L’ ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) ha pubblicato il 26 febbraio 2022 la guida “Misure prioritarie di prevenzione informatica”, che contiene 5 raccomandazioni da applicare al più presto per limitare il rischio informatico a fronte delle attuali tensioni internazionali, in previsione di un aumento di attacchi informatici alle aziende ed amministrazioni Francesi valide anche per qualsiasi realtà organizzativa.
Cyberwatch vi fornisce di seguito le informazioni dettagliate per l’attuazione di queste raccomandazioni.
L’ANSSI raccomanda di applicare 5 misure preventive in materia di autenticazione, supervisione, backup, mappatura e gestione delle crisi.
Le raccomandazioni riguardano:
- l’implementazione della cosiddetta autenticazione “forte” o “a 2 fattori” che comporta 2 diversi fattori come una password e un codice ricevuto via SMS o generato da una chiave fisica;
- il monitoraggio degli eventi di sicurezza attraverso una supervisione rafforzata, basata su dispositivi come IDS, IPS e EDR o XDR;
- l’esecuzione di backup dei dati per facilitare l’esecuzione di un Disaster Recovery Plan (DRP), assicurandosi che i backup siano messi offline per i sistemi più sensibili, al fine di proteggerli meglio da un attacco ransomware;
- la mappatura delle risorse, per identificare gli elementi più importanti del sistema informativo;
- la creazione di un’unità di gestione delle crisi in grado di reagire in caso di attacco informatico e guidare il recupero e la continuità dell’attività dell’azienda, anche in caso di attacco ai dispositivi.
Raccomandazione n. 1: implementare un’autenticazione forte sul sistema informatico
L’implementazione di un’autenticazione forte/a due fattori è molto più facile se l’azienda ha un sistema di federazione delle identità (gestione delle identità digitali)
Nel caso di autenticazione con federazione delle identità digitali, i punti da controllare sono:
- attivazione obbligatoria dell’autenticazione a due fattori, almeno via SMS per tutti i dipendenti, e possibilmente con una chiave fisica per gli account con privilegi avanzati.
- utilizzo obbligatorio dell’autenticazione federata per le applicazioni aziendali, con priorità alle applicazioni più importanti dell’organizzazione.
Qui sotto alcuni link utili relativi agli strumenti di gestione dell’identità più usati sul mercato:
Soluzioni di gestione dell’identità abilitate all’MFA offerte dai membri di Hexatrust:
Soluzioni di autenticazione forte offerte dagli ambienti di lavoro basati sul cloud:
Raccomandazione n. 2: implementare il monitoraggio degli eventi di sicurezza
Il monitoraggio degli eventi di sicurezza avviene con l’abilitazione della registrazione di alcuni log di sistema e di rete.
La regola 36 della guida all’igiene informatica dell’ANSSI raccomanda di monitorare i seguenti eventi:
- eventi firewall: pacchetti bloccati;
- eventi di sistema e delle applicazioni: autenticazioni e autorizzazioni, fallimenti e successi, arresti imprevisti;
- eventi generati dai servizi: errori di protocollo (403, 404, 500 errori per i servizi HTTP), intestazioni HTTP e SMTP…
Per ambienti Linux, l’ANSSI suggerisce nella sua guida “Raccomandazioni di Sicurezza per i sistemi GNU/Linux” di utilizzare audit per configurare gli eventi di sicurezza da generare e di utilizzare syslog e l’email per la loro trasmissione.
Per ambienti Windows, l’ANSSI fornisce numerose raccomandazioni nella sua guida “Raccomandazioni di Sicurezza per il tracciamento dei sistemi Microsoft Windows con Active Directory”. Cyberwatch raccomanda in particolare di consultare e implementare le appendici B e C di questo documento.
La nostra soluzione Cyberwatch Compliance Manager può essere utilizzata per monitorare l’attuazione di tali regole, sulla base delle informazioni fornite dal Center for Internet Security.
Per il monitoraggio della rete, sono disponibili soluzioni IDS / IPS che generano eventi in caso di traffico sospetto, come Crowdsec come agenti, o Gatewatcher come sonda di rete. Firewall come Stormshield e sistemi proxy come Olfeo offrono anche loro sistemi di monitoraggio del traffico.
Infine, alcune soluzioni specifiche aiutano anche a identificare altri eventi su aree specifiche del sistema informativo, come IDECSI per il monitoraggio delle e-mail o Vade per le e-mail dannose.
Raccomandazione n. 3: implementare un sistema di backup
Un buon sistema di backup del computer può ridurre al minimo la perdita delle operazioni di un’organizzazione, in particolare nel caso di un attacco ransomware.
La regola 37 della guida all’igiene informatica dell’ANSSI raccomanda di “definire e applicare una politica di backup per i componenti critici”.
Una politica di backup si basa in particolare sulle seguenti informazioni:
- Elenco delle informazioni essenziali per la sopravvivenza dell’organizzazione;
- Elenco dei dispositivi interessati da questi dati critici
- Tipi di backup da eseguire e loro frequenza.
- Inoltre, una politica di backup è incompleta se non contiene procedure regolari per i test di ripristino: capita che i backup non possano essere utilizzati a causa della corruzione. Solo test regolari possono controllare e limitare questo rischio.
Esistono soluzioni di backup, sia in ambiente open source che commerciale anche per OneDrive.
Una scheda completa per aiutare ad implementare un sistema di backup è disponibile sul sito Cybermalveillance.gouv.fr.
