Ucraina, eccu l’alerta cyber in Italia
U testu di l'ultimi bulletins emessi da Csirt Italia, a squadra di risposta in casu di incidenti cibernetici stallati in l'Agenzia Naziunale di Cibersicurezza
Alerta massima per attacchi cibernetici in Italia.
In relazione à l'evoluzione di u cunflittu in Ucraina è a situazione geopolitica resultanti, l'Agenzia Naziunale di Cybersecurity ricumanda di novu à tutti l'operatori di l'infrastruttura digitale naziunale per aduttà "una postura di massima difesa cibernetica".
L'invitu hè di lancià "tutte e misure di prevenzione è di cuntrollu più urgente": riduzzione di e superfici d'attaccu, verificate chì u cuntrollu di l'accessu à i sistemi hè implementatu currettamente, elevà i livelli di monitoraghju di infrastrutture IT, adopzione di piani per a preparazione è a gestione di a crisa cibernetica. situazzioni, scambii infurmazione versu l 'articulations cyber riferimentu, l'Agenzia in primis.
"L'aggravamentu di l'attività maliciosa in u spaziu ciberneticu – raporta u Csirt Italia (Computer Security Incident Response Team) – aumenta a pussibilità chì ponu generà fenomeni "spillover" fora di l'assi direttamente mirati da e campagne ".
Eccu u cuntenutu sanu sanu di u ricenti bulletin è l'ultima alerta emessa da Csirt Italia.
Aumentà a postura difensiva in relazione à a situazione ucraina (BL01 / 220228 / CSIRT-ITA)
Descrizzione è impatti putenziali
L'aggravamentu di l'attività maliciosa in u spaziu ciberneticu aumenta a pussibilità chì ponu generà fenomeni di spillover fora di l'assi direttamente diretti da e campagne.
I vettori principali per a realizazione di tali attività maliziusi fora di u perimetru di e rete corporativa sò attribuiti à:
- usu di e plataforme di cumunicazione publica per a liberazione di codice maliziusu;
- invià e-mail di phishing chì cuntenenu allegati maliziusi o ligami in u corpu di e-mail;
- fugliali maliziusi distribuiti via piattaforme di spartera peer to peer;
- sfruttamentu di e vulnerabilità cunnisciute in i sistemi di fronte à Internet;
- malware rilasciatu per mezu di siti web creati apposta o cumprumessi, per esempiu per campagni d'acqua;
- usu di sistemi chì ponu esse usatu per amplificà l'effettu di attacchi DDoS volumetrichi (per esempiu LDAP è DNS micca cunfigurati currettamente).
In quantu à u sfruttamentu di l'assi in a reta, una attenzione particulari deve esse prestata à a rilevazione rapida di anomalie truvate in i sistemi di gestione è di rete (cum'è in casu di cumprumissu ponu rapprisintà facilitatori à l'attività avversaria) cum'è:
- sistemi di gestione di patch;
- sistemi di gestione di patrimoniu;
- sistemi di gestione remoti;
- sistemi di sicurità (antivirus, firewall, etc);
- sistemi assignati à l'amministratori;
- sistemi centralizzati per logging, backup, file sharing, storage;
- sistemi per a gestione di un duminiu (per esempiu, Active Directory, LDAP, etc.)
- dispusitivi di rete (router, switch).
Azzioni di mitigazione
Siccomu i risichi assuciati à l'attività maliziosa in corso in u ciberspaziu ucrainu aumentanu, hè necessariu aduttà, se micca digià fattu, misure di prutezzione di priorità chì includenu i seguenti spazii:
- riduzzione di a superficia di attaccu esterni
- riduzzione di a superficia di attaccu internu
- cuntrollu strettu di l'accessu à i sistemi / servizii
- surviglianza di i logs, u trafficu di a rete è l'attività realizate da i cunti amministrativi
- urganizazione interna per a preparazione è a gestione di e crisi cibernetiche
- pianificazione di a revisione di e so infrastrutture IT in vista di Zero Trust
- sustene l'infosharing internu è esternu.
