Discussione Articolo Attacco ransomware a Postel società controllata da Poste Italiane del 15 Agosto 2023

Stato
Discussione chiusa ad ulteriori risposte.

MRPants

Helper
4 Gennaio 2015
304
35
267
289
Ultima modifica da un moderatore:
medusa.jpeg


In data 15/08/2023 il gruppo ransomware "Medusa" ha portato a termine con successo un attacco ai danni di Postel.Sap, società di proprietà delle Poste Italiane che si occupa della gestione e dello storage di documentazione sensibile della società Poste Italiane, all'inizio si pensava fossero interessati solo dati dei dipendenti, ma più avanti come vedremo il bottino si è rilevato ben più proficuo rispetto a quanto ci si aspettava.

il giorno 15/08/2023 i siti ufficiali di PosteItaliane sono rimasti offline per diverse ore , si pensava a un disservizio fino a quando il gruppo Medusa non ha rivendicato l'attacco sul sito DRM – Dashboard Ransomware Monitor.

Il gruppo ha pubblicato delle "prove" dell'attacco che si limitavano a quello che sembravano dati interni inerti al personale a piani di marketing. In ogni caso si scongiurava la presenza di elementi sensibili inerenti la clientela dell'azienda (ovvero i fruitori dei servizi di Poste Italiane, come il sottoscritto).

postela.png

La "ransom-gang" Medusa, come da prassi, ha chiesto un riscatto di 500.000 euro con un ultimatum di 8 giorni più un eventuale pagamento di altri 10.000 euro per posticipare di 1 giorno la pubblicazione dei dati.

Se il pagamento non fosse arrivato nei termini stabiliti il gruppo avrebbe, sulla base delle loro esplicite "minacce", diffuso l'intero bottino in rete.


Di cosa si occupa Postel nello specifico?


poste21.jpg

Al momento di queste dichiarazioni si pensava che il bottino avesse un impatto interno contenendo "solamente" dati sensibili dei dipendenti , facile pensare che a livello locale i file siano stati distrutti o crittografati visto che le richieste di riscatto non hanno avuto seguito, anche se Postel non si è pronunciata a riguardo.

Da una prima analisi, la modalità di attacco di Medusa sembra sempre seguire la metodica distintiva del gruppo.

La gang avrebbe preso di mira i dispositivi Windows attraverso ransomware, mettendo fuori uso servizi e processi del sistema operativo che avrebbero potuto impedire la crittografia dei file (come server di posta elettronica, database e software di sicurezza).

Medusa avrebbe anche eliminato i file archiviati localmente, inclusi quelli legati ai programmi di backup, al fine di prevenire il ripristino dei file.

Tutti i file crittografati avrebbero ottenuto l'estensione .Medusa, e il ransomware avrebbe creato una nota di testo contenente informazioni importanti per la vittima, spiegando quanto è accaduto.

Queste informazioni includerebbero anche l'indirizzo della pagina Tor, dove le vittime dell'attacco avrebbero potuto comunicare con il gruppo criminale, insieme ad altri dettagli di contatto.


Il comunicato di Poste Italiane


A seguire , dopo aver ripristinato i servizi della piattaforma, Poste Italiane ha rilasciato il suo comunicato stampa per dare spiegazioni sull'evento:

“In data 15 agosto 2023, il gruppo criminale Medusa ha rivendicato tali attività, pubblicando, sul proprio blog, la notizia di un attacco ransomware effettuato sui sistemi di Postel S.p.A. Attualmente risultano essere stati interessati solo dati interni all’azienda”
Al momento le operazioni di ripristino erano ancora in corso , mentre i servizi di base della piattaforma erano tornati fruibili.

