Il bollettino di CSIRT Italia con 12 buone pratiche ad uso domestico e 20 per le organizzazioni pubbliche o private

Lo scorso giugno l’Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato un bollettino sui rischi derivanti dalla compromissione di dispositivi e servizi connessi ad Internet – telecamere IP, IOT, controllori, router e sistemi di supervisione industriali –, che possono diventare la porta d’ingresso per attacchi informatici se non si adottano adeguate misure di prevenzione e protezione.

CSIRT Italia, durante la costante attività di monitoraggio svolta, osserva un elevato numero di casi in cui tali dispositivi e servizi vengono resi accessibili direttamente dalla rete pubblica, senza adeguate misure di protezione e senza una preventiva valutazione del livello di rischio correlato, generando rischi di compromissione da parte dei criminali informatici.

I recenti fatti di cronaca, che hanno riguardato l’accesso abusivo a telecamere ad uso privato, confermano l’attualità del problema e l’importanza di adottare adeguate misure di protezione anche verso questi dispositivi, i cui rischi connessi, come ad esempio la violazione della privacy o l’utilizzo di tali dispositivi come ponte per ulteriori attacchi, non vengono immediatamente percepiti come tali.

Le raccomandazioni di ACN

Per ridurre i rischi, l’Agenzia raccomanda 12 buone pratiche applicabili in ambienti domestici, e 20 per organizzazioni strutturate, in cui l’esposizione di servizi remoti costituisce un rischio critico.

Ambiente domestico

1. Cambiare le credenziali predefinite su router, telecamere, NAS e altri dispositivi.
2. Evitare l’uso delle configurazioni di default, personalizzando porte, utenti, nomi di rete e impostazioni di sicurezza.
3. Utilizzare l’autenticazione a più fattori ogni volta che è disponibile.
4. Utilizzare password forti, uniche per ogni dispositivo (min. 12 caratteri, maiuscole, minuscole, lettere, numeri, caratteri speciali).
5. Aggiornare regolarmente il firmware dei dispositivi, abilitando gli aggiornamenti automatici quando disponibili.
6. Disattivare l’UPnP (Universal Plug and Play) sul router, che può esporre servizi automaticamente su Internet.
7. Limitare l’accesso remoto: disabilitare il controllo da remoto se non strettamente necessario.
8. Isolare i dispositivi IoT su una rete guest, separandoli da PC, smartphone e dispositivi personali.
9. Monitorare l’attività del router: verificare connessioni aperte e traffico anomalo, tramite pannello di gestione o app.
10. Utilizzare DNS sicuri per filtrare contenuti indesiderati e migliorare la sicurezza.
11. Configurare il firewall del router per bloccare connessioni in ingresso non autorizzate.
12. Utilizzare l’accesso remoto in modo sicuro, evitando l’apertura di porte sul router/firewall per servizi come RDP, VNC o SSH; preferire invece l’uso di soluzioni VPN dedicate per accedere alla rete domestica.

Contesti aziendali, industriali o istituzionali

1. Formazione continua del personale su sicurezza informatica e riconoscimento di tentativi di attacco.
2. Impostazione di password robuste e univoche, con gestione centralizzata delle credenziali.
3. Applicazione rigorosa della politica del Least Privilege, limitando gli accessi solo al personale e ai sistemi strettamente necessari.
4. Aggiornamento tempestivo e continuo di firmware, software e patch di sicurezza per tutti i dispositivi e servizi.
5. Utilizzo obbligatorio di autenticazione multifattoriale (MFA) per ogni accesso remoto.
6. Segmentazione di rete e isolamento dei sistemi critici, utilizzando ad esempio VLAN o subnet fisiche dedicate.
7. Impiego di VPN aziendali sicure per tutti gli accessi remoti, vietando l’esposizione diretta di servizi (RDP, SSH, VNC ecc.) su Internet.
8. Disabilitazione di servizi non necessari e chiusura delle porte non utilizzate.
9. Implementazione di firewall con regole restrittive e sistemi di prevenzione intrusioni (IPS/IDS).
10. Monitoraggio continuo e centralizzato degli accessi e dei log tramite soluzioni SIEM.
11. Applicazione di politiche di controllo accessi basate su ruolo (RBAC) e revisione periodica delle autorizzazioni.
12. Adozione di sistemi di protezione avanzata, come endpoint detection and response (EDR) e antivirus aggiornati.
13. Configurazione di sistemi di notifica e allarme per accessi sospetti o anomalie di rete.
14. Adozione di un Incident Response Plan (IRP) formalizzato e testato, per gestire rapidamente e efficacemente eventuali incidenti di sicurezza.
15. Implementazione di geofencing o whitelist IP per limitare gli accessi da aree geografiche o indirizzi IP non autorizzati in particolare per sistemi critici.
16. Utilizzo di DNS sinkhole o firewall DNS per bloccare domini malevoli noti.
17. Analisi e test di vulnerabilità periodici, inclusi penetration test sui servizi esposti.
18. Implementazione di soluzioni di Zero Trust Network Access (ZTNA) per una verifica continua delle identità e dei dispositivi.
19. Backup regolari e sicuri delle configurazioni e dei dati critici per permettere il rapido ripristino in caso di compromissione.
20. Adozione di policy di sicurezza documentate e audit periodici di conformità normativa.

Bollettino CSIRT Italia