Assicurazione
Assicurazione
Famiglia di Prodotto
Famiglia di Prodotto
Riassicurazione
Riassicurazione
Famiglia di Prodotto
Famiglia di Prodotto
Sinistri
Sinistri
Risk Consulting
Risk Consulting
Fast Fast Forward
Fast Fast Forward
Risorse e Strumenti
Risorse e Strumenti
Risorse e Strumenti
Risorse e Strumenti
A proposito di AXA XL
A proposito di AXA XL
A proposito di AXA XL
A proposito di AXA XL
Comunicati Stampa
Comunicati Stampa
Careers
Careers
Contattaci
Contattaci

di

Cyber Risk Consulting & Threat Intelligence Strategist

Oggi la guerra si combatte sul terreno, nei cieli e nel cyberspazio. Sulla scia del conflitto in corso in Medio Oriente, stiamo assistendo a un aumento delle attività informatiche legate agli eventi nell’area del conflitto. Non vi è traccia di armi segrete o di nuove tecniche mai adottate in precedenza. Per i responsabili della gestione dei rischi e gli assicuratori del settore informatico, ciò significa minacce già note in un contesto più instabile ed una estrema necessità di garantire che gli aspetti fondamentali della sicurezza siano ben gestiti.

Cosa è cambiato – e cosa no

Con l’intensificarsi delle tensioni geopolitiche, aumentano anche le attività informatiche. In questo conflitto, i gruppi legati allo Stato iraniano e ad esso affiliati stanno utilizzando le operazioni informatiche come ulteriore strumento di risposta. Ciò che conta è la prospettiva. Come sottolineato dal Threat Intelligence Group di Google, non dovremmo aspettarci una categoria di attacchi completamente nuova, ma piuttosto un ricorso più frequente alle tecniche che abbiamo osservato negli ultimi anni. Si stanno verificando:

  • Attacchi DDoS e manomissioni di siti web
  • Attacchi hacker e operazioni di tipo «hack-and-leak»
  • Campagne di ingegneria sociale e phishing
  • Malware, ransomware e, in alcuni casi, strumenti distruttivi di tipo «wiper»

La minaccia è reale, ma non è una novità. Le misure di controllo studiate per contrastare queste tecniche note rimangono di grande rilevanza, soprattutto alla luce dell’aumento dei tentativi e dell’evoluzione dei modelli di attacco.

Chi c'è dietro queste attività?

L'Iran può contare su un ampio ecosistema di attori informatici.

  • Gruppi di hacker e collettivi simpatizzanti: Al 6 marzo, più di 70 gruppi e collettivi avevano pubblicamente manifestato il proprio sostegno all'Iran. Sono noti principalmente per fughe di dati, defacement e attacchi DDoS di disturbo, spesso rivolti a siti web, app, API e altre infrastruttre pubbliche di organizzazioni percepite come sostenitrici degli Stati Uniti e di Israele. Finora, l'impatto più segnalato è stato quello di causare disagi e disturbi, non una distruzione su larga scala.
  • Gruppi Iranian Advanced Persistent Threat (APT) : Gruppi come APT33, APT42 e MuddyWater hanno alle spalle una storia di campagne sempre più sofisticate. Questi gruppi combinano tecniche di spear phishing, ingegneria sociale, malware, ransomware, esfiltrazione di dati e wiper. Ricerche recenti hanno individuato prove della presenza di attori iraniani infiltrati in alcune reti aziendali statunitensi.

Allo stesso tempo, molte nuove campagne dovrebbero ancora essere costruite in gran parte da zero, e i bombardamenti e i problemi di connettività all'interno dell'Iran stanno limitando, per ora, alcune attività.


Dal cyberspazio ai danni fisici

Uno degli sviluppi più sorprendenti è il legame tra le operazioni sul campo e la resilienza digitale.

I droni iraniani hanno colpito diversi data center AWS nella regione, causando interruzioni nelle operazioni digitali delle organizzazioni che fanno affidamento su tali strutture, anche se è probabile che fossero state predisposte in anticipo misure di emergenza per garantire la continuità operativa. Più in generale, l’infrastruttura digitale – dai data center alle telecomunicazioni – è ormai chiaramente un potenziale bersaglio dei conflitti militari.

Ciò ha due implicazioni chiave. Le interruzioni a livello regionale possono rapidamente trasformarsi in un problema di continuità operativa a livello globale. Nel frattempo, i piani di disaster recovery e di resilienza non sono più teorici: vengono messi alla prova in tempo reale.

Nel campo delle assicurazioni contro i rischi informatici, è proprio qui che la copertura assicurativa e i servizi si incontrano: interruzioni dell'attività causate da guasti, dipendenza dal cloud e dalle tecnologie, nonché l'efficacia della risposta agli incidenti e della pianificazione della continuità operativa di un'organizzazione.

Chi è più esposto?

