Le infrastrutture ICT interconnesse con Internet, con particolare riferimento ad enti, organizzazioni ed aziende sono costantemente soggette a rischio di attacchi in particolare se espongono connessioni B2B, condivisione di repository o piattaforme collaborative, accesso a siti web, posta elettronica, altre applicazioni connesse a Internet.
Attualmente inoltre la situazione di crisi mondiale definisce un potenziale allarme in tal senso, tali impatti potrebbero derivare dalla natura interconnessa della rete Internet, in quanto azioni malevole, indirizzate verso una parte di essa, possono estendersi ad infrastrutture contigue come dimostrano precedenti infezioni con impatto globale quali ad esempio NotPetya e Wannacry.
Azioni da intraprendere o monitorare
In aggiunta alle pratiche di controllo e analisi in materia di cybersicurezza ed al rispetto delle misure previste dalla legislazione vigente, si raccomanda di elevare il livello di attenzione adottando in via prioritaria, alcune azioni aggiuntive.
misure organizzative / procedure
- Verifica della consistenza e disponibilità offline dei backup necessari al rispristino in particolare dei servizi di core business.
- Implementazione di una zona demilitarizzata (demilitarized zone – DMZ) per le connettività Business-to-Business (B2B)
- Identificazione degli asset critici per lo svolgimento delle principali attività
- Applicazione del principio di privilegio minimo (least privilege) per i sistemi con relazioni di trust e/o con la possibilità di accesso da remoto.
- Incremento delle attività di monitoraggio e logging.
- Prestare particolare attenzione alla protezione degli ambienti cloud prima di trasferire file rilevanti per le attività della propria organizzazione.
- Si raccomanda di utilizzare i controlli di sicurezza resi disponibili dalle piattaforme cloud.
misure tecniche
- Prioritizzazione delle attività di patching dei sistemi internet-facing.
- Verifica delle interconnessioni tra la rete IT e le reti OT prediligendo la massima segregazione possibile tra le stesse.
- Monitoraggio degli account di servizio e degli account amministrativi per rilevare eventuali attività anomale.
- Monitoraggio dei Domain Controller, in particolare gli eventi Kerberos TGS (ticket-granting service), al fine di rilevare eventuali attività anomalie.
- Monitoraggio del traffico di rete analizzando picchi anomali nella connettività di rete in uscita, in particolare verso destinazioni inusuali quali provider VPS e VPN, nonché la rete TOR.
- Assicurarsi che dove possibile gli accessi remoti richiedano l'autenticazione a più fattori (MFA)