Eccu i cunsiglii detallati
Riduzzione di a superficia di attaccu esterni
- eseguisce una gestione approfondita di l'assi di tutti i sistemi esposti direttamente o indirettamente in Internet cuntrollandu u so Sistema Operativu è u software installatu (è u livellu di patch cunnessu), servizii in esecuzione, attività pianificate, regule di firewall chì li permettenu di esse esposti, sistemi di prutezzione (AV). , EDR, WAF, HIPS, NIPS, Firewall, CDN, etc.) è u livellu cunnessu di l'aghjurnamentu è a cunfigurazione curretta, a dispunibilità di tuttu ciò chì hè necessariu per a reinstallazione cumpleta di u sistema (imagine d'oru, codice fonte, struttura di basa di dati, etc.);
- assicuratevi chì e pratiche più restrittive in quantu à a sicurità sò implementate in tutti i cumpunenti di questi sistemi, disattivendu ancu tutte e funzioni / pacchetti inutili;
- eseguisce a ricuperazione di tutti i registri DNS chì ùn sò più usati;
- implementà e seguenti misure nantu à u so propiu DNS autoritariu: disattivà a ricursione, limità a ricursione solu à i clienti necessarii, implementendu a limitazione di a freccia di risposta;
- verificate a necessità attuale di vede i sistemi identificati è, se micca necessariu, procede cù a so rimuzione;
- prucede cù u patching di tutti i cumpunenti identificati, prestendu una attenzione particulari à aduprà solu fonti verificate per truvà u software di aghjurnamentu;
- se u patching ùn hè micca pussibule per via di limitazioni di l'applicazione, valutate a pussibilità di disconnecting u serviziu / attivu, implementà sistemi di patching virtuale, segregate cumpunenti non-upgradeable in una DMZ dedicata chì li permette solu e cumunicazioni strettamente necessarie per u funziunamentu di u serviziu ospitatu, elevà. e capacità di logu è monitoraghju di sti sistemi à u livellu massimu;
- verificate i flussi di cumunicazione dispunibuli per l'assi esposti, riducenduli à cumunicazioni essenziali solu è elevendu u livellu di logging è monitoraghju di sti flussi;
- per inibisce, se micca strettamente necessariu, u trafficu in uscita di l'assi esposti in Internet.
Riduzzione di a superficia di attaccu internu
- verificate / implementate a segmentazione di a rete assicurendu chì e regule di gestione di u trafficu da u cliente à u servitore è da u servitore à u servitore permettenu solu u trafficu strettamente necessariu per u funziunamentu currettu di l'applicazioni, assicurendu chì sti flussi sò definiti, documentati, appruvati è monitorati;
- verificà / implementà una rete segregata per tutta a gestione di l'equipaggiu di rete, l'almacenamiento, l'infrastruttura di virtualizazione;
- verificate tutti l'accessi à l'Internet, sguassendu, induve pussibule, quelli chì ùn sò micca strettamente necessarii, è assicuratevi chì offrenu capacità di logu è stabilisce e regule di bloccu di u trafficu;
- verificate chì tutti i cumpunenti di a reta sò currettamente registrati è gestiti;
- rinfurzà i cuntrolli realizati da i sistemi antispam per riduce a spedizione di pussibuli email di phishing;
- realizà sessioni di furmazione internu per u so persunale, in particulare mette in risaltu i risichi assuciati à l'apertura di schedari è ligami ricevuti via e-mail, sms, sistemi di messageria immediata.
