in collaborazione con SAVE News

Il bollettino di CSIRT Italia con 12 buone pratiche ad uso domestico e 20 per le organizzazioni pubbliche o private Già nello scorso giugno l'Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato un bollettino sui rischi derivanti dalla compromissione di dispositivi e servizi connessi ad Internet - telecamere IP, IOT, controllori, router e sistemi di supervisione industriali -, che possono diventare la porta d'ingresso per attacchi informatici se non si adottano adeguate misure di prevenzione e protezione.

CSIRT Italia, durante la costante attività di monitoraggio svolta, osserva un elevato numero di casi in cui tali dispositivi e servizi vengono resi accessibili direttamente dalla rete pubblica, senza adeguate misure di protezione e senza una preventiva valutazione del livello di rischio correlato, generando rischi di compromissione da parte dei criminali informatici.

I recenti fatti di cronaca, che hanno riguardato l'accesso abusivo a telecamere ad uso privato, confermano l'attualità del problema e l'importanza di adottare adeguate misure di protezione anche verso questi dispositivi, i cui rischi connessi, come ad esempio la violazione della privacy o l'utilizzo di tali dispositivi come ponte per ulteriori attacchi, non vengono immediatamente percepiti come tali.

Le raccomandazioni di ACN

Per ridurre i rischi, l'Agenzia raccomanda 12 buone pratiche applicabili in ambienti domestici, e 20 per organizzazioni strutturate, in cui l'esposizione di servizi remoti costituisce un rischio critico.

Ambiente domestico

- Cambiare le credenziali predefinite su router, telecamere, NAS e altri dispositivi.
- Evitare l'uso delle configurazioni di default, personalizzando porte, utenti, nomi di rete e impostazioni di sicurezza.
- Utilizzare l'autenticazione a più fattori ogni volta che è disponibile.
- Utilizzare password forti, uniche per ogni dispositivo (min. 12 caratteri, maiuscole, minuscole, lettere, numeri, caratteri speciali).
- Aggiornare regolarmente il firmware dei dispositivi, abilitando gli aggiornamenti automatici quando disponibili.
- Disattivare l'UPnP (Universal Plug and Play) sul router, che può esporre servizi automaticamente su Internet.
- Limitare l'accesso remoto: disabilitare il controllo da remoto se non strettamente necessario.
- Isolare i dispositivi IoT su una rete guest, separandoli da PC, smartphone e dispositivi personali.
- Monitorare l'attività del router: verificare connessioni aperte e traffico anomalo, tramite pannello di gestione o app.
- Utilizzare DNS sicuri per filtrare contenuti indesiderati e migliorare la sicurezza.
- Configurare il firewall del router per bloccare connessioni in ingresso non autorizzate.
- Utilizzare l'accesso remoto in modo sicuro, evitando l'apertura di porte sul router/firewall per servizi come RDP, VNC o SSH; preferire invece l'uso di soluzioni VPN dedicate per accedere alla rete domestica.

Contesti aziendali, industriali o istituzionali

- Formazione continua del personale su sicurezza informatica e riconoscimento di tentativi di attacco.
- Impostazione di password robuste e univoche, con gestione centralizzata delle credenziali.
- Applicazione rigorosa della politica del Least Privilege, limitando gli accessi solo al personale e ai sistemi strettamente necessari.
- Aggiornamento tempestivo e continuo di firmware, software e patch di sicurezza per tutti i dispositivi e servizi.
- Utilizzo obbligatorio di autenticazione multifattoriale (MFA) per ogni accesso remoto.
- Segmentazione di rete e isolamento dei sistemi critici, utilizzando ad esempio VLAN o subnet fisiche dedicate.
- Impiego di VPN aziendali sicure per tutti gli accessi remoti, vietando l'esposizione diretta di servizi (RDP, SSH, VNC ecc.) su Internet.
- Disabilitazione di servizi non necessari e chiusura delle porte non utilizzate.
- Implementazione di firewall con regole restrittive e sistemi di prevenzione intrusioni (IPS/IDS).
- Monitoraggio continuo e centralizzato degli accessi e dei log tramite soluzioni SIEM.
- Applicazione di politiche di controllo accessi basate su ruolo (RBAC) e revisione periodica delle autorizzazioni.
- Adozione di sistemi di protezione avanzata, come endpoint detection and response (EDR) e antivirus aggiornati.
- Configurazione di sistemi di notifica e allarme per accessi sospetti o anomalie di rete.
- Adozione di un Incident Response Plan (IRP) formalizzato e testato, per gestire rapidamente e efficacemente eventuali incidenti di sicurezza.
- Implementazione di geofencing o whitelist IP per limitare gli accessi da aree geografiche o indirizzi IP non autorizzati in particolare per sistemi critici.
- Utilizzo di DNS sinkhole o firewall DNS per bloccare domini malevoli noti.
- Analisi e test di vulnerabilità periodici, inclusi penetration test sui servizi esposti.
- Implementazione di soluzioni di Zero Trust Network Access (ZTNA) per una verifica continua delle identità e dei dispositivi.
- Backup regolari e sicuri delle configurazioni e dei dati critici per permettere il rapido ripristino in caso di compromissione.
- Adozione di policy di sicurezza documentate e audit periodici di conformità normativa.