Non è ancora chiaro se all'analoga guerra in Ucraina si aggiungerà un vero e proprio conflitto informatico, ammesso che tale conflitto possa essere definito con precisione. In ogni caso, l'attuale conflitto armato pone un rischio per la sicurezza informatica delle aziende, anche se resta da vedere come si svilupperà l'ulteriore situazione di rischio.
Per proteggersi efficacemente, le aziende dovrebbero, da un lato, tenere d'occhio i pericoli attuali e, dall'altro, seguire gli standard di sicurezza in modo ancora più rigoroso. Il potenziale di rischio dell'azienda è misurato dalla vicinanza geografica, commerciale o persino digitale di un'organizzazione all'Ucraina.
Costruisci una difesa prima che gli attacchi diventino concreti
Attualmente ci sono stati meno incidenti di sicurezza in relazione alla guerra di quanto temuto. La maggior parte di questi erano attacchi denial-of-service (DDoS). Finora, gli esperti non hanno ricevuto alcuna segnalazione confermata di attacchi alle vulnerabilità nei sistemi di controllo industriale (ICS). Tali azioni hanno paralizzato l'approvvigionamento energetico dell'Ucraina nel 2015 e nel 2016. Il sito web di Curated Intelligence offre una panoramica costantemente aggiornata di quanto sta accadendo. Come si svilupperà la situazione non è ovviamente prevedibile. Ma poiché la guerra è tornata in Europa, le aziende, le agenzie governative e gli operatori di KRITIS devono prepararsi all'arrivo di una guerra cibernetica.
Più è connesso all'Ucraina, più è a rischio
È ovvio che il rischio per la sicurezza informatica derivante da un attacco aumenta con la vicinanza fisica o digitale all'Ucraina. Le potenziali vittime possono essere suddivise in tre classi di rischio.
Classe di rischio 1
Aziende e istituzioni con sede in Ucraina: dovresti essere preparato al fatto che gli aggressori tentino di interrompere completamente i processi. Le attività passate lo dimostrano. Allo stesso tempo, viene presa di mira la disponibilità di servizi e sistemi informatici. Gli attacchi DDoS e la cancellazione dei dati sono da temere, così come i tempi di inattività dell'infrastruttura di rete. I criminali, soprannominati "broker di accesso iniziale", che cercano continuamente vulnerabilità per la rivendita e forniscono credenziali di accesso a reti e sistemi prima degli attacchi, ora hanno l'opportunità di vendere le loro scoperte al miglior offerente. L'arsenale di armi degli aggressori include strumenti informatici progettati per causare danni irreparabili.
Questi includono, ad esempio, il malware CrashOverride o NotPetya o il cancellatore di dati HermeticWiper della famiglia di malware KillDisk. Con HermeticWiper, gli autori possono prendere di mira le loro vittime o diffondere attacchi attraverso uno spazio di indirizzi IP per causare il maggior danno possibile. Molti criminali informatici APT sarebbero in grado di eseguire un tale attacco come Gamaredon, UNC1151 (Ghostwriter), APT29, APT28, Sandworm o Turla. È nota l'intenzione del Gruppo Conti di agire contro obiettivi in Ucraina. Tuttavia, anche gli interventi di gruppi filoucraini come Anonymous e GhostSec possono mettere in pericolo le infrastrutture informatiche.
Classe di rischio 2
Aziende e istituzioni collegate all'Ucraina: finora, gli attacchi informatici sono stati limitati all'Ucraina. Ma si può presumere che anche i paesi vicini e le organizzazioni collegate all'Ucraina ne risentiranno. Chiunque sia connesso alle organizzazioni nel paese tramite VPN o tramite la catena di fornitura dovrebbe mettere in allerta il proprio team di sicurezza IT e prepararsi alla difesa. Allo stesso tempo, i responsabili dovrebbero anche valutare il tipo di collegamento in rete e quindi il rischio specifico.
