“Comprensione dei fenomeni cibernetici e del loro sviluppo nel tempo”: è la funzione essenziale attribuita al nuovo rapporto “Operational Summary” dell’Agenzia per la Cybersicurezza Nazionale pubblicato per la prima volta il 28 giugno[1].
Indice degli argomenti
Gli obiettivi e la struttura del rapporto “Operational Summary”
Tramite la pubblicazione di tale documento a cadenza mensile, contenente i dati raccolti nel mese precedente, l’ACN si pone come fine ultimo il rafforzamento progressivo dei livelli di difesa preventiva del perimetro di sicurezza nazionale cibernetica.
Una robusta panoramica delle minacce e delle esposizioni dei soggetti nazionali
Il rapporto è realizzato dal Computer Security Incident Response Team (CSIRT) Italia, l’unità tecnico operativa per la gestione delle minacce cibernetiche dell’Agenzia, all’interno del quale è contenuto un esteso patrimonio informativo sulle dinamiche cibernetiche correnti. Infatti, la mole di dati analizzati dal CSIRT Italia è possibile grazie al continuo coordinamento con i soggetti interessati, ossia quelli individuati nelle varie normative nazionali ed europee (il Perimetro di Sicurezza Nazionale Cibernetica Decreto-legge 105/2019, il Network and Information Security – NIS1 – Direttiva 2016/1148, Decreto Ministeriale Telco 12 dicembre 2018), i quali provvedono alla comunicazione obbligatoria o volontaria in caso di incidente. In aggiunta a ciò, il CSIRT Italia, essendo un organo di natura reattiva, colleziona informazioni provenienti da fonti aperte, commerciali e, in virtù di accordi di collaborazione nazionale o atti volontari, da organi omologhi nazionali e internazionali. Pertanto, in ragione di ciò, il prodotto finale fornisce, in termini qualitativi, una robusta panoramica delle minacce e delle esposizioni dei soggetti nazionali.
Il processo elaborazione delle informazioni da parte del CSIRT
Il processo elaborazione delle informazioni da parte del CSIRT Italia prevede una prima fase di selezione degli incidenti in cui questi sono analizzati e classificati, secondo delle attività ad hoc in relazione al soggetto colpito e la tipologia di evento, queste sono: approfondimento delle informazioni attraverso l’analisi tecnica dei contenuti (come lo studio dei malware) per una valutazione del rischio d’impatto sistemico di vulnerabilità e incidenti; invio di richieste di ulteriori informazioni ai soggetti colpiti; assistenza ai soggetti impattati; invio di comunicazioni ai soggetti colpiti o a tutti quei soggetti potenzialmente colpiti; pubblicazione di alert o bollettini.
La struttura del rapporto
La struttura del rapporto prevede tre sezioni principali: nella Sezione 2, organizzati per tipologia di minacce e settore colpito, sono riportati gli andamenti temporali degli eventi rilevati dall’ACN; nella sezione 3 sono riportate le vulnerabilità registrate durante il mese e i riferimenti agli alert pubblicati dal CSIRT Italia; nella sezione 4 sono riassunte le informazioni riguardanti la diffusione delle tipologie di malware in Italia e in Europa con un focus finale sulle rivendicazioni di attacchi ransomware e distributed denial of service (DDoS). Da menzionare la sezione 5, il quale è un glossario contenente le definizioni dei termini tecnici utilizzati durante la stesura del rapporto.
Analisi degli incidenti cibernetici di maggio
Passando al contenuto del rapporto per il mese di maggio, il CSIRT Italia ha rilevato 283 incidenti cibernetici con un impatto su 175 soggetti nazionali, di cui 121 sono soggetti verso cui il CSIRT Italia offre servizi di prevenzione, monitoraggio, rilevamento, analisi e risposta (sono definiti costituency) e 54 hanno riguardato soggetti privati non operanti in settori critici. Il dato su cui cade subito l’occhio è l’aumento del 148% degli incidenti rispetto al mese precedente, in cui erano stati rilevati 114 eventi, una cifra simile a marzo con 111, mentre a febbraio gli eventi erano stati 238.
