Quando il mondo ha appreso che la Russia aveva invaso l’Ucraina, alla fine di febbraio, osservatori esterni si aspettavano che le tattiche dell’invasione comprendessero un massiccio uso di attacchi informatici. Ma, con sorpresa di molti, gli attacchi informatici sono stati limitati e mirati piuttosto che diffusi. La Russia ha certamente dimostrato in passato la sua potenza e le sue capacità nello spazio della cybersicurezza; un esempio chiave è l’incidente del 2016, in cui hacker russi hanno attaccato la rete elettrica ucraina.

Perché la Russia non ha reso gli attacchi informatici su larga scala una priorità assoluta nelle ultime settimane?

Sappiamo che il GRU, il servizio informazioni delle Forze armate russe, è stato coinvolto negli attacchi Disruptive Denial of Service (DDoS) contro il settore finanziario ucraino a metà febbraio. Un altro attacco informatico, come riportato dal Washington Post, ha lasciato intendere che gli hacker spia dell’esercito russo hanno attaccato un importante servizio satellitare a banda larga. Secondo gli esperti dell’intelligence statunitense, il mese scorso questo attacco informatico ha causato un’interruzione nelle comunicazioni militari dell’Ucraina.

Sono in arrivo altri attacchi informatici?

In preparazione per un’escalation degli attacchi informatici alle infrastrutture statunitensi, la Casa Bianca ha rilasciato una dichiarazione in cui suggeriva che la Russia potrebbe condurre attività informatiche dannose contro gli Stati Uniti. La Casa Bianca ha esortato ogni azienda statunitense a rischio a “rafforzare le proprie difese di sicurezza informatica… per rafforzare la sicurezza e la resilienza dei servizi critici e delle tecnologie su cui fa affidamento”.

Nonostante queste paure e aspettative, si è verificata poca attività. Uno dei possibili motivi è che il governo e l’esercito russi presumevano che la vittoria sarebbe stata semplice e rapida e che la forza fisica sarebbe stata l’unico mezzo necessario. Di conseguenza, gli attacchi informatici e la loro complessa pianificazione e attuazione non erano necessari.

Un secondo scenario è che, anche se la guerra si sta protraendo, è prevalsa la moderazione nell’area della sicurezza informatica. Un importante attacco informatico russo contro gli Stati Uniti o la NATO porterebbe potenzialmente a impegnare queste formidabili forze in un modo molto più significativo.

Un’altra linea di pensiero è che le nostre difese sono effettivamente migliori di quanto ci si aspettava. Al di là degli Stati Uniti e della NATO, anche le difese dell’Ucraina sono molto più solide di quanto lo fossero sei anni fa. L’Ucraina ha investito tempo e denaro per sostenere le sue strutture di difesa informatica dopo le esperienze con gli hacker russi che hanno attaccato la sua rete elettrica.

Alcuni hanno anche ipotizzato che la forza del crowdsourcing dei talenti della sicurezza informatica sia all’interno che all’esterno dell’Ucraina abbia contribuito a fornire un livello di protezione contro gli attacchi russi. Allo stesso tempo, sappiamo che molti hacker si sono uniti per sostenere la Russia.

È questo gruppo di hacker disorganizzati e decentralizzati che probabilmente ha creato la maggior parte dell’attività dell’ultimo mese e mezzo e continuerà a farlo. Tuttavia, sono le armi informatiche organizzate e avanzate di un’entità sostenuta dal governo che potrebbero creare il danno maggiore. E non è solo alla Russia che dovremmo guardare, considerando che ci sono prove che suggeriscono che la Cina ha coordinato tentativi di hacking su oltre 600 siti web appartenenti al ministero della Difesa di Kiev, oltre che a istituzioni mediche ed educative.

Attacchi informatici avanzati richiedono tempo per la pianificazione, il coordinamento e l’attuazione, ma gli esperti suggeriscono di prepararsi ad affrontarli.

Quindi, indipendentemente dallo scenario o dagli scenari che si verificheranno, i CISO devono rimanere più vigili che mai per proteggersi da queste minacce che emergono sia dalla comunità degli hacker che dalle organizzazioni sostenute dal governo.

Proteggere la rete e i sistemi cloud

La pianificazione di un potenziale scenario peggiore è sempre una priorità per coloro che lavorano in ruoli di sicurezza, e oggi lo è più che mai. Sebbene esistano molti vettori di attacco, una strategia logica e semplice è sfruttare credenziali compromesse dei dipendenti chiave di un’organizzazione. Con questa strategia gli avversari avrebbero accesso illimitato ai sistemi aziendali e potrebbero attaccare l’infrastruttura interna o basata su cloud, portandola offline.

Come proteggere meglio la propria azienda da un attacco del genere? Considerate queste quattro pratiche.

  1. Assicurarsi che le identità dei dipendenti e le credenziali di accesso siano più controllate il più possibile. Si spera che l’autenticazione a due o più fattori sia già in atto. L’autenticazione in due o più passaggi può proteggere meglio l’azienda dall’uso dannoso delle credenziali esposte.
  2. Imporre ai dipendenti di reimpostare frequentemente le proprie password per garantire che eventuali password compromesse non funzionino più.
  3. Esaminare strategie e processi di risposta agli incidenti. Molte aziende hanno implementato soluzioni SOAR per la risposta agli incidenti. È fondamentale eseguire esercitazioni con i team aziendali per poter rispondere efficacemente quando si verifica un attacco.
  4. La condivisione delle informazioni con partner e colleghi deve diventare una pratica standard. I CISO devono prendere in considerazione la condivisione dei dati sulle minacce e delle migliori pratiche con le organizzazioni esterne. Si discute di questo problema da anni e c’è ancora molta riluttanza, ma la protezione del proprio settore, azienda e paese dovrebbe superare la paura di rivelare i problemi.

Diverse organizzazioni del settore sono coinvolte nella condivisione dei dati, come IT-ISAC e ISAO , ma questa attività può svolgersi anche a un livello più diffuso. Per esempio, è possibile condividere informazioni con i colleghi del settore attraverso una chiamata Zoom privata. Sarete sorpresi dalle conoscenze che acquisirete e da quanto alcuni siano ansiosi di condividere ciò che sanno in quest’area.

Se è auspicabile anche l’intervento dei governi in materia di sicurezza informatica, i responsabili del settore non possono restare in attesa. Devono rafforzare le difese aziendali e collaborare con i partner per monitorare i rischi nuovi e in evoluzione per la sicurezza informatica.