Riportiamo in seguito la comunicazione di ieri del CSIRT, organo governativo dell’ACN (Agenzia per la Cybersicurezza Nazionale)
Innalzare la postura difensiva in relazione alla situazione ucraina
(BOLLETTINO del 28/08/2022) https://csirt.gov.it/contenuti/innalzare-la-postura-difensiva-in-relazione-alla-situazione-ucraina-bl01-220228-csirt-ita
Descrizione e potenziali impatti
L’acuirsi delle attività malevole nello spazio cibernetico incrementa la possibilità che le stesse possano generare fenomeni di spillover al di fuori degli assetti direttamente oggetto delle campagne.
I vettori principali per condurre tali attività malevole dall’esterno del perimetro delle reti aziendali sono riferibili a:
– utilizzo di piattaforme di comunicazione pubbliche per il rilascio di codice malevolo;
– invio di email di phishing contenenti allegati o link malevoli nel body delle email;
– file malevoli distribuiti tramite piattaforme di condivisione peer to peer;
– sfruttamento di vulnerabilità note nei sistemi internet facing;
– malware rilasciato tramite siti web appositamente creati o compromessi, ad esempio per campagna di watering hole;
– utilizzo di sistemi che possano essere utilizzati per amplificare l’effetto di attacchi DDoS volumetrici (e.g. LDAP e DNS non correttamente configurati).
Per quanto invece concerne lo sfruttamento di asset interni alla rete, particolare attenzione va posta nel rilevamento rapido di anomalie riscontrate nei sistemi di gestione e di networking (in quanto gli stessi in caso di compromissione possono rappresentare dei facilitatori alle attività avversarie) quali sistemi:
– Gestione delle patch;
– Asset management;
– Gestione remota;
– Sicurezza (antivirus, firewall, etc)
– Assegnati agli amministratori;
– Centralizzati di logging, backup, file sharing, storage;
– Gestione di un dominio (es. Active Directory, LDAP, etc)
– Apparati di rete (router, switch).
Azioni di Mitigazione
Con l’aumentare dei rischi connessi alle attività malevoli in corso nel cyberspazio ucraino, è necessario adottare, se non già fatto, misure di protezione prioritarie che abbraccino i seguenti ambiti:
riduzione della superficie di attacco esterna
riduzione della superficie di attacco interna
controllo stringente degli accessi ai sistemi/servizi
monitoraggio dei log, del traffico di rete e delle attività effettuate dagli account di amministrazione
organizzazione interna per la preparazione e gestione delle crisi cibernetiche
pianificazione della revisione delle proprie infrastrutture IT in ottica Zero Trust
sostenere l’infosharing interno ed esterno.
Di seguito le raccomandazioni di dettaglio:
Riduzione della superficie di attacco esterna
eseguire l’asset management approfondito di tutti i sistemi direttamente o indirettamente esposti su Internet verificandone Sistema Operativo e software installato (e relativo patch level), servizi in esecuzione, task schedulati, regole di firewalling che ne consentono l’esposizione, sistemi di protezione (AV, EDR, WAF, HIPS, NIPS, Firewall, CDN, etc) e relativo livello di aggiornamento e corretta configurazione, disponibilità di tutto il necessario per la reinstallazione completa del sistema (golden image, codice sorgente, struttura database, etc);
assicurarsi che su tutte le componenti di tali sistemi siano implementate le best practice più restrittive in termini di sicurezza, disabilitando inoltre tutte le funzionalità/pacchetti non necessari;
eseguire la bonifica di tutti i record DNS non più utilizzati;
implementare sui propri DNS autoritativi le seguenti misure: disabilitazione della ricorsività, limitazione della ricorsività ai soli client necessari, implementare il response rate limiting;
verificare l’effettiva necessità di esposizione dei sistemi identificati e ove non necessario procedere alla rimozione degli stessi;
procedere al patching di tutte le componenti identificate ponendo particolare attenzione ad utilizzare solo fonti verificate per il reperimento del software di aggiornamento;
in caso non fosse possibile per limitazioni applicative l’attività di patching valutare la possibilità di disconnettere il servizio/asset, implementare sistemi di virtual patching, segregare in una DMZ dedicata le componenti non aggiornabili consentendo alle stesse esclusivamente le comunicazioni strettamente necessarie al funzionamento del servizio ospitato, innalzare al livello massimo le capacità di logging e monitoraggio di tali sistemi;
verificare i flussi di comunicazione disponibili agli asset esposti, riducendoli alle sole comunicazioni essenziali ed innalzando il livello di logging e monitoraggio di tali flussi;
inibire, se non strettamente necessario, il traffico in uscita degli assetti esposti su internet.
