Ultimi Nutizie

Attualità mundiale per u populu corsu

Rivista Principià

Ucraina, eccu l’alerta cyber in Italia

Ucraina, eccu l'alerta cyber in Italia

U testu di l'ultimi bulletins emessi da Csirt Italia, a squadra di risposta in casu di incidenti cibernetici stallati in l'Agenzia Naziunale di Cibersicurezza

Alerta massima per attacchi cibernetici in Italia.

In relazione à l'evoluzione di u cunflittu in Ucraina è a situazione geopolitica resultanti, l'Agenzia Naziunale di Cybersecurity ricumanda di novu à tutti l'operatori di l'infrastruttura digitale naziunale per aduttà "una postura di massima difesa cibernetica".

L'invitu hè di lancià "tutte e misure di prevenzione è di cuntrollu più urgente": riduzzione di e superfici d'attaccu, verificate chì u cuntrollu di l'accessu à i sistemi hè implementatu currettamente, elevà i livelli di monitoraghju di infrastrutture IT, adopzione di piani per a preparazione è a gestione di a crisa cibernetica. situazzioni, scambii infurmazione versu l 'articulations cyber riferimentu, l'Agenzia in primis.

"L'aggravamentu di l'attività maliciosa in u spaziu ciberneticu – raporta u Csirt Italia (Computer Security Incident Response Team) – aumenta a pussibilità chì ponu generà fenomeni "spillover" fora di l'assi direttamente mirati da e campagne ".

Eccu u cuntenutu sanu sanu di u ricenti bulletin è l'ultima alerta emessa da Csirt Italia.

Aumentà a postura difensiva in relazione à a situazione ucraina (BL01 / 220228 / CSIRT-ITA)

BULLETIN 28/02/2022 16:50

Descrizzione è impatti putenziali

L'aggravamentu di l'attività maliciosa in u spaziu ciberneticu aumenta a pussibilità chì ponu generà fenomeni di spillover fora di l'assi direttamente diretti da e campagne.

I vettori principali per a realizazione di tali attività maliziusi fora di u perimetru di e rete corporativa sò attribuiti à:

  • usu di e plataforme di cumunicazione publica per a liberazione di codice maliziusu;
  • invià e-mail di phishing chì cuntenenu allegati maliziusi o ligami in u corpu di e-mail;
  • fugliali maliziusi distribuiti via piattaforme di spartera peer to peer;
  • sfruttamentu di e vulnerabilità cunnisciute in i sistemi di fronte à Internet;
  • malware rilasciatu per mezu di siti web creati apposta o cumprumessi, per esempiu per campagni d'acqua;
  • usu di sistemi chì ponu esse usatu per amplificà l'effettu di attacchi DDoS volumetrichi (per esempiu LDAP è DNS micca cunfigurati currettamente).

In quantu à u sfruttamentu di l'assi in a reta, una attenzione particulari deve esse prestata à a rilevazione rapida di anomalie truvate in i sistemi di gestione è di rete (cum'è in casu di cumprumissu ponu rapprisintà facilitatori à l'attività avversaria) cum'è:

  • sistemi di gestione di patch;
  • sistemi di gestione di patrimoniu;
  • sistemi di gestione remoti;
  • sistemi di sicurità (antivirus, firewall, etc);
  • sistemi assignati à l'amministratori;
  • sistemi centralizzati per logging, backup, file sharing, storage;
  • sistemi per a gestione di un duminiu (per esempiu, Active Directory, LDAP, etc.)
  • dispusitivi di rete (router, switch).

Azzioni di mitigazione

Siccomu i risichi assuciati à l'attività maliziosa in corso in u ciberspaziu ucrainu aumentanu, hè necessariu aduttà, se micca digià fattu, misure di prutezzione di priorità chì includenu i seguenti spazii:

  • riduzzione di a superficia di attaccu esterni
  • riduzzione di a superficia di attaccu internu
  • cuntrollu strettu di l'accessu à i sistemi / servizii
  • surviglianza di i logs, u trafficu di a rete è l'attività realizate da i cunti amministrativi
  • urganizazione interna per a preparazione è a gestione di e crisi cibernetiche
  • pianificazione di a revisione di e so infrastrutture IT in vista di Zero Trust
  • sustene l'infosharing internu è esternu.

