Seconda puntata per il nostro racconto della emergenza cyber simulata alla Cyber Stability Conference 2025: le considerazioni sulla difesa delle infrastrutture critiche
Autore: Redazione SecurityOpenLab
Come abbiamo raccontato, l'Institute for Disarmament Research delle Nazioni Unite (Unidir) ha incentrato il suo evento principale del 2025 su una simulazione di crisi cyber internazionale: vari attacchi organizzati contro le infrastrutture critiche di sei nazioni della (virtuale) regione del mondo Dystopia. La crisi simulata è stata analizzata considerandone vari livelli di svolgimento, in linea con il modello ICT Intrusion Pathway di Unidir. Del primo layer ("outside the perimeter") abbiamo già trattato, ora tocca al secondo livello: "on the perimeter".
Il perimetro a cui Unidir fa riferimento è chiaramente il tanto citato e criticato perimetro di sicurezza cyber. Anche se molti lo considerano un concetto ormai da archiviare, per il modello di Unidir ha ancora senso considerare nello specifico la barriera tra i sistemi interni di una organizzazione e l'ambiente esterno in cui si muovono i threat actor che cercano di "bucare" proprio questa barriera sfruttando qualche vulnerabilità ICT. È su questo confine ideale che agiscono i sistemi di difesa più immediati, quali firewall, IDS, sistemi di autenticazione. Ed è questo confine che, nella simulazione, gli attaccanti hanno cercato di superare compromettendo un ambiente cloud attraverso un aggiornamento software "arricchito" da un malware specifico.
Nell'incidente simulato, un ricercatore di cybersecurity aveva infatti identificato una vulnerabilità in una piattaforma cloud privata usata da una nazione di Dystopia (Ursa) ma erogata da un'altra (Malin) e aveva allertato la prima. Che però non era intervenuta in alcun modo, per mancanza di procedure interne adeguate al caso. La vulnerabilità era poi stata scoperta anche da alcuni threat actor, che avevano sviluppato un malware ad hoc per sfruttarla.
Ignorato di fatto da Ursa, il ricercatore aveva allora avvertito il cloud provider coinvolto, che aveva sviluppato e distribuito una appropriata patch. A questo punto il ricercatore aveva pubblicato i dettagli della vulnerabilità, e i threat actor avevano sfruttato la paura degli utenti potenzialmente colpiti distribuendo un malware "truccato" da aggiornamento software della piattaforma cloud in questione. Date le sue policy di supply chain security genericamente carenti, Ursa in questo attacco era stata particolarmente colpita: attaccanti erano penetrati nelle sue reti e non erano stati individuati.
Per Unidir la dinamica dell'attacco sottolinea tre elementi importanti nella difesa delle infrastrutture critiche e delle economie digitali. Il primo è che più precocemente si mettono in atto misure preventive, meglio è. Gli Stati devono rafforzare la prevenzione cyber migliorando i sistemi di "early prevention", provvedendo a una condivisione in tempo reale delle informazioni sulle minacce e alla divulgazione delle informazioni sulle vulnerabilità, aumentando la trasparenza con i fornitori di servizi cloud e conducendo verifiche e audit regolari sull'integrità delle pratiche di supply chain security. A questo servono anche solide leggi nazionali sulla protezione dei dati, lo sviluppo di quadri di certificazione tecnica e la garanzia della conformità a linee guida cyber specifiche definite da quelli che sono, di volta in volta, gli stakeholder interessati.
Queste misure non possono essere realizzate "ex post", come spesso - purtroppo - è stata tradizionalmente vista tutta la cybersecurity. Serve integrare nei quadri normativi nazionali un approccio basato sulla sicurezza "by design" per tutte le componenti software e hardware. Le normative nazionali dovrebbero identificare le infrastrutture critiche di ciascun Paese e definire i ruoli e le responsabilità di tutti i principali soggetti interessati alla loro gestione. È necessario anche sensibilizzare il grande pubblico sui temi della sicurezza informatica, per promuovere una "cyber hygiene" generalizzata che diventa un vero e proprio primo livello di difesa di base, e formare a vari livelli della società team qualificati in materia di cybersecurity. In questo senso, Unidir sottolinea il valore dei partenariati pubblico-privato come mezzo per rafforzare le capacità nazionali in materia di sicurezza informatica.
Infine, i cloud service provider non possono evitare il fatto che il loro ruolo chiave nelle economie digitali comporta responsabilità cyber sempre crescenti. Unidir parla di un "trust boundary" tra utenti e fornitori di servizi cloud, un "confine di fiducia" che in concreto è una superficie di attacco tra utenti, infrastrutture e applicazioni, superficie che va individuata chiaramente insieme alle minacce che potrebbero coinvolgerla.
È proprio ai cloud service provider che principalmente spettano alcuni compiti chiave della cybersecurity globale odierna: migliorare la sicurezza di rete, proteggere le risorse fisiche, applicare policy rigorose di integrità della supply chain, garantire una comunicazione tempestiva e affidabile con i clienti, sviluppare capacità adeguate di rilevamento delle minacce e di incident response. Per gestire efficacemente tutto questo, segnala in particolare Unidir, i cloud provider dovrebbero adottare un approccio “zero trust” per praticamente tutti i servizi digitali, e in particolare la gestione delle identità digitali, della sicurezza dei dispositivi, dei privilegi di accesso.