“Tornando al caso specifico, riconosciamo negli eventi uno schema consolidato di doppia estorsione. L’azienda colpita tuttavia è riuscita in tempi brevissimi a ripristinare i propri sistemi così come ad individuare attività sospette ed agire tempestivamente. Teniamo presente inoltre il timing dell’attacco, avvenuto in un momento critico per la quasi totalità delle imprese italiane, ovvero a cavallo di ferragosto”
Spiega Paganini:
“Tutto ciò però potrebbe non bastare in quanto, stando a quando dichiarato dal gruppo Medusa e alle evidenze proposte sul suo leak site, il gruppo criminale potrebbe aver esfiltrato un quantitativo significativo di informazioni sensibili dai sistemi di Postel.

Sebbene in passato il gruppo Medusa abbia penetrato le reti delle vittime attraverso accessi remoti non presidiati in maniera idonea, non si può escludere l’utilizzo di tecniche più sofisticate”

Questi attacchi inoltre meritano particolare attenzione perché potrebbero essere il risultato di un attacco ad un fornitore di sevizi di terze parti, o peggio ancora, le informazioni interne trafugate potrebbero essere utilizzate per successivi attacchi all’azienda stessa o ad altre aziende del gruppo. Non sappiamo quali e quante informazioni siano state realmente rubate, queste ore sono cruciali per una risposta all’incidente e per limitare movimenti laterali degli attaccanti che potrebbero riproporsi nelle prossime settimane.”
Non sono mancate le critiche , anche perché Poste Italiane non è di primo pelo riguardo questa tipologie di problematiche, specie negli ultimi 3 anni da bollino nero per l'azienda, qui a seguire alcuni articoli:



Le critiche a Postel






L'epilogo dell'accaduto


Passati 10 giorni in cui Postel non ha espresso l'intenzione ne ha pagato il riscatto richiesto , arriviamo alla pubblicazione del leak tanto agognato , i danni sono di lunga superiori al previsto come preannunciato da Bernieri.

Il Gruppo Medusa ha pubblicato sul proprio sito i dati rubati a Postel, società controllata da Poste Italiane. Tra cui carte di identità, passaporti, attestati e altri dati personali dei dipendenti corredati da informazioni interne del gruppo.

Gran parte del materiale diffuso consiste in password, accessi a Spid, alcune email che riportano in testa la dicitura “confidenziale” o “riservata” di proprietà dei clienti e informazioni su congedi parentali e malattia dei dipendenti di Postel, si parla addirittura di materiale sensibile inerente alla situazione Covid.

Sui canali social dell’azienda Postel non è presente ancora nessuna comunicazione in merito.

Insomma sappiamo bene che dal 2020 ad oggi il nostro paese è in una situazione colabrodo specie sul lato della pubblica amministrazione che in teoria dovrebbe essere l'istituzione più sensibile sul tema cybersecurity , ma ancora una volta la situazione è grave.

Vorrei dei vostri pareri a riguardo , sulla gestione dell'evento , sul come poter migliorare , se era il caso o meno di assecondare le richieste del gruppo visto il danno fatto.
Fatemi sapere, e come sempre .... :inforge-rulez:


Fonti:

 
Visualizza allegato 71337


In data 15/08/2023 il gruppo ramsonware " Medusa " ha portato a termine con successo un attacco ai danni di Postel.Sap , società di proprietà delle poste Italiane che si occupa della gestione e dello storage di documentazione sensibile della società PosteItaliane , all'inizio si pensava fossero interessati solo dati dei dipendenti , ma più avanti come vedremo il bottino si è rilevato ben più proficuo rispetto a quanto ci si aspettava .

il giorno 15/08/2023 i siti ufficiali di PosteItaliane sono rimasti offline per diverse ore , si pensava a un disservizio fino a quando il gruppo Medusa non ha rivendicato l'attacco sul sito DRM – Dashboard Ransomware Monitor . Visualizza allegato 71338







Il gruppo ha pubblicato delle "prove" dell'attacco che si limitavano a quello che sembravano dati interni inerti al personale , a piani di marketing ecc in ogni caso si scongiurava la presenza di elementi sensibili inerenti la clientela dell'azienda ( ovvero i fruitori dei servizi di PosteItaliane , come il sottoscritto ) .







