Lezioni da un attacco informatico: strategie di difesa – 2

Nella prima parte del nostro articolo, abbiamo esplorato le sfide e le strategie chiave nella sicurezza informatica; ora, attraverso gli occhi di Alberto Perini, CISO di Stim SRL, proseguiamo il nostro viaggio approfondendo, con una serie di domande mirate, le possibili strategie di difesa contro il cyber spionaggio.

Cos’è Nobelium?

AP – Nel mondo digitale odierno, la minaccia delle operazioni di cyber spionaggio si è manifestata in forme sempre più sofisticate e pericolose, con gruppi come Nobelium che emergono come protagonisti in questa oscura arena. Questo documento si propone di esplorare in maniera approfondita le modalità operative di Nobelium, valutare le strategie aziendali per contrastare simili minacce informatiche, e delineare le risposte legali e tecniche appropriate in caso di attacco. Attraverso un’analisi dettagliata e un’approfondita comprensione delle sfide poste da queste minacce, si mira a fornire un quadro completo per navigare il paesaggio della sicurezza informatica con maggiore consapevolezza e preparazione. Per entrare nel merito possiamo dire che Nobelium, noto anche come APT29, The Dukes o Cozy Bear, rappresenta una delle più avanzate minacce nel panorama del cyber spionaggio internazionale. Associato al servizio di intelligence estero russo, l’SVR, questo gruppo ha acquisito una notorietà globale soprattutto dopo l’attacco a catena di approvvigionamento di SolarWinds nel 2020. L’operazione ha rivelato la capacità di Nobelium di infiltrarsi e persistere in reti informatiche altamente protette, sfruttando tecniche sofisticate e malware su misura per ottenere informazioni sensibili rimanendo non rilevato per lunghi periodi. Le loro azioni, che includono lo sfruttamento di relazioni di fiducia digitali, spraying di password, abuso di API e phishing mirato, dimostrano una straordinaria competenza nel manipolare le infrastrutture IT al fine di perseguire i loro obiettivi di intelligence.

Come dovrebbe organizzarsi un’azienda per prevenire le minacce informatiche, quali tecnologie e processi dovrebbe adottare?

AP – Per fronteggiare le minacce informatiche, le aziende devono adottare una strategia di sicurezza proattiva e multilivello. Questo approccio comprende l’implementazione di tecnologie avanzate, la promozione di una cultura della sicurezza e l’adozione di processi interni mirati. Tra le misure essenziali figurano l’autenticazione multi-fattore (MFA), l’adozione di soluzioni senza password, sistemi di rilevazione e risposta agli endpoint (EDR), gestione degli eventi e delle informazioni di sicurezza (SIEM), e una gestione attenta delle patch. A livello organizzativo, la formazione continua dei dipendenti e un piano di risposta agli incidenti ben strutturato sono fondamentali per mitigare i rischi e garantire una reazione efficace in caso di attacco.

Cosa deve fare un’azienda quando viene attaccata, da un punto di vista legale?

AP – Dal punto di vista legale, le aziende devono agire con tempestività per conformarsi alle normative vigenti, come il GDPR, attraverso la notifica dell’incidente alle autorità competenti e, se necessario, alle parti interessate. La collaborazione con le autorità nelle indagini e la conservazione delle prove sono passaggi cruciali, così come l’implementazione di azioni correttive per mitigare l’impatto dell’attacco e prevenire incidenti futuri.

Quali strategie di difesa da un punto di vista tecnico?

AP – Tecnicamente, la risposta a un attacco informatico richiede un’azione immediata per limitarne la diffusione. Questo include l’isolamento delle reti colpite, l’analisi forense per identificare la causa e l’estensione della breccia, e una comunicazione trasparente con le parti interessate. Avere un team di risposta agli incidenti preparato e procedure chiare è vitale per gestire l’incidente, mitigare i danni e pianificare azioni preventive contro futuri attacchi.

La minaccia rappresentata da gruppi di cyber spionaggio come Nobelium richiede un approccio olistico alla sicurezza, che integri tecnologia, processi e persone in una strategia complessiva. Le strategie di difesa più efficace in questa era digitale complessa si basa sulla vigilanza costante, l’apprendimento continuo e una collaborazione senza precedenti a tutti i livelli organizzativi. Solo attraverso un impegno condiviso e una strategia di sicurezza ben articolata è possibile navigare con sicurezza nel panorama delle minacce informatiche e proteggere le risorse digitali vitali dalle operazioni di cyber spionaggio avanzato.

Conclusioni

Attraverso il dialogo con Alberto Perini, abbiamo navigato attraverso le complessità del cyber spionaggio, esemplificato dalla minaccia di Nobelium, e compreso come le organizzazioni possono costruire difese solide attraverso strategie aziendali proattive e risposte tecniche e legali ben calibrate. La sua visione ed esperienza ci offrono un quadro prezioso su come affrontare e mitigare gli attacchi informatici con un approccio integrato che spazia dalla preparazione tecnica alla consapevolezza legale. La conversazione sottolinea l’importanza di una cultura della sicurezza informatica che permei ogni livello dell’organizzazione, dimostrando che la lotta contro le minacce digitali richiede vigilanza, innovazione e collaborazione. Mentre concludiamo questa seconda parte, è chiaro che il cammino verso una sicurezza digitale robusta è in continua evoluzione, richiedendo da parte nostra un impegno costante per rimanere sempre un passo avanti ai potenziali attacchi.

Leggi la prima parte dell’articolo: Yooda | Blog | Lezioni da un attacco informatico: rafforzare la sicurezza digitale – 1