Le tattiche di guerra cibernetica possono non coinvolgere carri armati e bombe, ma spesso vanno di pari passo con i combattimenti reali.
L’invasione russa dell’Ucraina ne è un esempio lampante. Prima che le truppe russe varcassero il confine, gli hacker russi avevano già messo fuori uso i siti web del governo ucraino. E dopo l’inizio del conflitto, il gruppo di hacktivisti Anonymous ha ribaltato la situazione hackerando i media russi per bloccare la propaganda sulla guerra.
In questi tempi senza precedenti di attacchi mirati contro governi e istituzioni finanziarie, ogni organizzazione dovrebbe essere in allerta per proteggere le proprie infrastrutture critiche e la superficie di attacco digitale.
Con il conflitto tra Russia e Ucraina come sfondo, due esperti di sicurezza di Trend Micro – il vicepresidente di Threat Intelligence Jon Clay e il responsabile della sicurezza informatica Ed Cabrera – hanno recentemente discusso delle tecniche di guerra informatica e di come queste siano un importante promemoria per ogni azienda per gestire in modo proattivo il rischio informatico.
Le tattiche di guerra informatica sono sempre più efficaci
Anche se non abbiamo ancora assistito a una guerra informatica pura e semplice, le tipiche tattiche di guerra informatica, come l’hacking di siti web governativi, la diffusione di disinformazione sui social media e l’installazione di malware per rubare i dati, stanno assumendo un ruolo maggiore nei conflitti fisici. In un mondo in cui le persone e le infrastrutture critiche sono iperconnesse, gli hacker malintenzionati hanno un’abbondanza di obiettivi.
Prendiamo l’attacco ransomware Colonial Pipeline del 2021 e l’attacco alla rete elettrica ucraina del 2015. Entrambi sono atti di guerra informatica che hanno interrotto con successo un bene critico: l’energia elettrica. Un’altra risorsa vitale in ogni conflitto è la comunicazione: Gli hacker russi hanno seguito una strategia di interruzione delle comunicazioni chiudendo i siti governativi ucraini e mandando in onda notizie false sui canali televisivi ucraini. Entrambe le tattiche hanno avuto successo, impedendo ai cittadini di ricevere informazioni importanti.
“Le tattiche di guerra informatica hanno uno scopo reale se si è in grado di interrompere l’energia o le comunicazioni“, ha dichiarato Ed Cabrera di Trend Micro. “Il modo per ottenere il dominio in qualsiasi conflitto è quello di eliminare il comando e il controllo. E cosa sono? Il potere e le comunicazioni… Ora avete creato abbastanza opportunità sul lato fisico per venire a fare più danni“.
La disinformazione è potere
La guerra dell’informazione e la propaganda non sono una novità. Ma i social media e i cicli di notizie 24 ore su 24, 7 giorni su 7, hanno reso molto più facile la diffusione della disinformazione, per la gioia degli hacker e degli hacktivisti degli Stati nazionali.
Le campagne di disinformazione sui social media spesso innescano e continuano ad alimentare i conflitti. Con l’aiuto della connettività onnipresente, dei social media e dei siti di notizie online, gli hacker possono diffondere rapidamente notizie false e immagini che manipolano la percezione pubblica.
“Tutti hanno un telefono, giusto? Quindi, gli hacker sono in grado di fornire istantaneamente qualche tipo di propaganda o disinformazione in tutto il mondo… Vediamo anche i falsi profondi di audio e video“, ha detto Cabrera.
Clay ha ulteriormente sostenuto questo punto affermando che: “I [russi] avrebbero potuto fare un deep fake del [presidente ucraino] Zelensky dicendo qualcosa che avrebbe mandato il suo Paese nel panico“.
La guerra informatica e la necessità di proteggere le infrastrutture
“I cyberattacchi che integrano la guerra cinetica sono un duro monito per tutti i leader delle aziende e dei governi a fare tutto il possibile per proteggere le loro infrastrutture“, ha dichiarato Cabrera.
“Senza ombra di dubbio, la nostra attenzione deve essere rivolta a tutto ciò che interrompe le nostre infrastrutture critiche e le nostre catene di approvvigionamento“, ha affermato Cabrera. “Si può pensare a questo aspetto da una prospettiva militare, ma si applica anche a noi dal punto di vista delle operazioni commerciali quotidiane“.
Cabrera ha sottolineato che il settore finanziario statunitense è più maturo di altri settori, ma data la fragilità dell’economia nel 2022 – inflazione, recessione incombente, rallentamenti della catena di approvvigionamento – un attacco informatico riuscito avrebbe un impatto enorme. Egli raccomanda alle organizzazioni, a prescindere dalle dimensioni, di seguire le linee guida “Shields Up” emanate dalla Cybersecurity and Infrastructure Security Agency (CISA) per prepararsi agli incidenti informatici in presenza di attività potenzialmente dannose contro gli Stati Uniti.
Gestire il rischio in tempi di guerra informatica
Con le tattiche di guerra informatica che diventano un altro livello di rischio da affrontare, è ancora più critico per le organizzazioni rimanere resilienti di fronte agli eventi globali. Ecco cinque best practice di sicurezza che le organizzazioni possono iniziare a implementare fin da ora.
- Patch e aggiornamenti. Assicuratevi che i vostri sistemi di sicurezza siano aggiornati con le ultime patch e versioni critiche.
- Sfruttare l’autenticazione a più fattori. Assicuratevi di aver configurato le vostre soluzioni di sicurezza secondo le best practice del fornitore, compreso l’uso diffuso dell’autenticazione a più fattori (MFA).
- Implementare il rilevamento e la risposta estesi. Come indicato nelle attività di test del mondo reale, come le valutazioni di MITRE Engenuity ATT&CK, il rilevamento e la risposta a più livelli a un attacco informatico sono un requisito fondamentale per la gestione del rischio informatico. Se oggi non utilizzate una forma di rilevamento e risposta estesa (XDR) o gestita, il rischio è molto più elevato.
- Monitorate il traffico di rete. Prestate molta attenzione al traffico di rete non riconosciuto (sia in entrata che in uscita) e osservate i nuovi attacchi di phishing sofisticati. Seguite rapidamente gli avvisi di sicurezza e conducete indagini più approfondite, se necessario.
- Riducete la superficie di attacco. Che si tratti di un gruppo finanziariamente motivato o di uno stato nazionale, quando gli aggressori incontrano una superficie di attacco più piccola, significa che il rischio per la vostra organizzazione è minore. La riduzione della superficie di attacco comprende patch e tecniche di Zero Trust per una migliore visibilità del reale stato di identità, dispositivi, risorse cloud e oggetti.