Storicamente, gli attori vicini all’Iran hanno concentrato la loro attenzione sugli interessi statunitensi e israeliani, tra cui le infrastrutture critiche, l’energia, la difesa, le telecomunicazioni ed i servizi finanziari nella regione e oltre. Oggi si possono individuare tre grandi gruppi di potenziali obiettivi:

  • Organizzazioni statunitensi e israelianeIn particolare quelle operanti in infrastrutture critiche e settori chiave, o con forti legami strategici o di catena di approvvigionamento con le parti direttamente coinvolte. Queste organizzazioni dovrebbero mantenere misure di monitoraggio e resilienza rafforzate contro attacchi DDoS su larga scala, ransomware e malware potenzialmente distruttivo.
  • Organizzazioni locali e globali nella regione in generale: Le aziende dei paesi considerati storici sostenitori degli Stati Uniti – tra cui Kuwait, Qatar, Bahrein e Arabia Saudita – sono esposte ad un rischio elevato, compresi attacchi opportunistici. I grandi fornitori di tecnologia come Google, Microsoft, Oracle e Amazon gestiscono strutture nella regione e sono esposti a interruzioni di attività, con potenziali ripercussioni sui loro clienti.
  • Organizzazioni in altre parti del mondo considerate “sostenitrici dei nemici”: Attori sostenuti dall'Iran hanno preso di mira organizzazioni europee durante i negoziati sul nucleare del 2015 ed il governo albanese nel 2022. Modelli simili potrebbero emergere ogni volta che paesi o organizzazioni vengono percepiti come contrari agli interessi iraniani.

Il coinvolgimento politico diretto non è l'unico fattore di rischio. Anche la percezione, il settore, le partnership e la posizione geografica sono elementi importanti e costituiscono fattori chiave nella valutazione dell'esposizione.

Cosa dovrebbero fare le aziende in questo momento

La maggior parte delle organizzazioni non ha bisogno di sistemi di sicurezza completamente nuovi. Devono invece assicurarsi che i controlli esistenti siano attivi, efficaci e ben collaudati.

In questo contesto, raccomandiamo alle aziende di:

  • Mantenere un elevato livello di consapevolezza della situazione attraverso i team interni e fonti affidabili di intelligence sulle minacce.
  • Mantenere i centri operativi di sicurezza in stato di massima allerta per quanto riguarda il phishing, il social engineering, il furto di credenziali e i tentativi di attacchi DDoS.
  • Verificare il corretto funzionamento dei controlli fondamentali, tra cui l'autenticazione a più fattori (MFA), le soluzioni EDR/MDR e il filtraggio delle e-mail.
  • Mantenere aggiornati gli inventari delle risorse e applicare tempestivamente le patch di sicurezza.
  • Assicurarsi che i piani di risposta agli incidenti e di gestione delle crisi siano aggiornati, provati e pronti per essere attivati.
  • Sensibilizzare i dipendenti, in particolare i team di supporto e quelli in prima linea, con indicazioni mirate sui tentativi di phishing e di usurpazione di identità legati al tema del conflitto.

Queste misure non si limitano a ridurre la probabilità e l'impatto di un sinistro. Dimostrano anche una buona “igiene informatica”, sempre più importante per ottenere e mantenere una copertura assicurativa informatica a condizioni sostenibili.

Rimanere vigili, ma non allarmati

È probabile che assisteremo a un'attività informatica continua legata al conflitto, compresi attacchi opportunistici e potenziali ripercussioni su organizzazioni lontane dalla linea del fronte.

Non ci troviamo di fronte a una nuova categoria di armi informatiche inarrestabili. Ci troviamo di fronte a un uso più frequente di tecniche ben note da parte di attori malintenzionati determinati, in un contesto geopolitico teso.

La chiave è rimanere vigili, non allarmati.

 

Il presente articolo si basa su notizie di dominio pubblico e su informazioni provenienti da fonti pubbliche. Come per tutto il materiale proveniente da fonti pubbliche, alcuni dettagli potrebbero subire modifiche o essere soggetti ad ulteriori verifiche.

compilare il form sottostante per mettersi in contatto con l’autore dell’articolo

Il Nome è richiesto
Il Cognome è richiesto
Seleziona il tuo paese
Indirizzo email L'Email è richiesta
 
Invalid Captcha
Iscriviti

More Articles

Iscriviti a Fast Fast Forward
QUESTO SITO AXA UTILIZZA COOKIES

AXA XL, in qualità di titolare, utilizza i cookies, tra l'altro, per fornire i propri servizi, migliorare la user experience, misurare il coinvolgimento del pubblico e interagire con gli account dei social network degli utenti. Alcuni di questi cookies sono opzionali e non saranno impostati automaticamente a meno che non li abilitiate cliccando il pulsante "ACCETTA TUTTI". È possibile disattivare questi cookies in qualsiasi momento tramite la sezione "Come gestire le impostazioni dei cookies" della nostra policy sui cookies.

Leggi la policy sui cookies Informativa sulla Privacy
Accetta tutti
Rifiuta tutti
Impostazioni dei cookies