Opinion article a cura di Stuart McKenzie, Senior VP Mandiant Consulting
Incontri politici e istituzionali, elezioni e avvenimenti sportivi sono alcuni degli eventi che possiedono una maggiore risonanza mediatica a livello internazionale, nazionale o regionale.Presentano, infatti, anche sfide uniche per la protezione delle infrastrutture critiche e della supply chain. Nel corso del 2022 sono molti gli eventi che richiameranno l’attenzione del pubblico: il Tour de France, gli Europei di nuoto in programma a Roma e quelli femminili di calcio in Inghilterra, fino alla Coppa del Mondo FIFA che si terrà, per la prima volta nella storia, in inverno. Indipendentemente dal fatto che durino un singolo giorno, settimane o mesi una difesa efficace contro le minacce informatiche deve essere sempre tenuta in forte considerazione.
La protezione da questa tipologia di eventi richiede difese attive supportate dalle più recenti informazioni su potenziali attaccanti. Gli organizzatori devono disporre di programmi di sicurezza strategici e delle giuste soluzioni tecniche per rafforzare la loro posizione di sicurezza prima dell’inizio dell’evento e per supportare le operazioni una volta che questo ha avuto inizio. Fornire capacità informatiche resilienti in tempi rapidi è una sfida importante che richiede attenzione e investimenti per una corretta pianificazione e implementazione.
Ci sono tre fasi a cui prestare attenzione nel periodo che precede e durante un grande evento:
- Comprendere l’ambiente: prepararsi, rafforzarsi ed esercitarsi;
- Anticipare le minacce: testare, monitorare e difendere;
- Sopravvivere agli attacchi: rispondere, contenere e rimediare.
Comprendere l’ambiente
Questa è la fase che dovrebbe svolgersi sempre prima di un grande evento, con l’obiettivo di proteggere e rafforzare in modo proattivo la posizione di sicurezza generale.
Siete a conoscenza dei potenziali avversari? Avete preparato efficacemente persone, processi e tecnologie? Alcuni degli aspetti critici da considerare nella fase di preparazione includono:
- Garantire il monitoraggio e l’analisi degli alert, la ricerca proattiva degli attaccanti, il contenimento e il ripristino delle minacce;
- Implementare le tecnologie di rilevamento degli endpoint e del network in tutto l’ambiente e l’autenticazione a più fattori su tutti gli account e i servizi rivolti all’esterno;
- Creare alert per le vulnerabilità emergenti e sfruttate, nonché per le minacce attuali e imminenti, sulla base delle informazioni più recenti sul panorama delle minacce;
- Monitorare i social media, i blog, i forum, i siti di notizie e le app di messaggistica per individuare minacce e campagne di disinformazione;
- Coordinarsi con le agenzie nazionali competenti per ottenere e contribuire alle relative informazioni.
Quando si tratta di rendere più forte l’infrastruttura è necessario condurre attività di compromise assessment e convalidare i controlli per verificare la sicurezza e l’integrità dell’ambiente e dei dati chiave da proteggere. Bisogna pensare a quali possono essere le diverse vie d’accesso all’ambiente e assicurarsi di registrare e scansionare regolarmente tutte le risorse della rete rivolte verso l’esterno.
In un momento di caos non vorrete dover pensare a chi coinvolgere, quindi, è importante assicurarsi di aver designato un team di risposta alla crisi e di avere il giusto supporto organizzativo, esecutivo e di comunicazione. Il suggerimento è di condurre un’esercitazione tabletop per assicurarsi che tutte le parti coinvolte abbiano compreso i loro ruoli e le loro responsabilità durante un incidente e testare le procedure di backup in modo da garantire che i dati critici possano essere ripristinati rapidamente e che le funzioni aziendali critiche possano restare disponibili.
Anticipare le minacce
Non appena l’evento inizierà, contestualmente aumenterà il rischio di attacchi informatici distruttivi o dirompenti. A questo punto è necessario passare a una modalità di difesa attiva elevata. Le priorità principali comprendono una convalida continua dei controlli di sicurezza e la difesa delle risorse critiche. Si tratta di inibire l’accesso all’attaccante in modo che non possa raggiungere l’obiettivo. Anche in questo caso i test sono importanti, sia che si tratti di attività di penetration testing ad hoc su tutti gli asset rivolti verso l’esterno, sia che si tratti di testare la capacità del team interno e della tecnologia di rilevazione, prevenzione e risposta, sia di testare i tempi di reazione del team di incident response contro i metodi reali utilizzati dagli attaccanti.
Monitorare in tempo reale ciò che accade è un fattore chiave in questa fase:
- Creare una situation room per riunire le informazioni e le comunicazioni delle operazioni, dell’intelligence e dell’organizzazione esterna;
- Monitorare, analizzare e riferire in continuazione dati e analisi rilevanti provenienti da fonti di intelligence;
- Condurre attività di hunting e di monitoraggio rafforzate per comportamenti privi di indicatori; supporre che gli attacchi siano in corso e che i controlli tecnici abbiano tralasciato qualcosa;
- Convalidare continuamente l’efficacia dei controlli di sicurezza rispetto ai comportamenti di attacco attivi;
- Limitare le comunicazioni in uscita sui sistemi critici.
In definitiva, l’attenzione deve essere rivolta alla protezione degli asset critici: quali sono i vostri crown jewels e quali potrebbero essere gli obiettivi di un avversario?
Proteggere le infrastrutture specifiche ad alto valore e l’architettura di rete per limitare o eliminare l’accesso ai sistemi critici da parte degli avversari, assicurandosi di disporre di backup offline da utilizzare in caso di necessità.
Sopravvivere agli attacchi
Giunti a questo punto si spera che si sia trascorso il giusto tempo a preparare, progettare e testare le difese e ora si tratta solo di essere pronti a rispondere e fornire continuità.
Durante i grandi eventi la copertura mediatica nazionale, internazionale e sociale è spesso parallela all’attività in tempo reale. Disporre di informazioni approfondite sulle tattiche, tecniche e procedure esistenti ed emergenti degli attori delle minacce consente di avere una risposta efficace ed efficiente agli incidenti. Una risposta efficace agli incidenti e alle violazioni va oltre le indagini tecniche, il contenimento e il recupero e comprende la comunicazione esecutiva e la gestione della crisi, come le considerazioni legali, normative e di pubbliche relazioni. A tal fine è necessario assumere una visione della situazione da parte del potenziale avversario. Prepararsi a un incidente da un solo punto vista, senza ricorrere all’esperienza del mondo reale e ai dati noti sulle minacce, porta a risolvere solo metà dell’equazione.
Dopo l’evento principale, prendetevi del tempo per dettagliare i successi, le sfide e le raccomandazioni. Possiamo sempre continuare a imparare da eventi simili e cercare di condividere quante più informazioni possibili per evitare future circostanze affini.
Le sfide sulla sicurezza informatica che dobbiamo affrontare oggi sono spesso troppo grandi per essere affrontate in solitaria e la maturità e la capacità delle operazioni di difesa informatica necessarie richiedono attenzione e investimenti significativi e sostenuti.Queste sfide si acuiscono ulteriormente in occasione di grandi eventi e proteggerli significa disporre di difese informatiche rapide e adattabili in condizioni di pressione uniche. Una strategia e un playbook aiutano a raggiungere un risultato favorevole, non solo per gli organizzatori ma anche per chi gareggia, per gli spettatori dal vivo e per coloro che guardano l’evento da tutto il mondo.