Riduzione della superficie di attacco interna
verificare/implementare la segmentazione della rete assicurandosi che le regole di gestione del traffico client-to-server e server-to-server consentano esclusivamente traffico strettamente necessario al corretto funzionamento delle applicazioni assicurandosi che tali flussi siano definiti, documentati, approvati e monitorati;
verificare/implementare una rete segregata per tutto il management degli apparati di rete, storage, infrastrutture di virtualizzazione;
verificare tutti gli accessi alla rete Internet rimuovendo, ove possibile, quelli non strettamente necessari, e assicurandosi che offrano capacità di logging e di impostazione di regole di blocco del traffico;
verificare che tutte le componenti della rete siano correttamente censite e gestite;
irrobustire i controlli effettuati dai sistemi antispam per ridurre la consegna di possibili email di phishing;
eseguire sessioni interne di istruzione per il proprio personale in particolare evidenziando i rischi connessi all’apertura di file e link ricevuti tramite sistemi di posta elettronica, sms, instant messaging.
Controllo degli accessi
implementare l’autenticazione multifattoriale per i servizi esterni ed interni;
verificare/implementare la password policy (min. 12 caratteri alfanumerici, maiuscole minuscole, caratteri speciali), e la lockdown policy, verificando inoltre che le password inserite non siano contenute in databreach pubblici (es. utilizzando il servizio HIBP) e valutando l’opportunità di forzare un reset password complessivo per tutta l’utenza;
rimuovere le autorizzazioni legate a gruppi generici (es. Everyone, Domain Users, Autenticated Users) assicurandosi che ogni utente appartenga al corretto gruppo autorizzativo;
assicurarsi che venga utilizzato un account di servizio dedicato per ogni differente servizio e che questi siano correttamente documentati;
ridurre i permessi concessi agli account di servizio al livello minimo necessario al corretto funzionamento delle applicazioni, rimuovendo ove possibile le autorizzazioni al logon locale e interattivo, l’accesso alle share di rete o a dati critici non necessari;
testare con cadenza periodica (in dipendenza in particolare dalla specifica profondità temporale) la funzionalità dei backup.
Monitoraggio
innalzare i livelli di monitoraggio in particolare per gli account dotati di privilegi amministrativi e per gli account di servizio, verificando con attenzione i log relativi ai login con successo/falliti, all’accesso alle share di rete, ai logon interattivi e di rete effettuati tramite sessione remota;
monitorare i flussi di rete identificando connessioni effettuate verso porte non previste dalle applicazioni;
monitorare gli eventi che possono rappresentare attività di scansione o di enumerazione;
assicurarsi che i sistemi di logging e raccolta degli stessi siano sempre adeguati in caso di modifiche architetturali e che coprano tutti i sistemi presenti sulla rete;
identificare e innalzare il livello di monitoraggio delle componenti di rete/servizio che possono rappresentare punti di snodo per il passaggio tra segmenti differenti;
monitorare le proprie reti utilizzando tutti gli indicatori di compromissione disponibili.
Organizzazione
I soggetti e le organizzazioni sono inviati ad analizzare la propria struttura organizzativa nell’ottica di verificare che sia adeguata alla preparazione e gestione di un incidente informatico di impatto elevato sulla propria operatività, da tutti i punti di vista, sia tecnologico, sia di business.
Pianificazione
Oltre alla revisione dei propri piani interni relativi alla gestione degli incidenti informatici (es. Incident response plan) e alla continuità operativa (es. Disaster recovery plan, Business continuity plan), si consiglia, ove già non in essere, l’avvio di un percorso di revisione delle proprie infrastrutture IT che porti all’adozione di paradigmi Zero Trust in grado di innalzare in maniera sensibile la resilienza delle stesse.
Infosharing
La condivisione delle informazioni rappresenta un moltiplicatore importante in termini di protezione dello spazio cibernetico e pertanto si invitano tutti i soggetti a monitorare i canali istituzionali dello CSIRT Italia e a condividere con lo stesso tramite i moduli di segnalazione e la mail ogni informazione ritenuta d’interesse.