Agenzia Cybersecurity, ecco i software e servizi russi da sostituire

ACN-circolare-diversificazione-IT-Security-CWI
Pubblicata in Gazzetta Ufficiale la circolare di ACN che indica le soluzioni delle categorie Endpoint Security e WAF legate alla Russia che gli enti pubblici devono "diversificare", e spiega come procedere

È stata pubblicata in Gazzetta Ufficiale la circolare n. 4336 dell’Agenzia di Cybersecurity Nazionale (ACN), attesa da giorni, con i dettagli e indicazioni procedurali sulla “diversificazione” dei prodotti e servizi di sicurezza informatica legati alla Federazione Russa prescritta dal Decreto Legge n. 21 del 21 marzo scorso.

Il decreto (art. 29) prevede infatti che “al fine di prevenire pregiudizi alla sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche […], derivanti dal rischio che le aziende produttrici di prodotti e servizi tecnologici di sicurezza informatica legate alla Federazione Russa non siano in grado di fornire servizi e aggiornamenti ai propri prodotti, in conseguenza della crisi in Ucraina, le medesime amministrazioni procedano tempestivamente alla diversificazione dei prodotti in uso”.

Più nello specifico, il decreto prevede che i prodotti da diversificare appartengano alle categorie che secondo l’ACN assicurano le seguenti funzioni di sicurezza: a) sicurezza dei dispositivi (endpoint security), ivi compresi applicativi antivirus, antimalware ed Endpoint Detection & Response (EDR); b) web application firewall (WAF).

Cosa si intende per “diversificazione”

Rispetto a queste premesse, dalla circolare appena pubblicata sulla Gazzetta Ufficiale si deduce che per “diversificazione” si intende la sostituzione dei prodotti e servizi in oggetto con altri prodotti e servizi delle stesse categorie, con un piano di migrazione pensato in modo che “in nessun momento venga interrotta la funzione di protezione garantita dagli strumenti oggetto della diversificazione”.

Da notare che le indicazioni del Decreto, e quindi della Circolare, sono obbligatorie per gli enti pubblici, ma si possono considerare delle best practice anche per le organizzazioni private.

Il concetto di base del Decreto e della Circolare è che la guerra in Ucraina impone una rivalutazione dei rischi connessi alla sicurezza informativa. Né il Decreto né la Circolare fanno riferimento a eventuali rischi di utilizzi impropri o criminosi dei prodotti e servizi da diversificare, ma si limitano a considerare solo i rischi che tali prodotti e servizi possano non essere aggiornati, manutenuti e assistiti tecnicamente in modo adeguato a causa della crisi in Ucraina.

I prodotti da diversificare

Venendo specificamente ai contenuti della circolare, l’ACN prescrive che i prodotti e servizi di IT Security che le pubbliche amministrazioni sono tenute a diversificare sono quelli di Kaspersky Lab e Group-IB per la categoria endpoint security, e quelli di Positive Technologies per la categoria WAF (Web Application Firewall), il tutto “anche se commercializzati tramite canale di rivendita indiretta e/o anche veicolati tramite accordi quadro o contratti quadro in modalità on-premise o da remoto”.

La circolare prosegue poi con alcune indicazioni procedurali raccomandate per gli enti pubblici che devono procedere alla diversificazione, nell’ambito delle best practice definite nel Framework nazionale per la cybersecurity e la data protection, edizione 2019.

Le 6 fasi raccomandate per la migrazione

In particolare l’ACN raccomanda di:

1) censire dettagliatamente i prodotti e servizi utilizzati nelle categorie endpoint security e WAF analizzando gli impatti degli aggiornamenti degli stessi sull’operatività (tempi di manutenzione necessari);

2) identificare e valutare i nuovi servizi e prodotti (da adottare al posto di quelli da diversificare, ndr) validandone la compatibilità con i propri asset, nonchè la complessità di gestione operativa delle strutture di supporto in essere;

3) definire, condividere e comunicare i piani di migrazione (ai nuovi prodotti e servizi, ndr) con tutti i soggetti interessati a titolo diretto o indiretto, quali organizzazioni interne alle amministrazioni e soggetti terzi;

4) validare le modalità di esecuzione del piano di migrazione su asset di test significativi, assicurandosi di procedere con la migrazione dei servizi e prodotti sugli asset più critici soltanto dopo la validazione di alcune migrazioni e con l’ausilio di piani di ripristino a breve termine al fine di garantire la necessaria continuità operativa. Il piano di migrazione dovrà garantire che in nessun momento venga interrotta la funzione di protezione garantita dagli strumenti oggetto della diversificazione;

5) analizzare e validare le funzionalità e integrazioni dei nuovi servizi e prodotti, assicurando l’applicazione di regole e configurazioni di sicurezza proporzionate a scenari di rischio elevati (es. autenticazione multi-fattore per tutti gli accessi privilegiati, attivazione dei soli servizi e funzioni strettamente necessari, adozione di principi zero-trust);

6) assicurare adeguato monitoraggio e audit dei nuovi prodotti e servizi, prevedendo adeguato supporto per l’aggiornamento e la revisione delle configurazioni in linea.