Eccu i cunsiglii detallati

Riduzzione di a superficia di attaccu esterni

  • eseguisce una gestione approfondita di l'assi di tutti i sistemi esposti direttamente o indirettamente in Internet cuntrollandu u so Sistema Operativu è u software installatu (è u livellu di patch cunnessu), servizii in esecuzione, attività pianificate, regule di firewall chì li permettenu di esse esposti, sistemi di prutezzione (AV). , EDR, WAF, HIPS, NIPS, Firewall, CDN, etc.) è u livellu cunnessu di l'aghjurnamentu è a cunfigurazione curretta, a dispunibilità di tuttu ciò chì hè necessariu per a reinstallazione cumpleta di u sistema (imagine d'oru, codice fonte, struttura di basa di dati, etc.);
  • assicuratevi chì e pratiche più restrittive in quantu à a sicurità sò implementate in tutti i cumpunenti di questi sistemi, disattivendu ancu tutte e funzioni / pacchetti inutili;
  • eseguisce a ricuperazione di tutti i registri DNS chì ùn sò più usati;
  • implementà e seguenti misure nantu à u so propiu DNS autoritariu: disattivà a ricursione, limità a ricursione solu à i clienti necessarii, implementendu a limitazione di a freccia di risposta;
  • verificate a necessità attuale di vede i sistemi identificati è, se micca necessariu, procede cù a so rimuzione;
  • prucede cù u patching di tutti i cumpunenti identificati, prestendu una attenzione particulari à aduprà solu fonti verificate per truvà u software di aghjurnamentu;
  • se u patching ùn hè micca pussibule per via di limitazioni di l'applicazione, valutate a pussibilità di disconnecting u serviziu / attivu, implementà sistemi di patching virtuale, segregate cumpunenti non-upgradeable in una DMZ dedicata chì li permette solu e cumunicazioni strettamente necessarie per u funziunamentu di u serviziu ospitatu, elevà. e capacità di logu è monitoraghju di sti sistemi à u livellu massimu;
  • verificate i flussi di cumunicazione dispunibuli per l'assi esposti, riducenduli à cumunicazioni essenziali solu è elevendu u livellu di logging è monitoraghju di sti flussi;
  • per inibisce, se micca strettamente necessariu, u trafficu in uscita di l'assi esposti in Internet.

Riduzzione di a superficia di attaccu internu

  • verificate / implementate a segmentazione di a rete assicurendu chì e regule di gestione di u trafficu da u cliente à u servitore è da u servitore à u servitore permettenu solu u trafficu strettamente necessariu per u funziunamentu currettu di l'applicazioni, assicurendu chì sti flussi sò definiti, documentati, appruvati è monitorati;
  • verificà / implementà una rete segregata per tutta a gestione di l'equipaggiu di rete, l'almacenamiento, l'infrastruttura di virtualizazione;
  • verificate tutti l'accessi à l'Internet, sguassendu, induve pussibule, quelli chì ùn sò micca strettamente necessarii, è assicuratevi chì offrenu capacità di logu è stabilisce e regule di bloccu di u trafficu;
  • verificate chì tutti i cumpunenti di a reta sò currettamente registrati è gestiti;
  • rinfurzà i cuntrolli realizati da i sistemi antispam per riduce a spedizione di pussibuli email di phishing;
  • realizà sessioni di furmazione internu per u so persunale, in particulare mette in risaltu i risichi assuciati à l'apertura di schedari è ligami ricevuti via e-mail, sms, sistemi di messageria immediata.