Cuntrolla di accessu
- implementà l'autentificazione multifattore per i servizii esterni è interni;
- verificate / implementate a pulitica di password (min.12 caratteri alfanumerici, maiuscule minuscule, caratteri speciali), è a pulitica di bloccu, verificate ancu chì e password inserite ùn sò micca cuntenute in a violazione di dati publicu (per esempiu, utilizendu u serviziu HIBP) è evaluendu l'uppurtunità di furzà. un resettore di password generale per tutti l'utilizatori;
- sguassate i permessi ligati à i gruppi generici (per esempiu, Tutti, Utenti di Dominiu, Utenti Autentificati) assicurendu chì ogni utilizatore appartene à u gruppu d'autorizazione curretta;
- assicuratevi chì un contu di serviziu dedicatu hè utilizatu per ogni serviziu diversu è chì questi sò documentati bè;
- riduce i permessi cuncessi à i cunti di serviziu à u livellu minimu necessariu per u funziunamentu currettu di l'applicazioni, sguassendu induve pussibule i permessi à login lucale è interattivu, accessu à azzioni di rete o dati critichi innecessarii;
- verificate periodicamente (secondu in particulare a prufundità temporale specifica) a funziunalità di i backups.
Surviglianza
- elevà i livelli di surviglianza in particulare per i cunti cù privilegi amministrativi è per i cunti di serviziu, cuntrollandu currettamente i logs riguardanti logins successi / falluti, accessu à azzioni di rete, logins interattivi è di rete fatti per sessione remota;
- monitorà i flussi di a rete identificendu e cunnessione fatta à i porti chì ùn sò micca previsti da l'applicazioni;
- monitorà l'avvenimenti chì ponu rapprisintà attività di scanning o enumerazione;
- assicuratevi chì i sistemi di logging è di cullizzioni di i stessi sò sempre adatti in casu di cambiamenti architettonici è chì coprenu tutti i sistemi prisenti nantu à a reta;
- identificà è elevà u livellu di monitoraghju di e cumpunenti di rete / serviziu chì ponu rapprisintà punti di pivot per u passaghju trà e diverse segmenti;
- monitorà e so rete utilizendu tutti l'indicatori dispunibuli di cumprumissu.
Urganisazione
L'individui è l'urganisazione sò mandati per analizà a so struttura urganisazione in vista di verificà chì hè adattatu per a preparazione è a gestione di un incidente IT cù un altu impattu nantu à e so operazioni, da tutti i punti di vista, tecnulugichi è cummerciale.
Pianificazione
In più di a rivisione di i so piani interni riguardanti a gestione di incidenti IT (per esempiu, Pianu di risposta à l'incidente) è a continuità di l'affari (per esempiu, Pianu di ricuperazione di disastru, Pianu di continuità di l'attività), hè cunsigliatu, induve ùn hè micca digià in piazza, per inizià. una rivista di e so infrastrutture IT chì porta à l'adopzione di paradigmi Zero Trust capaci di aumentà significativamente a so resilienza.
Infosharing
A spartera di l'infurmazioni rapprisenta un multiplicatore impurtante in quantu à a prutezzione di u spaziu ciberneticu è per quessa tutti i sughjetti sò invitati à monitorà i canali istituzionali di CSIRT Italia è à sparte cun ellu attraversu e forme di rapportu è l'email [email protected] qualsiasi infurmazione ritenuta di interessu.
******
Ucraina: Attività maliciosa perpetrata via messageria instantània
(AL04 / 220225 / CSIRT-ITA)
Descrizzione è impatti putenziali
I ricercatori di sicurezza anu evidenziatu novi attività maliziusi perpetrate attraversu e famose piattaforme di messageria instantània Discord è Trello per distribuisce ligami à risorse chì cuntenenu schedarii maliziusi.
Azzione di mitigazione
Per ciò chì precede, s'ellu ùn hè micca strettamente necessariu per i scopi di a vostra urganizazione, hè cunsigliatu di valutà currettamente l'accessu à queste piattaforme di messageria per elevà a postura di sicurezza generale.
Questa hè una traduzzione automatica da a lingua italiana di un post publicatu in StartMag à l’URL https://www.startmag.it/innovazione/ucraina-allerta-diramata-dal-csirt-in-italia/ u Thu, 03 Mar 2022 08:04:14 +0000.