L’ACN raccomanda comunque di procedere applicando principi generali di gestione del rischio, e controllare costantemente i canali di comunicazione della stessa ACN.

Condividi:
 

Una nuova generazione di botnet IoT sta amplificando gli attacchi DDoS

botnet iot
Le botnet IoT non sono nuove, e neanche gli attacchi DDoS. Ma i due fenomeni interagiscono sempre più spesso per aggirare le protezioni più tradizionali contro i DDoS

Larry Pesce ricorda il giorno in cui il panorama delle minacce DDoS (Distributed Denial of Service) è cambiato radicalmente. Era il tardo autunno del 2016 quando un suo collega ricercatore del laboratorio InGuardians, di cui Pesce è direttore della ricerca, voleva vedere quanto velocemente Mirai, un nuovo programma di installazione di botnet Internet of Things (IoT), avrebbe rilevato un registratore videocamera DVR basato su Linux molto popolare nelle medie imprese di allora. Per scoprirlo, ha portato un DVR acquistato per l’occasione e ha impostato la strumentazione di osservazione prima di collegarla a Internet tramite la porta span del DVR.

“In circa 30 minuti, una connessione ha eseguito l’accesso con la password predefinita del DVR, ha scaricato il payload e lo ha unito alla botnet”, spiega Pesce. Quasi immediatamente, i due hanno registrato del traffico in uscita dal DVR e lo hanno spento prima che potesse verificarsi un DDoS sui dispositivi di qualcun altro. Inoltre, ogni volta che riavviavano il DVR, questo veniva ripristinato con la password predefinita non sicura installata in fabbrica, anche se prima l’avevano cambiata con una password sicura.

Oggi l’IoT è comunemente usato per amplificare gli attacchi DDoS e aggirare le attuali difese contro i DDoS. Ad esempio, nella seconda metà del 2021, gli attacchi DDoS hanno superato i 4 Tbps secondo un rapporto di Nokia Deepfield, che ha analizzato oltre 10.000 attacchi DDoS provenienti da provider Internet in tutto il mondo.

“Fino a qualche anno fa l’IoT utilizzato per dispositivi come frigoriferi, parchimetri e telecamere di sicurezza era raro. Ora però abbiamo superato il punto di svolta e questi prodotti rappresentano una minaccia dominante” afferma Craig Labovitz, CTO di Nokia Deepfield e autore del report. Gli attacchi DDoS da queste botnet sono sempre più utilizzati per sopraffare i sistemi Internet o l’infrastruttura di rete, inclusi i firewall. Stiamo anche vedendo gli DDoS utilizzati come distrazione per nascondere il lancio di attacchi più pericolosi, come il ransomware”.

Il report di Nokia ha rivelato anche che migliaia di DVR, telecamere connesse a Internet e persino parchimetri appartenenti a distributori di benzina banche e altre attività sono stati raggruppati in botnet. Anche i server PBX aziendali e i telefoni VOIP costituiscono una grande percentuale di dispositivi infettati da bot, sia nel cloud che in locale.

Dispositivi IoT non protetti

Uno degli impatti più pesanti di un attacco DDoS per le organizzazioni è la perdita del servizio. “Le organizzazioni pagano per la larghezza di banda utilizzata da questi bot nelle loro imprese. E, nel caso dei fornitori di servizi, i loro clienti noteranno un rallentamento e passeranno a un altro fornitore”, afferma Labovitz.

Altri rapporti indicano che anche i dispositivi consumer, in particolare i router domestici, vengono utilizzati sempre più come “muli” negli attacchi di amplificazione delle botnet DDoS. Per di più questi dispositivi sono al di fuori del regno della gestione del rischio aziendale.

“Oggi tantissimi elettrodomestici sono su Internet: frigorifero, tostapane, macchina per il caffè, sistema di sicurezza domestica, TV. Inoltre, sono tutti dispositivi che non mostrano segni di infezione a meno che non funzionino in modo irregolare o smettano proprio di funzionare” afferma Frank Clark, analista di sicurezza senior presso Hunter Strategy, una società di consulenza. “L’utente medio non si accorgerebbe di nulla e dovrebbero essere i produttori a rendere sicuri i loro dispositivi per impostazione predefinita, anche se questo è un sogno irrealizzabile”.

Secondo Clark le aziende devono rafforzare le proprie difese su due fronti: impedire che i propri dispositivi vengano trasformati in bot che generano DoS e proteggere le proprie reti, applicazioni Web e data center da devastanti attacchi DDoS. Devono anche gestire i rischi se i loro fornitori di servizi mission-critical rimangono vittime di un attacco DDoS.

Fermare gli attacchi DDoS

Le aziende Web-based, i servizi cloud e i provider Internet sono stati i principali obiettivi degli attacchi DDoS nella seconda metà del 2021 e la maggior parte di questi attacchi proveniva da IP cinesi, secondo il DDoS Trends Report di Cloudflare. Nel primo trimestre del 2022, la maggior parte degli IP che inviavano pacchetti DDoS proveniva invece dagli Stati Uniti. Sempre secondo il report di Cloudflare, gli attacchi DDoS a livello di applicazioni Web sono aumentati del 164% tra il 2021 e il 2022, mentre gli attacchi a livello di rete sono aumentati del 71%.

