alte e massimi
controlli interni per la protezione delle proprie
infrastrutture digitali.
ATTENZIONE: è stato diffuso HermeticWiper (o
KillDisk.NCV), un malware di tipo wiper denominato che
può distruggere intenzionalmente i dati sui dispositivi per
renderli irrecuperabili, minando il corretto funzionamento
del sistema operativo in esecuzione.

3.
Misure organizzative
e procedurali raccomandate
Designazione di un team di risposta alle crisi all'interno dell'organizzazione,
assicurando la disponibilità del personale chiave e dei mezzi necessari a
fornire un supporto immediato per la risposta agli incidenti.
Identificazione degli asset critici per lo svolgimento delle principali
attività (e.g. processi di business) e implementazione di una zona
demilitarizzata (demilitarized zone – DMZ) per le connettività B2B.
Identificazione dei flussi informativi e delle componenti direttamente
interconnesse con partner e/o localizzate presso reti ucraine.

4.
Misure organizzative
e procedurali raccomandate
Incremento delle attività di monitoraggio e logging, nonché applicazione
del principio di privilegio minimo (least privilege) per i sistemi con
relazioni di trust e/o con la possibilità di accesso da remoto.
Attenzione alla protezione degli ambienti cloud in caso di trasferimento
di file rilevanti. Si raccomanda l'incremento delle attività di info-sharing
con le strutture di sicurezza informatica con particolare riferimento allo
CSIRT.
Aggiornamento dei piani di gestione degli incidenti cyber, mantenimento ed
esercizio periodico di capacità di incident response, di un piano di continuità
operativa e resilienza, anche verificando la consistenza e la disponibilità offline dei
backup necessari al rispristino dei servizi di core business.

5.
Misure tecniche
raccomandate
Monitoraggio degli account e dei Domain Controller (in particolare gli
eventi Kerberos TGS - ticket-granting service), per rilevare eventuali
attività anomale e adozione di programmi per individuare il dump di
credenziali.
Prioritizzazione delle attività di (a) patching dei sistemi internet-facing,
nonché di (b) analisi in caso di individuazione di codice malevolo (es.
Cobalt Strike e webshell).
Verifica delle interconnessioni tra la rete IT e le reti OT prediligendo la
massima segregazione possibile tra le stesse.

6.
Misure tecniche
raccomandate
Autenticazione a più fattori (MFA) per i servizi VPN e i portali aziendali
rivolti verso l'esterno (extranet), nonché per l'accesso alla posta
elettronica.
Monitoraggio del traffico di rete analizzando picchi anomali di
connettività in uscita, in particolare verso destinazioni inusuali quali
provider VPS e VPN, nonché la rete TOR.
Monitoraggio dell'installazione di software di trasferimento file quali
FileZilla e rclone, nonché dei processi associati agli strumenti di
compressione o archiviazione.