La ramsonGang Medusa , come da prassi , ha chiesto un riscatto di 500000 euro con un ultimatum di 8 giorni più un eventuale pagamento di altri 10000 euro per posticipare di 1 giorno la pubblicazione dei dati .

Se il pagamento non fosse arrivato nei termini stabiliti il gruppo avrebbe , sulla base delle loro esplicite " minacce " , leakato l'intero bottino in rete .



Di cosa si occupa Postel nello specifico ?

https://www.corrierecomunicazioni.i...own-il-sito-riscatto-per-non-pubblicare-dati/



Visualizza allegato 71339



Al momento di queste dichiarazioni si pensava che il bottino avesse un impatto interno contenendo "solamente" dati sensibili dei dipendenti , facile pensare che a livello locale i file siano stati ditrutti o cryptati visto che le richieste di riscatto non hanno avuto seguito , anche se Postel non si è pronunciata a riguardo .

Da una prima analisi , la modalità di attacco di Medusa sembra sempre seguire la metodica distintiva del gruppo :

La gang avrebbe preso di mira i dispositivi Windows attraverso ransomware, mettendo fuori uso servizi e processi del sistema operativo che avrebbero potuto impedire la crittografia dei file (come server di posta elettronica, database e software di sicurezza).

Medusa avrebbe anche eliminato i file archiviati localmente, inclusi quelli legati ai programmi di backup, al fine di prevenire il ripristino dei file.

Tutti i file crittografati avrebbero ottenuto l'estensione .Medusa, e il ransomware avrebbe creato una nota di testo contenente informazioni importanti per la vittima, spiegando quanto è accaduto.

Queste informazioni includerebbero anche l'indirizzo della pagina Tor, dove le vittime dell'attacco avrebbero potuto comunicare con il gruppo criminale, insieme ad altri dettagli di contatto.



IL COMUNICATO DI POSTE ITALIANE

A seguire , dopo aver ripristinato i servizi della piattaforma , Poste Italiane ha rilasciato il suo comunicato stampa per dare spiegazioni sull'evento :

In data 15 agosto 2023, il gruppo criminale Medusa ha rivendicato tali attività, pubblicando, sul proprio blog, la notizia di un attacco ransomware effettuato sui sistemi di Postel S.p.A. Attualmente risultano essere stati interessati solo dati interni all’azienda”,
Al momento le operazioni di ripristino erano ancora in corso , mentre i servizi di base della piattaforma erano tornati fruibili .

“Tornando al caso specifico, riconosciamo negli eventi uno schema consolidato di doppia estorsione. L’azienda colpita tuttavia è riuscita in tempi brevissimi a ripristinare i propri sistemi così come ad individuare attività sospette ed agire tempestivamente. Teniamo presente inoltre il timing dell’attacco, avvenuto in un momento critico per la quasi totalità delle imprese italiane, ovvero a cavallo di ferragosto”
Spiega Paganini:

“tutto ciò però potrebbe non bastare in quanto, stando a quando dichiarato dal gruppo Medusa e alle evidenze proposte sul suo leak site, il gruppo criminale potrebbe aver esfiltrato un quantitativo significativo di informazioni sensibili dai sistemi di Postel.