Raccomandazione n. 4: mappate le vostre risorse, che siano esposte o meno a Internet
La mappatura delle risorse può essere fatta in diversi modi:
- un approccio di integrazione, dove la mappatura consiste nell’interrogare un sistema di base incaricato di controllare una parte del sistema informativo (per esempio, interrogare l’Active Directory per identificare l’elenco degli asset Windows nel dominio);
- un approccio euristico, dove la mappatura è fatta da una serie di richieste di enumerazione sul sistema informativo (per esempio, lanciando una serie di richieste ICMP con ping, su un intervallo IP).
L’approccio di integrazione fornisce una visione più completa molto rapidamente, ma richiede una lista di tutti i sistemi di base dell’azienda. I tipici sistemi di base sono strumenti di virtualizzazione (VMWare, Nutanix, ecc.), directory aziendali (OpenLDAP, Active Directory, ecc.), nomi di dominio e ambienti cloud come OpenStack, Amazon Web Services, Microsoft Azure e Google Cloud Platform.
L’approccio euristico fornisce un punto di vista realistico, vicino a quello che avrebbe un attaccante che esplora il sistema informativo. Tuttavia, questo approccio richiede molto tempo e può generare falsi positivi o falsi negativi: una macchina che non risponde alle richieste ICMP, per esempio, sarà resa invisibile a una ricerca ping.
La piattaforma Cyberwatch include diversi meccanismi di mappatura, per integrazione ed euristico, per aiutarvi a identificare gli elementi del vostro sistema informativo.
Cyberwatch è compatibile con i log di Certificate Transparency, permettendovi di identificare in pochi secondi quali sottodomini sono collegati a un vostro nome di dominio, con i vostri ambienti Active Directory, cloud e virtualizzazione locale, permettendo scansioni di rete via SYN-scan e NSLookup.
Le risorse identificate possono poi essere scansionate da Cyberwatch per precisare ulteriormente tutte le tecnologie utilizzate e le vulnerabilità associate.
Raccomandazione n. 5: creare un’unità di gestione delle crisi per gli incidenti di sicurezza informatica
Un’unità di gestione della crisi è un organismo profondamente legato alla governance dell’azienda: i membri di questa unità saranno molto diversi a seconda che l’azienda esternalizzi o meno la sua gestione delle informazioni; questa unità farà appello a esperti terzi a seconda delle competenze giuridiche e tecniche presenti.
In questo contesto, il primo passo nella creazione di un’unità di gestione della crisi è capire quale sia la minaccia e quale l’impatto che un incidente informatico potrebbe avere sull’azienda. Un esempio è disponibile nella guida ANSSI “Organizzare un esercizio di gestione della crisi informatica”.
L’ANSSI, in collaborazione con il Club dei direttori di sicurezza e di sicurezza delle imprese (CDSE), fornisce una serie di schede pratiche su tutte le azioni potenzialmente necessarie in una situazione di crisi informatica, con suggerimenti per l’organizzazione, nella sua guida Crise d’origine cyber, les clés d’une gestion opérationnelle et stratégique
Questa guida propone il seguente schema organizzativo per l’unità di gestione delle crisi:
Per le strutture più piccole, l’essenziale è avere una cellula strategica, incaricata di prendere decisioni, e una cellula operativa, incaricata di fornire informazioni, supportata da ogni unità di business dell’azienda se necessario.
Le organizzazioni che lo desiderano possono anche rivolgersi a specialisti nella risposta agli incidenti esterni, la lista delle organizzazioni francesi qualificate come “Security Incident Response Service Providers (PRIS)” è disponibile sul sito dell’ANSSI.
In ogni caso, è importante segnalare qualsiasi incidente di sicurezza alle autorità, attraverso i contatti menzionati nella pagina dedicata dell’ANSSI (per l’Italia al CSIRT https://csirt.gov.it/segnalazione)
Per andare oltre: monitorare gli avvisi di sicurezza e le vulnerabilità del ANSSI CERT-FR (e dallo CSIRT per l’Italia) e distribuire le patch di sicurezza appropriate.
Con più di 20.000 vulnerabilità pubblicate nel 2021 dal National Vulnerability Database (NVD), cioè più di 50 al giorno, è particolarmente importante monitorare le tecnologie utilizzate all’interno della vostra azienda e cercare continuamente le vulnerabilità associate.
Ogni vulnerabilità pubblicata presente nel vostro sistema informativo e non affrontata è in effetti un mezzo pubblicamente documentato per lanciare potenzialmente un attacco contro le vostre risorse.
Come indicato nel documento “Vulnerability Manager” – pubblicato come parte del piano France Relance – più del 99% delle vulnerabilità sfruttate sono note.
Diversi esempi recenti dimostrano che i grandi attacchi sono semplicemente legati a tali vulnerabilità, come WannaCry e NotPetya, che hanno fatto appello a CVE-2017-0143 noto anche come MS17-010 o EternalBlue, o la serie di vulnerabilità Log4Shell legate alla tecnologia Log4J e riferite sotto i codici CVE-2021-44228, CVE-2021-45046, CVE-2021-45105, CVE-2021-4104 e CVE-2021-44832.
Ognuna di queste vulnerabilità è coperta da patch di sicurezza fornite dai fornitori, che devono semplicemente essere distribuite per neutralizzare il rischio informatico associato.
In caso di crisi internazionale, le aziende e le amministrazioni più attente si assicureranno quindi che le loro patch di sicurezza siano distribuite regolarmente su tutto il loro sistema informativo, manualmente o con l’aiuto di strumenti come la nostra piattaforma Cyberwatch Vulnerability Manager, che permette di rilevare, dare priorità e correggere le vulnerabilità in modo continuo, con o senza un agente.
Approfittate del nostro supporto e parlate con i nostri esperti: se avete domande o bisogno di approfondimenti chiamateci al numero 0039 02 87366438