Direttiva UE NIS2: l’open source è la chiave del successo

Tratto da www.endian.com – 16/02/2023
 

L’Unione Europea alza l’asticella: con la direttiva NIS2, le aziende incluse nell’area dei servizi critici aumenteranno considerevolmente di numero e allo stesso tempo i requisiti di sicurezza informatica si faranno più stringenti. Le aziende devono prepararsi subito alla transizione: la tecnologia open source può aiutare a raggiungere gli obiettivi di cybersecurity.

Fra i rischi che le aziende corrono, quello di un attacco informatico e di una conseguente interruzione dell’attività è fra i più impattanti al mondo. In risposta al crescente numero di attacchi, l’Unione Europea ha rafforzato i requisiti normativi per la sicurezza informatica e ha adottato la direttiva NIS2 a dicembre 2022.

Gli Stati membri sono obbligati a convertire la direttiva in legge entro ottobre 2024: un tempo che le aziende dovrebbero sfruttare per allinearsi ai numerosi requisiti stringenti della direttiva.

La sicurezza informatica come priorità assoluta

L’obiettivo di creare le basi per una maggiore sicurezza informatica si basa su una serie di misure tecniche: la NIS2 richiede ad esempio, come misure minime la crittografia di dati e informazioni, la gestione delle vulnerabilità e un controllo sistematico degli accessi.

Non è tuttavia comunque sufficiente per raggiungere un livello di sicurezza adeguato, poiché anche metodologie e strumenti di attacco stanno diventando sempre più sofisticati. Il chatbot ChatGPT, per esempio, è in grado di comporre testi che non differiscono quasi per nulla da quelli scritti da un essere umano e questo rende ancora più difficile rilevare le e-mail di phishing con un allegato infetto da malware.

È importante perciò monitorare costantemente il traffico per individuare qualsiasi evento che si discosti dalla condizione di normalità. Se un attacco è riuscito a superare il firewall, il sistema di rilevamento delle intrusioni (IDS) può segnalare eventuali irregolarità, come un maggiore trasferimento di dati, mentre il sistema di prevenzione delle intrusioni (IPS) può bloccare l’attacco. Anche la Deep Packet Inspection (DPI) sta acquisendo sempre più importanza: questo strumento analizza i pacchetti di dati inviati in rete, fino al livello dell’utente, per individuare e classificare protocolli e applicazioni.

Oltre ai provvedimenti tecnici, diventeranno obbligatorie tutta una serie di misure organizzative: innanzitutto predisporre una gestione del rischio cyber, predisporre piani di emergenza e formare regolarmente i propri dipendenti in materia di sicurezza informatica. Ciò significa che il management non potrà più assegnare la responsabilità della cybersecurity esclusivamente al reparto IT, ma sarà chiamato a risponderne in prima persona.

Un altro fattore che sta diventando chiave nell’analisi e nella prevenzione del rischio è la supply chain: un attacco anche grave in termini di conseguenze può passare attraverso i fornitori o i sistemi di altre aziende. In questo contesto, le certificazioni che attestino l’affidabilità di sistemi e componenti, saranno particolarmente rilevanti e per questa ragione l’UE ha invitato gli Stati membri a definire standard industriali adeguati per la certificazione.

I vantaggi della tecnologia open source

La tecnologia open source consente di utilizzare standard di comunicazione aperti e offre quindi una buona soluzione per il collegamento in rete e la protezione di infrastrutture eterogenee. Ciò offre alle aziende la flessibilità necessaria anche per accogliere innovazioni future, senza dipendere da un singolo produttore o provider.

Inoltre, la NIS2 afferma che: “Le politiche che promuovono l’introduzione e l’uso sostenibile di strumenti di cybersecurity open-source sono di particolare importanza per le piccole e medie imprese che devono affrontare costi significativi per l’implementazione, riducendo al minimo la necessità di applicazioni o strumenti specifici“.

Sanzioni severe

Eventuali violazioni delle linee guida e degli obblighi di rendicontazione, sono soggette a severe sanzioni. In caso di mancato adeguamento, le sanzioni previste arrivano fino a 10 milioni di euro o al 2% del fatturato globale. Questo dato ci dice l’UE attribuisce alla sicurezza informatica la stessa importanza che attribuisce alla protezione dei dati.