Ad oggi maggio è stato il mese con più incidenti nel 2024, e forse, stando alle proiezioni dei prossimi mesi rimarrà tale: 154 a giugno, 112 a luglio e 253 ad agosto.
Tipologie di minacce e settori maggiormente colpiti
I settori che sono stati maggiormente impattati risultano la Pubblica Amministrazione con 72 eventi e un relativo aumento del 188% rispetto al mese precedente, Trasporti con 40 incidenti e un relativo aumento del 122% rispetto al mese precedente, Telecomunicazioni con 30 eventi e un relativo aumento dell’81% rispetto al mese precedente. Nonostante non sia stato tra i più colpiti, il settore dell’Aerospazio ha registrato una crescita dell’833% rispetto al mese precedente, in cui era stato rilevato un solo incidente.
In merito alle tipologie di minacce rilevate, gli attacchi DDoS sono stati 132 con una variazione del 220% rispetto alla media del semestre precedente; seguono, con un netto distacco, Brand Abuse con 24 incidenti con una variazione del 94% rispetto alla media del semestre precedente e Information disclosure e Spear phishing con 22 eventi, con un aumento rispettivamente del 125% e 38% rispetto alla media del semestre precedente. In sintesi, questi dati ci dicono che l’Italia e i suoi settori nevralgici, in particolar modo la Pubblica Amministrazione e i Trasporti che sono stati i bersagli preferiti per attacchi di tipo DDos (43 e 35), necessitano di un sistema protettivo elevato che sia resiliente e, di conseguenza, dotato di caratteristiche protettivo-reattivo.
Dettaglio delle vulnerabilità segnalate nel rapporto
Voltando pagina, il focus passa alle vulnerabilità individuate e analizzate dal CSIRT Italia. Tra le vulnerabilità più gravi, su un totale di 53, sono state pubblicate quelle relative a: CVE-2024-2419 in Checkpoint Security Gateways con le funzionalità Remote Access VPN (IPSec) o Mobile Access blade abilitate, la quale permetteva l’esfiltrazione di informazioni sensibili da remoto; CVE-2024-21683 in Atlassian Confluence Data Center and Server, la quale consentiva l’esecuzione di codice da remoto sui dispositivi; CVE-2024-1086 nella componente nftextunderscore tables del kernel Linux, tramite la quale un utente malevolo poteva elevare i propri privilegi sui dispositivi bersaglio; CVE-2024-4323 in Fluent Bit, la quale esponeva il servizio al rischio di compromissione, divulgazione di informazioni o all’esecuzione di codice da remoto; CVE-2024-22026 in Ivanti EPMM, attraverso la quale un attaccante poteva elevare i propri privilegi per l’esecuzione di codice arbitrario sui sistemi bersaglio. Tutte queste vulnerabilità partivano da un impatto sistemico di 70 su 100.
La Conferenza Cyber capacity building
Il rapporto, inoltre, ha svolto subito la sua funzione di raccolta informativa sintetica. Infatti, il 2 luglio, durante la Conferenza Nazionale per la creazione di un ecosistema di “Cyber capacity building” presso la Farnesina, i dati sopramenzionati sono stati ampiamente discussi dai partecipanti, tra cui il ministro degli Affari Esteri e della Cooperazione Internazionale Antonio Tajani, il ministro dell’Interno Matteo Piantedosi e il Direttore Generale dell’Agenzia per la Cybersicurezza Nazionale Bruno Frattasi. Le criticità evidenziate dagli esponenti istituzionali sono state: la necessità di sviluppare un settore della sicurezza informatica efficiente ed efficace e la necessità di fare sistema tramite la sinergia tra enti pubblici, privati e mondo accademico e di ricerca. Ad oggi, le politiche concernenti la sicurezza cibernetica sono diventate vitali per tutti gli attori statali e sovrastatali, che sono obbligati a adattarsi a un mondo in metamorfosi.