Classe di rischio 3
Aziende e istituzioni nei paesi che sostengono l'Ucraina: questo include tutti gli stati membri della NATO e dell'UE. Qui c'è il rischio di atti di vendetta da parte di gruppi statali o mercenari digitali. La possibilità che un malware simile a un tergicristallo sia già stato distribuito è alta, sebbene non ci siano ancora prove. I responsabili hanno il dovere di valutare la resilienza dei sistemi di sicurezza e dei piani di difesa ora, prima che si verifichi un vero e proprio attacco.
Difese contro gli aggressori
La situazione della sicurezza rimane poco chiara, ma le aziende possono prepararsi a potenziali rischi. Le soluzioni e i servizi di sicurezza IT come Endpoint Detection and Response (EDR) o Managed Detection and Response (MDR) aiutano e sono indispensabili. Ma c'è anche un compito specifico da svolgere per ottimizzare la sicurezza IT. I seguenti consigli si applicano a tutte le organizzazioni nelle classi di rischio appena definite:
- La correzione delle vulnerabilità note per essere già state sfruttate dai gruppi APT sostenuti dal governo ha la massima priorità. Un elenco di vulnerabilità rilevanti e note è disponibile qui.
- La posizione sicura dei backup e il test dei processi, nonché il ripristino completo testato di un ripristino di emergenza sono all'ordine del giorno in considerazione del pericolo rappresentato dai tergicristalli. Le aziende particolarmente a rischio dovrebbero spegnere tutti i computer e i server che non sono critici per il sistema IT per limitare gli effetti di un attacco.
- L'infrastruttura, la rete e la connettività dell'IT aziendale ai partner esterni devono essere costantemente monitorate. Questo è l'unico modo per identificare i potenziali attacchi in una fase iniziale e attuare piani di difesa.
- Le campagne di phishing relative all'Ucraina sono attualmente in piena espansione. I criminali informatici approfittano della disponibilità ad aiutare in pubblico con un repertorio di truffe sempre migliori che possono avere anche effetti rilevanti per la sicurezza: i dati di accesso acquisiti sono quindi il biglietto d'ingresso a sistemi e processi. Ogni dipendente deve essere consapevole di questo pericolo.
- Le misure di sicurezza IT standard sono pilastri importanti per la difesa. Ciò include l'autenticazione a più fattori per tutti gli accessi remoti, privilegiati o amministrativi alla rete, l'aggiornamento del software, la disattivazione di porte e protocolli necessari per l'azienda, nonché il controllo e la valutazione dei servizi cloud utilizzati.
Gli aggressori informatici puniranno coloro che arrivano troppo tardi per difendersi. Tuttavia, non è ancora chiaro se ciò avverrà nel contesto del conflitto in corso. Anche le opinioni degli esperti sulla portata di un attacco informatico differiscono. Alcuni esperti sostengono, non in modo plausibile, che una volta scoppiata la guerra, è più facile bombardare o impadronirsi di una fabbrica che spegnerne i server. Dopotutto, gli attacchi alle strutture di produzione e fornitura devono essere preparati se si vuole che abbiano davvero effetto. Gli attacchi DDoS o le campagne di disinformazione che contribuiscono all'incertezza sono più allettanti perché sono più efficienti. I paesi dell'UE e della NATO sarebbero certamente un obiettivo per attacchi subliminali, che sono già familiari dal tempo di pace. Tuttavia, sottovalutare il pericolo significa essere impreparati a quello che a volte può essere un grande rischio.
Altro su Bitdefender.com
Informazioni su Bitdefender Bitdefender è un leader globale nelle soluzioni di sicurezza informatica e nel software antivirus, proteggendo oltre 500 milioni di sistemi in più di 150 paesi. Dalla sua fondazione nel 2001, le innovazioni dell'azienda hanno regolarmente fornito eccellenti prodotti di sicurezza e protezione intelligente per dispositivi, reti e servizi cloud per clienti privati e aziende. In qualità di fornitore preferito, la tecnologia Bitdefender si trova nel 38% delle soluzioni di sicurezza implementate nel mondo ed è affidabile e riconosciuta da professionisti del settore, produttori e clienti. www.bitdefender.de