“Abbiamo assistito a continui attacchi ai provider VoIP che hanno avuto un impatto su tutti i loro clienti aziendali che utilizzano quel servizio” afferma Patrick Donahue, vicepresidente di Cloudflare, azienda che blocca una media di 86 miliardi di minacce DDoS al giorno. A volte vediamo gli ISP letteralmente sopraffatti, cosa che ovviamente ha un impatto sui loro clienti aziendali: è allora che gli ISP si rivolgono a noi per proteggere l’intera rete”.

Come già detto, il DDoS è comunemente usato anche come una sorta di “cortina fumogena” per nascondere altre azioni più dannose sulla rete, in particolare attacchi ransomware; perciò è fondamentale impostare degli alert sull’attività DoS al primo avviso, aggiunge Donahue.

attacchi DDoS

Tuttavia, il rilevamento di DDoS su larga scala lanciato dall’IoT è più difficile perché i dispositivi IoT dirottati utilizzano pacchetti legittimi che inviano richieste Web legittime. Le difese tradizionali sono ottimizzate per rilevare modelli noti di indirizzi IP, intestazioni e payload contraffatti. A causa dell’enorme volume di traffico, il blocco degli attacchi DDoS amplificati dall’IoT non è possibile o pratico per la maggior parte delle organizzazioni; è quindi fondamentale una protezione che vada oltre l’ispezione di base dei pacchetti e l’analisi comportamentale. “Cloudflare distribuisce il traffico sulla propria rete globale, che può assorbire enormi attacchi DDoS. La maggior parte delle organizzazioni però non ha questa capacità, afferma Clark.

Cloudflare blocca i pacchetti e le richieste DDoS in entrata il più vicino possibile alla loro origine. Nokia Deepfield affronta questo problema a livello di routing monitorando costantemente il traffico sulla sua rete globale e aggiornando la sua intelligence man mano che le nuove tendenze DDoS si materializzano nei loro feed.

Prevenire il dirottamento del dispositivo

Non sorprende che i dispositivi IoT stiano realizzando il loro potenziale per diventare botnet. Le loro CPU sono più potenti, i loro tempi di elaborazione più rapidi e sono device distribuiti in tutto il mondo in locale e nel cloud. Clark afferma che i dispositivi consumer e aziendali vengono arruolati in queste reti perché mancano dei controlli di sicurezza di base e perché le botnet composte da dispositivi IoT sono molto più difficili da smantellare.

Pertanto, le organizzazioni devono impedire che i propri dispositivi IoT vengano arruolati nelle botnet afferma Piotr Kijewski, CEO della Shadowserver Foundation e fondatore del progetto Polish Honeynet. “Se i responsabili IT vogliono ridurre la quantità di attacchi DDoS contro le loro organizzazioni, devono iniziare a farlo proteggendo la propria rete e riducendo la superficie di attacco. Il primo passo per riuscirci è mantenere un inventario sempre aggiornato delle risorse IoT che sono esposte su Internet”.

La Shadowserver Foundation, che ha iniziato a monitorare le botnet che inviano attacchi DDoS nel 2005, ha contato 560.000 attacchi DDoS separati in 30 giorni da metà marzo a metà aprile del 2022. Pur non monitorando specificamente i bot IoT, Kijewski afferma che molte delle botnet sono basate su telecamere IP, sistemi video DVR e NVR, router domestici e dispositivi di archiviazione.

“Vediamo che i vettori più popolari sono i servizi aperti NTP, LDAP e SNMP. Questo è il motivo per cui è importante cercare di ridurre il numero di servizi aperti di cui si può abusare”, consiglia Kijewski. Per quei dispositivi IoT che non possono essere patchati, aggiornati o protetti, il monitoraggio della rete dovrebbe essere ottimizzato per rilevare il traffico in uscita da questi dispositivi. Pesce suggerisce anche una VLAN o NAC separata per la connessione dell’IoT.

“Questi sono controlli di rete efficaci e la base per il modello zero trust, che include il monitoraggio e l’inventario delle risorse. Quando sapete cosa c’è nella vostra rete e conoscete con esattezza i dispositivi al suo interno, potete monitorare attività insolite, comprese le notifiche di nuovi dispositivi aggiunti alla rete. E, quando possibile, assicuratevi che le patch vengano applicate”.

Uno degli indizi sicuri di un’infezione da botnet all’interno di una rete è la lentezza delle prestazioni, aggiunge Labovitz di Nokia, che consiglia di ottimizzare i sistemi di monitoraggio della rete per rilevare e avvisare immediatamente in caso di rallentamenti della rete. Le aziende che si affidano a servizi come il VoIP e la connettività dovrebbero anche cercare soluzioni dai propri operatori e fornitori. “Dobbiamo risolvere questo problema a livello di settore e incoraggiare best practice come il BGP (Border Gateway Protocol) firmato e sicuro e il filtraggio”, conclude Labovitz.

Condividi: