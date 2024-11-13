Gli avversari degli stati nazionali stanno cambiando il loro approccio, passando dalla distruzione dei dati alla priorità della furtività e dello spionaggio. Secondo il Microsoft 2023 Digital Defense Report, “gli aggressori degli stati nazionali stanno aumentando i loro investimenti e lanciando attacchi informatici più sofisticati per eludere il rilevamento e raggiungere priorità strategiche”.
Questi attori rappresentano una minaccia critica per le infrastrutture e i dati protetti degli Stati Uniti, e la compromissione di una delle due risorse potrebbe mettere a rischio i cittadini.
Fortunatamente, questi tentativi maligni hanno un lato positivo: le informazioni. Analizzando le tattiche degli stati nazionali, si evince che le agenzie governative e le imprese private sono meglio preparate a monitorare, gestire e mitigare questi attacchi.
La Cybersecurity & Infrastructure Security Agency (CISA) identifica quattro prolifici attori degli stati-nazione: il governo cinese, il governo russo, il governo della Corea del Nord e il governo iraniano. Ognuno di questi attori utilizza diversi metodi per compromettere la sicurezza e ottenere accesso alle reti delle vittime.
Secondo Jermaine Roebuck, associate director for threat hunting presso CISA: "Questi includono phishing, uso di credenziali rubate e utilizzo di vulnerabilità prive di patch e/o configurazioni errate di sicurezza. Conducono un'ampia ricognizione pre-compromissione per conoscere l'architettura di rete e identificare le vulnerabilità. Con queste informazioni, questi attori sponsorizzati dallo stato utilizzano vulnerabilità nei dispositivi edge e utilizzano al meglio le configurazioni errate del sistema per ottenere un accesso iniziale. Spesso utilizzano codice di exploit disponibile pubblicamente per le vulnerabilità note, ma sono anche abili nello scoprire e sfruttare vulnerabilità zero-day . Una volta ottenuto l'accesso alle reti delle vittime, gli attori avanzati utilizzano tecniche living-off-the-land (LOTL) per evitare il rilevamento."
Sulla base della conoscenza di tecniche e tattiche utilizzate dagli attori delle minacce, le organizzazioni sono più consapevoli su dove allocare le risorse di sicurezza limitate. "Conoscere queste tattiche consente ai difensori di applicare concetti di sicurezza e classi di tecnologie per mitigare gli attori avversari e concentrarsi su proprietà e valore dei dati chiaramente definiti per rilevare le loro tecniche", afferma Roebuck.
In altre parole, più le aziende e le agenzie apprendono sui metodi di attacco degli stati nazionali, meglio è.
Sebbene le azioni di ogni stato nazionale offrano insight protettivi per la cybersecurity americana, c'è un'altra componente per una difesa efficace: il ritorno alle origini.
Questi approcci non si escludono a vicenda. Allo stesso tempo, le agenzie governative devono identificare e smantellare le campagne di disinformazione, ed è altrettanto critico garantire che i sistemi includano l'autenticazione a più fattori (MFA) a prova di manomissione per ridurre il rischio di compromissione.
Secondo Roebuck, altre raccomandazioni CISA comprendono:
"Le organizzazioni dovrebbero condurre regolarmente sessioni di formazione per riconoscere i tentativi di phishing e adottare una buona igiene informatica", afferma. "Secondo fonti fidate di Open-Source Intelligence (OSINT), il 75% delle intrusioni erano 'senza malware'. Questo significa che gli attori delle minacce sono 'entrati dalla porta principale' con account validi ottenuti tramite phishing e ingegneria sociale. Gli utenti devono essere ben addestrati a riconoscere le tecniche di ingegneria sociale e le e-mail di phishing."
Per limitare i problemi relativi alle credenziali, Roebuck consiglia che tutti gli account abbiano password complesse e univoche e suggerisce alle aziende di modificare le credenziali predefinite. "Le password forti e univoche prevengono l'accesso non autorizzato rendendolo molto più difficile, limitano i danni assicurando che gli attori delle minacce non possano accedere facilmente ad altri account, riducono gli attacchi comuni che mirano a password predefinite o deboli, proteggono le informazioni sensibili e migliorano la sicurezza generale".
La natura coordinata degli attacchi degli stati nazionali significa che nessuna impresa o agenzia governativa è un'isola. Sono invece gli sforzi cooperativi delle organizzazioni a rendere possibile una maggiore sicurezza.
Anche la CISA sta facendo la sua parte per aiutare. Roebuck fa riferimento alla consulenza congiunta dell'agenzia sulla Repubblica Popolare Cinese (RPC), che fornisce azioni raccomandate per rilevare, mitigare e risolvere le minacce emergenti. "Sappiamo, tuttavia, che gli attori delle minacce evolvono costantemente le loro TTP", afferma. "Di conseguenza, la CISA ha una forte partnership con agenzie governative, partner commerciali e infrastrutture critiche per fornire informazioni utilizzabili volte a combattere l'evoluzione delle attività informatiche dannose, come quelle della RPC."
CISA ha inoltre recentemente pubblicato il piano Operational Cybersecurity Alignment (FOCAL) del Federal Civilian Executive Branch (FCEB), che offre una roadmap per aiutare le organizzazioni del settore pubblico e privato a migliorare il coordinamento della cybersecurity e a difendersi meglio dalle minacce degli stati nazionali.
In definitiva, il consiglio di Roebuck in materia di sicurezza è semplice: "Per proteggersi dalla crescente diffusione di malintenzionati, è necessario implementare e mantenere una soluzione efficace per rilevare le intrusioni ed espellere gli aggressori il più rapidamente possibile".