Sebbene in passato il gruppo Medusa abbia penetrato le reti delle vittime attraverso accessi remoti non presidiati in maniera idonea, non si può escludere l’utilizzo di tecniche più sofisticate”

questi attacchi inoltre meritano particolare attenzione perché potrebbero essere il risultato di un attacco ad un fornitore di sevizi di terze parti, o peggio ancora, le informazioni interne trafugate potrebbero essere utilizzate per successivi attacchi all’azienda stessa o ad altre aziende del gruppo. Non sappiamo quali e quante informazioni siano state realmente rubate, queste ore sono cruciali per una risposta all’incidente e per limitare movimenti laterali degli attaccanti che potrebbero riproporsi nelle prossime settimane”


Non sono mancate le critiche , anche perchè PosteItaliane non è di primo pelo riguardo questa tipologie di problematiche , specie negli ultimi 3 anni da bollino nero per l'azienda , qui a seguire alcuni articoli :

https://roma.repubblica.it/cronaca/..._milioni_ritirati_bancomat_8_paesi-374929784/

https://www.ilgiorno.it/cronaca/poste-tilt-sistemi-sito-killnet-hacker-1.7730814

https://it.euronews.com/2022/05/30/poste-italiane-smentisce-attacco-hacker-russo

https://www.giano.news/2023/04/06/poste-italiane-paralizzate-da-ieri-pomeriggio-attacco-hacker/

https://www.quicosenza.it/news/ital...-al-sito-di-poste-italiane-nessun-disservizio

https://www.cybersecurity360.it/nuo...taliane-ecco-le-piu-comuni-e-come-difendersi/




LE CRITICHE A POSTEL

Tuona su twitter Christian Bernieri esperto di cybersecurity :



Christian Bernieri - DPO

@prevenzione


""Questa è grossa, veramente.Peccato che alle poste lo scopriranno solo dopo le meritatissime ferie e il rientro dalle sacrosante festività.Con calma ragazzi di Poste/Postel... tanto ormai il danno è fatto.

"Hackers don't give a shit"


Il data breach è da paura, sia sotto il profilo commerciale che per la tutela dei dati personali.


Penso che TUTTI Visualizza allegato 71340I LAVOATORI POSTEL debbano iniziare a preoccuparsi perchè i loro dati personali (inclusi quelli sensibili) saranno presto online e liberamente scaricabili da chiunque.

Ci sarà peraltro qualche genio che diffonderà il link e le istruzioni su come farlo. (Ogni riferimento a persone realmente esistenti e fatti già accaduti è intenzionale)

Ragazzi, se avete bisogno una mano per salvare il salvabile contattatemi, il vostro datore di lavoro ha esposto la vostra vita online:
permessi, sanzioni disciplinari, 104, stipendio, documenti, tutto.

Copie di documenti di identità a gogo
Dati dell'ufficio del personale a profusione Corrispondenza interna riservata Contenzioso Tutta la roba legata al COVID La posta di diversi account : dell'ufficio del personale e di commerciali...

bellamente conservata da non so quanti anni...

tutta! Tutto rubato, tutto online.

Persino una certella con le procedure PRIVACY di postel... efficaci, non c'è che dire!REGOLA DISAMBIGUAZIONE DELL MANI AVANTIereditata da Twitter (RIP): No, Postel non è la vittima.

No, Postel non è innocente e non può fare la verginella

Si, Postel deve gestire e proteggere i dati personali che detiene secondo precisi standard

No, Postel non si può far fregare i dati come se fossero sacchi di corrispondenza qualsiasi...

oops, intendevo come se fosse qualcosa di cui non te ne frega niente.

Certamente il @GPDP_IT riceverà una notifica di data breach entro 72 ore e le persone coinvolte saranno avvisate con dovizia di particolari e dettagli su come proteggersi dai potenziali rischi...

certamente.


Sarà interessante verificare tra 8 giorni la situazione perchè i dati online qualificano il data breach come grave e pericoloso per le persone coinvolte.Prosit""



EPILOGO

Passati 10 giorni in cui Postel non ha espresso l'intenzione ne ha pagato il riscatto richiesto , arriviamo alla pubblicazione del leak tanto agognato , i danni sono di lunga superiori al previsto come preannunciato da Bernieri :

Visualizza allegato 71341

Il Gruppo Medusa ha pubblicato sul proprio sito i dati rubati a Postel, società controllata da Poste Italiane. Tra cui carte di identità, passaporti, attestati e altri dati personali dei dipendenti corredati da informazioni interne del gruppo.