Cuntrolla di accessu

  • implementà l'autentificazione multifattore per i servizii esterni è interni;
  • verificate / implementate a pulitica di password (min.12 caratteri alfanumerici, maiuscule minuscule, caratteri speciali), è a pulitica di bloccu, verificate ancu chì e password inserite ùn sò micca cuntenute in a violazione di dati publicu (per esempiu, utilizendu u serviziu HIBP) è evaluendu l'uppurtunità di furzà. un resettore di password generale per tutti l'utilizatori;
  • sguassate i permessi ligati à i gruppi generici (per esempiu, Tutti, Utenti di Dominiu, Utenti Autentificati) assicurendu chì ogni utilizatore appartene à u gruppu d'autorizazione curretta;
  • assicuratevi chì un contu di serviziu dedicatu hè utilizatu per ogni serviziu diversu è chì questi sò documentati bè;
  • riduce i permessi cuncessi à i cunti di serviziu à u livellu minimu necessariu per u funziunamentu currettu di l'applicazioni, sguassendu induve pussibule i permessi à login lucale è interattivu, accessu à azzioni di rete o dati critichi innecessarii;
  • verificate periodicamente (secondu in particulare a prufundità temporale specifica) a funziunalità di i backups.

Surviglianza

  • elevà i livelli di surviglianza in particulare per i cunti cù privilegi amministrativi è per i cunti di serviziu, cuntrollandu currettamente i logs riguardanti logins successi / falluti, accessu à azzioni di rete, logins interattivi è di rete fatti per sessione remota;
  • monitorà i flussi di a rete identificendu e cunnessione fatta à i porti chì ùn sò micca previsti da l'applicazioni;
  • monitorà l'avvenimenti chì ponu rapprisintà attività di scanning o enumerazione;
  • assicuratevi chì i sistemi di logging è di cullizzioni di i stessi sò sempre adatti in casu di cambiamenti architettonici è chì coprenu tutti i sistemi prisenti nantu à a reta;
  • identificà è elevà u livellu di monitoraghju di e cumpunenti di rete / serviziu chì ponu rapprisintà punti di pivot per u passaghju trà e diverse segmenti;
  • monitorà e so rete utilizendu tutti l'indicatori dispunibuli di cumprumissu.

Urganisazione

L'individui è l'urganisazione sò mandati per analizà a so struttura urganisazione in vista di verificà chì hè adattatu per a preparazione è a gestione di un incidente IT cù un altu impattu nantu à e so operazioni, da tutti i punti di vista, tecnulugichi è cummerciale.

Pianificazione

In più di a rivisione di i so piani interni riguardanti a gestione di incidenti IT (per esempiu, Pianu di risposta à l'incidente) è a continuità di l'affari (per esempiu, Pianu di ricuperazione di disastru, Pianu di continuità di l'attività), hè cunsigliatu, induve ùn hè micca digià in piazza, per inizià. una rivista di e so infrastrutture IT chì porta à l'adopzione di paradigmi Zero Trust capaci di aumentà significativamente a so resilienza.

Infosharing

A spartera di l'infurmazioni rapprisenta un multiplicatore impurtante in quantu à a prutezzione di u spaziu ciberneticu è per quessa tutti i sughjetti sò invitati à monitorà i canali istituzionali di CSIRT Italia è à sparte cun ellu attraversu e forme di rapportu è l'email [email protected] qualsiasi infurmazione ritenuta di interessu.

******

Ucraina: Attività maliciosa perpetrata via messageria instantània
(AL04 / 220225 / CSIRT-ITA)

ALERTA 25/02/2022 14:55

Descrizzione è impatti putenziali

I ricercatori di sicurezza anu evidenziatu novi attività maliziusi perpetrate attraversu e famose piattaforme di messageria instantània Discord è Trello per distribuisce ligami à risorse chì cuntenenu schedarii maliziusi.

Azzione di mitigazione

Per ciò chì precede, s'ellu ùn hè micca strettamente necessariu per i scopi di a vostra urganizazione, hè cunsigliatu di valutà currettamente l'accessu à queste piattaforme di messageria per elevà a postura di sicurezza generale.

Questa hè una traduzzione automatica da a lingua italiana di un post publicatu in StartMag à l’URL https://www.startmag.it/innovazione/ucraina-allerta-diramata-dal-csirt-in-italia/ u Thu, 03 Mar 2022 08:04:14 +0000.