Nonostante le sanzioni severe e gli obblighi estesi, la NIS2 rappresenta nel complesso un deciso passo in avanti: se le aziende metteranno effettivamente al centro la sicurezza informatica, sarà possibile contenere le minacce che arrivano dalla rete, e, in ultima analisi, saranno le stesse aziende a trarne vantaggio.

L’intero articolo, pubblicato sul sito endian, è disponibile qui

17 Febbraio 2023

Attacco hacker: rilevato lo sfruttamento massivo della CVE-2021–21974 in VMWare ESXi (AL01/230204/CSIRT-ITA)

 
Tratto da www.csirt.gov.it
Autore: Computer Security Incident Response Team – CSIRT – 04/02/2023
 
 
 
logo ACN
 
 

Qui di seguito riportiamo quanto pubblicato dal CSIRT, sul suo sito ufficiale www.csirt.gov.it , in merito al recente attacco hacker.

Il CSIRT Italia è istituito presso l’Agenzia per la cybersicurezza nazionale (ACN) e ha i seguenti compiti:

  • il monitoraggio degli incidenti a livello nazionale;
  • l’emissione di preallarmi, allerte, annunci e divulgazione di informazioni alle parti interessate in merito a rischi e incidenti;
  • l’intervento in caso di incidente;
  • l’analisi dinamica dei rischi e degli incidenti;
  • la sensibilizzazione situazionale;
  • la partecipazione alla rete dei CSIRT.

Tratto da www.csirt.gov.it:

Sintesi

Rilevato il massiccio sfruttamento attivo in rete della vulnerabilità CVE-2021–21974 – già sanata dal vendor nel febbraio 2021 – presente nei prodotti VMware ESXi.

Rischio

Stima d’impatto della vulnerabilità sulla comunità di riferimento: ALTO/ARANCIONE (70,25/100)1.

Descrizione

È stato recentemente rilevato lo sfruttamento massivo, ai fini del rilascio di ransomware, della vulnerabilità CVE-2021–21974 trattata da questo CSIRT nell’alert AL03/210224/CSIRT-ITA. Sulla relativa campagna il Computer Emergency Response Team Francese (CERT-FR) ha pubblicato un security advisory, disponibile nella sezione riferimenti, in cui si evidenziano i relativi dettagli.

Dalle analisi effettuate la campagna risulta indirizzata anche verso soggetti nazionali.

Qualora sfruttata, tale vulnerabilità, con score CVSS v3 pari a 8.8, di tipo “heap buffer overflow” e relativa alla componente OpenSLP – con riferimento ai prodotti VMware ESXi e Cloud Foundation (ESXi) – potrebbe consentire l’esecuzione di comandi arbitrari (RCE) sui dispositivi target.

Per eventuali ulteriori approfondimenti si consiglia di consultare il security advisory, disponibile nella sezione Riferimenti.

Prodotti e versioni affette

VMware ESXi 6.5

VMware ESXi 6.7

VMware ESXi 7.0

VMware Cloud Foundation (ESXi) 3.x

VMware Cloud Foundation (ESXi) 4.x

Azioni di Mitigazione

Ove non già provveduto, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.

Riferimenti

https://www.csirt.gov.it/contenuti/vulnerabilita-su-prodotti-vmware-al03-210224-csirt-ita

https://www.vmware.com/security/advisories/VMSA-2021-0002.html

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2023-ALE-015/

1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.

6 Febbraio 2023

Buone Feste e Felice 2023

Vi informiamo che i nostri uffici rimarranno chiusi dal 27 dicembre 2022 al 5 gennaio 2023.

Tanti auguri dallo Staff Argonavis

20 Dicembre 2022

CryWiper: il finto ransomware

 
Tratto da Blog Kaspersky
Autore:  Editorial Team – 09/12/2022
 
Il nuovo malware CryWiper danneggia i file in modo irreversibile spacciandosi per ransomware
 
 
 
 
 
 

Gli esperti Kaspersky hanno scoperto un attacco da parte di un nuovo Trojan, ribattezzato CryWiper. A prima vista il malware sembra un ransomware: modifica i file, aggiunge loro un’estensione e salva un file README.txt con una richiesta di riscatto, che contiene l’indirizzo del portafogli Bitcoin, l’indirizzo e-mail di contatto degli sviluppatori del malware e l’ID dell’infezione. In realtà il malware è, a tutti gli effetti, un wiper. Un file modificato da CryWiper non potrà essere ripristinato al suo stato originale. Mai. Pertanto, se trovate una richiesta di riscatto e i vostri file presentano una nuova estensione .CRY non affrettatevi a pagare: è inutile.