Gran parte del materiale leakato consiste in password, accessi a Spid, alcune email che riportano in testa la dicitura “confidenziale” o “riservata” di proprietà dei clienti e informazioni su congedi parentali e malattia dei dipendenti di Postel, si parla addirittura di materiale sensibile inerente alla situazione Covid .



Sui canali social dell’azienda Postel non è presente ancora nessuna comunicazione in merito.




Insomma sappiamo bene che dal 2020 ad oggi il nostro paese è in una situazione colabrodo specie sul lato della pubblica amministrazione che in teoria dovrebbe essere l'istituzione più sensibile sul tema cybersecurity , ma ancora una volta la situazione è grave .

Vorrei dei vostri pareri a riguardo , sulla gestione dell'evento , sul come poter migliorare , se era il caso o meno di assecondare le richieste del gruppo visto il danno fatto .



Fatemi sapere , e come sempre .... :inforge-rulez:










Fonti :

https://www.corriere.it/tecnologia/...ti-18a3c0d6-e036-490d-af5e-44aaa5785xlk.shtml



Vedi: https://twitter.com/prevenzione/status/1691517606912577537?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1691517606912577537%7Ctwgr%5E80afe6ddea85e64e1d32654dd1ce927fd86c2f6b%7Ctwcon%5Es1_&ref_url=https%3A%2F%2Ftg24.sky.it%2Ftecnologia%2F2023%2F08%2F17%2Fattacco-hacker-poste


https://tg24.sky.it/tecnologia/2023/08/17/attacco-hacker-poste

https://www.wired.it/article/postel-attacco-ransomware-medusa/



Per riassumere: le vittime di questo attacco sono stati i dipendenti che lavorano presso le Poste Italiane, e non al di fuori ?
 
Per riassumere: le vittime di questo attacco sono stati i dipendenti che lavorano presso le Poste Italiane, e non al di fuori ?
Esattamente, però i dipendenti come fanno a usare il computer dell'azienda come se fosse di sua proprietà? Cioè da quello che ho letto i dipendenti avevano nel PC passaporti, carte d'identità, password e altro. Penso che chiunque capisca che un'azienda è più esposta a questi attacchi informatici rispetto ad un PC domestico...
 
Esattamente, però i dipendenti come fanno a usare il computer dell'azienda come se fosse di sua proprietà? Cioè da quello che ho letto i dipendenti avevano nel PC passaporti, carte d'identità, password e altro. Penso che chiunque capisca che un'azienda è più esposta a questi attacchi informatici rispetto ad un PC domestico...

È vero, è un problema grave. Le aziende dovrebbero fare di più per sensibilizzare i dipendenti sui rischi informatici e fornire loro formazione sulla sicurezza. I dipendenti, dal canto loro, dovrebbero essere più responsabili e adottare misure di sicurezza di base, come utilizzare password forti e non aprire allegati o link sospetti.

Io, per esempio, ricordo tutte le password di cui faccio accesso giornalmente a ogni sito. Sul mio browser non ho salvato nemmeno una password.
 
Ultima modifica:
Le aziende dovrebbero fare di più per sensibilizzare i dipendenti sui rischi informatici e fornire loro formazione sulla sicurezza. I dipendenti, dal canto loro, dovrebbero essere più responsabili e adottare misure di sicurezza di base, come utilizzare password forti e non aprire allegati o link sospetti.
Purtroppo non è facile, nella mia piccola realtà ci sto provando ma molti dipendenti sono ostici.
Ho messo l'autenticazione a due fattori sul programma gestionale in cloud (che tra l'altro gestisce dati sensibili) e molti si sono lamentati perchè fa fatica mettere il codice di google authenticator e cambiare la password ogni 3 mesi dovendo crearla complessa.

