Durante la valutazione, il red team di CISA ha sfruttato una web shell esistente per ottenere l’accesso iniziale alla rete dell’organizzazione. Da lì, hanno infiltrato la zona demilitarizzata (DMZ), effettuato movimenti laterali e compromesso sistemi aziendali sensibili e il controller di dominio dell’organizzazione. Sebbene l’organizzazione abbia rilevato alcune attività dannose iniziali, non è riuscita a rispondere tempestivamente alla minaccia, lasciando esposti sistemi critici. Il red team ha individuato carenze nella segmentazione della rete e una dipendenza eccessiva da soluzioni di Endpoint Detection and Response (EDR) basate su host, che non sono riuscite a rilevare diversi payload malevoli.
La valutazione ha evidenziato debolezze sistemiche, tra cui la mancanza di protezioni robuste a livello di rete, come firewall e sistemi di prevenzione delle intrusioni (IPS). Sistemi legacy, configurazioni insicure e una gestione inadeguata delle identità hanno ulteriormente facilitato la persistenza del red team e l’escalation dei privilegi senza essere rilevati per lunghi periodi. Anche la formazione del personale e le risorse disponibili sono risultate carenti, con molti dipendenti privi delle competenze tecniche necessarie per rispondere efficacemente alle minacce informatiche.
Le decisioni della leadership hanno aggravato ulteriormente le vulnerabilità, poiché l’organizzazione ha dato priorità bassa alla risoluzione di rischi noti identificati dal team di sicurezza informatica. Queste lacune evidenziano l’importanza di una gestione proattiva e di investimenti nelle misure di sicurezza informatica per mitigare le minacce in evoluzione.
Per affrontare queste problematiche, CISA raccomanda l’implementazione di un’architettura zero trust, che includa pratiche sicure di gestione delle identità e degli accessi, autenticazione multi-fattore (MFA) resistente al phishing e un monitoraggio centralizzato per rilevare attività anomale. È fondamentale inoltre fornire una formazione regolare ai dipendenti, in particolare sulle minacce legate al phishing, per ridurre il rischio di compromissione delle credenziali.
L’avviso sottolinea l’importanza di allineare le misure di sicurezza informatica agli Obiettivi di Prestazione della Sicurezza Informatica Trasversale (CPG) sviluppati da CISA e NIST. Questi standard offrono una base per proteggere le organizzazioni dalle minacce più comuni e migliorare le difese della rete. CISA consiglia inoltre di modernizzare le infrastrutture per supportare misure di difesa avanzate, come i servizi cloud sicuri e un monitoraggio migliorato degli endpoint, per contrastare attacchi sempre più sofisticati.
Source: Industrial Cyber
La European Cyber Intelligence Foundation è un think tank no-profit specializzato in intelligence e sicurezza informatica, che offre servizi di consulenza agli enti governativi. Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net, oppure puoi provare tu stesso utilizzando check.website.