In passato, gli esperti avevano già incontrato alcuni tipi di malware che diventavano wiper per sbaglio, a causa di errori degli sviluppatori che implementavano in modo alquanto maldestro algoritmi di crittografia. Tuttavia, questo non è il caso: gli esperti sono certi che lo scopo principale dei malviventi non sia il guadagno economico, bensì la distruzione dei dati. I file non vengono realmente crittografati in quanto il Trojan li sovrascrive con dati generati in modo pseudo-casuale.

Cosa sta cercando CryWiper?

Il Trojan danneggia dati non essenziali per il funzionamento del sistema operativo. Non coinvolge file con estensione .exe, .dll. .lnk, .sys oppure .msi, ignorando molte cartelle di sistema nella directory C:\Windows. Il malware si focalizza su database, archivi e documenti degli utenti.

Fino ad ora gli esperti Kaspersky hanno rilevato unicamente attacchi localizzati verso obiettivi nella Federazione Russa. In ogni caso, di solito, nessuno può garantire che lo stesso codice non venga utilizzato nuovamente verso target diversi.

Come funziona il Trojan CryWiper

Oltre a sovrascrivere direttamente il contenuto dei file con immondizia varia, CryWiper funziona così:

  • crea un task che riavvia il wiper ogni cinque minuti utilizzando Task Scheduler;
  • invia il nome del computer infetto al server C&C e attende un comando per iniziare l’attacco;
  • sospende i processi legati ai server di database MySQL e MS SQL, i server di posta MS Exchange e i servizi web di MS Active Directory (se così non fosse, l’accesso ad alcuni file verrebbe bloccato e sarebbe impossibile danneggiarli);
  • cancella le copie shadow dei file in modo che non possano essere riparati (tuttavia, per qualche strana ragione, solo nell’unità C:);
  • disabilita la connessione al sistema infetto tramite un protocollo di accesso remoto RDP.

Lo scopo di quest’ultima azione non è completamente chiaro. Probabilmente, con questo tipo di disattivazione gli sviluppatori del malware hanno cercato di complicare il lavoro dell’Incident Response Team, che avrebbe chiaramente preferito avere l’accesso remoto al computer infetto. Nel post su Securelist (disponibile solo in russo) potete trovare i dettagli tecnici dell’attacco, insieme agli indicatori di compromissione.

Come proteggersi

Gli esperti raccomandano i seguenti accorgimenti per proteggere i computer aziendali sia da ransomware che wiper:

  • controllate attentamente le connessioni di accesso remoto alla vostra infrastruttura; vietate le connessioni da network pubblici, permettete l’accesso RDP solo attraverso un tunnel VPN e utilizzate delle password uniche molto forti, oltre all’autenticazione a due fattori;
  • aggiornate il software critico regolarmente, prestando particolare attenzione al sistema operativo, alle soluzioni di sicurezza, ai client VPN e gli strumenti di accesso remoto;
  • sensibilizzate i dipendenti utilizzando, per esempio, degli strumenti specifici online;
  • utilizzate soluzioni avanzate di sicurezza per proteggere sia i dispositivi di lavoro che il perimetro della rete aziendale.

16 Dicembre 2022

Protezione dei dati personali: gli strumenti di tutela a disposizione dell’interessato

 
Tratto da www.garanteprivacy.it – 06/12/2022
 
 

Il Garante lancia una scheda informativa che illustra, in modo dettagliato, caratteristiche, differenze e modalità di impiego degli strumenti di tutela a disposizione dell’interessato previsti dalla normativa in materia di protezione dei dati personali: la segnalazione e il reclamo.

L’iniziativa fa parte di un più ampio progetto dell’Autorità, che punta ad offrire strumenti per comprendere facilmente quali diritti sono riconosciuti alle persone in materia di protezione dei dati personali e illustrano le modalità per un concreto esercizio di tali diritti.

La scheda è pubblicata sul sito Internet del Garante alla pagina https://www.gpdp.it/home/diritti/come-agire-per-tutelare-i-tuoi-dati-personali

13 Dicembre 2022

Blog & News

Categorie