Purtroppo non c'è cultura della sicurezza, ho notato che l'utente medio vede la password complessa solo come una scocciatura inutile quando invece dovrebbe passare il messaggio password complessa = sicurezza, poi purtroppo c'è chi va in crisi se una password contiene un carattere speciale come = % _ § < ecc...

Persone a cui ho consigliato di mettere la 2FA per i social e i vari account di e-commerce mi hanno risposto: tanto se mi entrano nell'account non trovano niente di interessante perchè non pubblico niente! o_O

Non molto tempo fa fu hackerata la casella pec e quella di un dipendente proprio per l'uso di una password debole, infatti ho provveduto a impostare password complicate per tutti i servizi con dati sensibili.

Fortunatamente i dirigenti mi hanno autorizzato con entusiasmo a far fare un corso biennale di sicurezza informatica su una piattaforma online dove sono spiegate tutte le best practice da adottare (backup, password complesse, riconoscere mail sospette ecc...).
Il problema è che pochi stanno facendo il corso (tra cui qualche dirigente stesso ahimè) e molti lo prendono sottogamba.
Poi addirittura qualcuno non riesce nemmeno farlo per incapacità nell'uso della piattaforma e questo è gravissimo...


Messaggio unito automaticamente:

Io, per esempio, ricordo tutte le password di cui faccio accesso giornalmente a ogni sito. Sul mio browser non ho salvato nemmeno una password.
ti consiglio un password manager, c'è una discussione a riguardo https://www.inforge.net/forum/threads/i-migliori-password-manager-per-il-2023.614397/
uso keepass e mi trovo molto bene
 
Purtroppo non è facile, nella mia piccola realtà ci sto provando ma molti dipendenti sono ostici.
Ho messo l'autenticazione a due fattori sul programma gestionale in cloud (che tra l'altro gestisce dati sensibili) e molti si sono lamentati perchè fa fatica mettere il codice di google authenticator e cambiare la password ogni 3 mesi dovendo crearla complessa.

Purtroppo non c'è cultura della sicurezza, ho notato che l'utente medio vede la password complessa solo come una scocciatura inutile quando invece dovrebbe passare il messaggio password complessa = sicurezza, poi purtroppo c'è chi va in crisi se una password contiene un carattere speciale come = % _ § < ecc...

Persone a cui ho consigliato di mettere la 2FA per i social e i vari account di e-commerce mi hanno risposto: tanto se mi entrano nell'account non trovano niente di interessante perchè non pubblico niente! o_O

Non molto tempo fa fu hackerata la casella pec e quella di un dipendente proprio per l'uso di una password debole, infatti ho provveduto a impostare password complicate per tutti i servizi con dati sensibili.

Fortunatamente i dirigenti mi hanno autorizzato con entusiasmo a far fare un corso biennale di sicurezza informatica su una piattaforma online dove sono spiegate tutte le best practice da adottare (backup, password complesse, riconoscere mail sospette ecc...).
Il problema è che pochi stanno facendo il corso (tra cui qualche dirigente stesso ahimè) e molti lo prendono sottogamba.
Poi addirittura qualcuno non riesce nemmeno farlo per incapacità nell'uso della piattaforma e questo è gravissimo...
Messaggio unito automaticamente:
È difficile cambiare le abitudini delle persone, soprattutto quando si tratta di qualcosa che non considerano una priorità.

Dovresti continuare con costanza a sensibilizzare i dipendenti sui rischi degli attacchi informatici, organizzando attività educative per attirare la loro attenzione e personalizzando i messaggi di sicurezza in modo che siano più rilevanti per le loro esigenze.

Per i dirigenti che hanno l'incapacità di usare la piattaforma, potresti provare a parlarne con loro e fargli cambiare idea, spiegando quanto sia importante la formazione sulla sicurezza per proteggere l'azienda.
Per i dipendenti, potresti provare a fornire loro un aiuto extra, offrendo sessioni di tutoraggio o materiale di supporto aggiuntivo.
 
