Proteggere eventi e manifestazioni sportive: la strategia in tre fasi di Mandiant

Non sono solamente le infrastrutture a essere sotto attacco, ma anche eventi sportivi e culturali, soprattutto quelli più seguiti, presi di mira dai criminali informatici proprio per la loro risonanza a livello globale. Nel 2022 sono numerosi gli eventi che necessiteranno di una particolare attenzione dal punto di vista delle difese cyber considerata la loro visibilità: citiamo come esempio il Tour de France, gli Europei di nuoto in programma a Roma e quelli femminili di calcio in Inghilterra, fino alla Coppa del Mondo FIFA.

Secondo Mandiant, per garantire il regolare svolgimento di queste manifestazioni mettendole al riparo da possibili sabotaggi informatici, è necessario adottare una strategia basata su tre fasi: 

• Comprendere l’ambiente: prepararsi, rafforzarsi ed esercitarsi;
• Anticipare le minacce: testare, monitorare e difendere;
• Sopravvivere agli attacchi: rispondere, contenere e rimediare. 

Fase 1: comprendere l'ambiente

Il primo passo da compiere è quello di ottenere una conoscenza profonda dell'ambiente da difendere, incluse le persone coinvolte, per valutare la loro competenza e la loro capacità di risposta. Non solo: secondo Mandiant è anche fondamentale capire chi potrebbero essere gli attori interessati a colpire la manifestazione, così da preparare contromisure adeguate, anche coordinandosi con agenzie nazionali di sicurezza e tenendo sotto controllo web e social network andando alla ricerca di eventuali campagne di disinformazione o di sabotaggio.

Oltre alle persone, è necessario verificare le infrastrutture, implementando tecnologie per il rilevamento delle minacce su tutti gli endpoint, creando una serie di alert che possano avvisare gi esperti in caso di potenziali pericoli, e mettere in piedi piattaforme per il monitoraggio e la gestione di questi alert. 

"Quando si tratta di rendere più forte l’infrastruttura è necessario condurre attività di compromise assessment e convalidare i controlli per verificare la sicurezza e l’integrità dell’ambiente e dei dati chiave da proteggere", spiega Stuart McKenzie, Senior VP Mandiant Consulting. "Bisogna pensare a quali possono essere le diverse vie d’accesso all’ambiente e assicurarsi di registrare e scansionare regolarmente tutte le risorse della rete rivolte verso l’esterno. In un momento di caos non vorrete dover pensare a chi coinvolgere, quindi, è importante assicurarsi di aver designato un team di risposta alla crisi e di avere il giusto supporto organizzativo, esecutivo e di comunicazione. Il suggerimento è di condurre un’esercitazione tabletop per assicurarsi che tutte le parti coinvolte abbiano compreso i loro ruoli e le loro responsabilità durante un incidente e testare le procedure di backup in modo da garantire che i dati critici possano essere ripristinati rapidamente e che le funzioni aziendali critiche possano restare disponibili".

Fase 2: anticipare le minacce

Una volta dato il via all'evento, è importante che gli esperti si concentrino sul monitoraggio delle risorse critiche e sulla convalida dei controlli di sicurezza, anche effettuando dei penetration test, utili sia a verificare il corretto funzionamento delle contromisure messe in atto, sia la preparazione delle persone coinvolte e la rapidità di risposta dei team di incident response. 

"L’attenzione deve essere rivolta alla protezione degli asset critici: quali sono i vostri crown jewels e quali potrebbero essere gli obiettivi di un avversario?", prosegue McKenzie. "Proteggere le infrastrutture specifiche ad alto valore e l’architettura di rete per limitare o eliminare l’accesso ai sistemi critici da parte degli avversari, assicurandosi di disporre di backup offline da utilizzare in caso di necessità".

Sopravvivere agli attacchi

Un attacco informatico contro eventi e manifestazioni ad ampio respiro ha un impatto enorme dal punto di vista mediatico e per questo motivo è necessario avere dei piani di azioni per rispondere agli attacchi non solo dal punto di vista tecnico, ma anche da quello della comunicazione. "Una risposta efficace agli incidenti e alle violazioni va oltre le indagini tecniche, il contenimento e il recupero e comprende la comunicazione esecutiva e la gestione della crisi, come le considerazioni legali, normative e di pubbliche relazioni", sottolinea McKenzie. "A tal fine è necessario assumere una visione della situazione da parte del potenziale avversario. Prepararsi a un incidente da un solo punto vista, senza ricorrere all’esperienza del mondo reale e ai dati noti sulle minacce, porta a risolvere solo metà dell’equazione".