Ultima modifica:
Per riassumere: le vittime di questo attacco sono stati i dipendenti che lavorano presso le Poste Italiane, e non al di fuori ?

Diciamo che postel dichiara questo , diciamo così ... :evvai:

Comunque il leak di Medusa era presente sul loro sito e su un famosissimo DatabreachSite
Messaggio unito automaticamente:

Purtroppo non è facile, nella mia piccola realtà ci sto provando ma molti dipendenti sono ostici.
Ho messo l'autenticazione a due fattori sul programma gestionale in cloud (che tra l'altro gestisce dati sensibili) e molti si sono lamentati perchè fa fatica mettere il codice di google authenticator e cambiare la password ogni 3 mesi dovendo crearla complessa.

Purtroppo non c'è cultura della sicurezza, ho notato che l'utente medio vede la password complessa solo come una scocciatura inutile quando invece dovrebbe passare il messaggio password complessa = sicurezza, poi purtroppo c'è chi va in crisi se una password contiene un carattere speciale come = % _ § < ecc...

Persone a cui ho consigliato di mettere la 2FA per i social e i vari account di e-commerce mi hanno risposto: tanto se mi entrano nell'account non trovano niente di interessante perchè non pubblico niente! o_O

Non molto tempo fa fu hackerata la casella pec e quella di un dipendente proprio per l'uso di una password debole, infatti ho provveduto a impostare password complicate per tutti i servizi con dati sensibili.

Fortunatamente i dirigenti mi hanno autorizzato con entusiasmo a far fare un corso biennale di sicurezza informatica su una piattaforma online dove sono spiegate tutte le best practice da adottare (backup, password complesse, riconoscere mail sospette ecc...).
Il problema è che pochi stanno facendo il corso (tra cui qualche dirigente stesso ahimè) e molti lo prendono sottogamba.
Poi addirittura qualcuno non riesce nemmeno farlo per incapacità nell'uso della piattaforma e questo è gravissimo...


Messaggio unito automaticamente:


ti consiglio un password manager, c'è una discussione a riguardo https://www.inforge.net/forum/threads/i-migliori-password-manager-per-il-2023.614397/
uso keepass e mi trovo molto bene

mmmh discorso ostico , non voglio riferirmi a te , ma come spesso accade ( tipo in una multinazionale in cui ho lavorato ) gli operatori di cybersecurity scaricano lavoro e responsabilità sui dipendenti e questo non và bene e non è giusto .

Non puoi chiedermi autenticazioni a mille fattori , stupidissime prove di phishing che ti intasavano inutilmente la casella di posta , cambio di password ogni 15 gg pazzi e mazzi vari se poi la password dei nostri applicativi più sensibili è 1234 , non puoi chiedermi attenzione a dove clicco se poi non mi installi un minimo di protezione sulle caselle email dell'azienda ( almeno un filtro spam decente , non venivano manco bloccate le mail di palesi tentativi di frode) .


Addirittura Il programma Gestionale non aggiornato da 2 anni , bisogna capire che in un azienda gli asset informatici possono essere utilizzati anche dal Postino o dal ditta di pulizie che non ha NESSUN obbligo e dovere riguardo il saper utilizzare un pc correttamente , virtualmente parlando può essere gente con la 5° elementare che non ne ha nessuna colpa.

Secondo il mio modesto parere un operatore di security deve dare la massima sicurezza con il minimo sforzo da parte degli altri utenti , perchè come dissi al mio ex-capo tempo fà " a questo punto la security cè la facciamo da soli e le addette di sec le facciamo venire qui da Milano a bestemmiare con i clienti allegramente insieme a noi" ( ammetto con un pò di malsana invidia , perchè vedere gente fare il lavoro dei miei sogni così senza passione e impegno come facevano loro mi faceva crescere la bile ) ...

Mio modesto parere , forse mi sbaglio non avendo mai visto quel tipo di lavoro da vicino , questo "rant" solo per darti la prospettiva del dipendente ignorante , anche se sono sicuro che te Worm sei di tutt'altra pasta rispetto al "blue-team" che avevamo in azienda :cool: quindi probabilmente anche te hai ben donde di vederla in questo modo

Curiosità : in azienda da te , quanti operatori eravate su quanti dipendenti ? parla ovviamente di dipendenti 8 ore davanti al pc

:inforge-rulez:
 
ma come spesso accade ( tipo in una multinazionale in cui ho lavorato ) gli operatori di cybersecurity scaricano lavoro e responsabilità sui dipendenti e questo non và bene e non è giusto
sono d'accordo, infatti dobbiamo essere noi addetti ai lavori a essere bravi nel prevenire i comportamenti a rischio di chi usa il pc.

Addirittura Il programma Gestionale non aggiornato da 2 anni , bisogna capire che in un azienda gli asset informatici possono essere utilizzati anche dal Postino o dal ditta di pulizie che non ha NESSUN obbligo e dovere riguardo il saper utilizzare un pc correttamente , virtualmente parlando può essere gente con la 5° elementare che non ne ha nessuna colpa.
Si hai ragione, infatti per i dipendenti che non sanno usare bene il computer ho messo dei blocchi di navigazione molto restrittivi, limitando l'accesso solo ai siti istituzionali e a quelli che servono per lavorare (es. sito del programma in cloud).
In più ho messo in atto la strategia del "terrore" prima di aprire allegati in arrivo via mail dopo che fu preso un ransomware (che per fortuna non ha fatto danni rilevanti avendo tutti i documenti importanti salvati su cloud).
Devo dire anche che i più sospettosi sono proprio quelli meno esperti ma in generale quasi tutti prestano attenzione agli allegati in arrivo e prima di aprirli spesso mi chiamano per vedere se è un allegato legittimo.
Come misura preventiva ho anche bloccato sulla mail la ricezione degli allegati zip e con altre estensioni tipiche dei malware.

Curiosità : in azienda da te , quanti operatori eravate su quanti dipendenti ? parla ovviamente di dipendenti 8 ore davanti al pc
Sono da solo su 45 dipendenti.
 
sono d'accordo, infatti dobbiamo essere noi addetti ai lavori a essere bravi nel prevenire i comportamenti a rischio di chi usa il pc.


Si hai ragione, infatti per i dipendenti che non sanno usare bene il computer ho messo dei blocchi di navigazione molto restrittivi, limitando l'accesso solo ai siti istituzionali e a quelli che servono per lavorare (es. sito del programma in cloud).
In più ho messo in atto la strategia del "terrore" prima di aprire allegati in arrivo via mail dopo che fu preso un ransomware (che per fortuna non ha fatto danni rilevanti avendo tutti i documenti importanti salvati su cloud).
Devo dire anche che i più sospettosi sono proprio quelli meno esperti ma in generale quasi tutti prestano attenzione agli allegati in arrivo e prima di aprirli spesso mi chiamano per vedere se è un allegato legittimo.
Come misura preventiva ho anche bloccato sulla mail la ricezione degli allegati zip e con altre estensioni tipiche dei malware.


Sono da solo su 45 dipendenti.


Senza andare troppo off-topic , quali misure sono le minime necessarie per poter evitare quello che è successo a Postel ? ci sono dei consigli che ti sentiresti di dare se fossi convocato come consulente esterno ?

Come immaginavo ,la quantità non significa niente in questo settore , 45 su 1 mentre in altri posti su 120 operatori 6 addetti ; poi numeri presi così signifca poco bisogna vedere il contesto , ma ripeto che è sicuramente piu importante la qualità sulla quantità
 
Senza andare troppo off-topic , quali misure sono le minime necessarie per poter evitare quello che è successo a Postel ? ci sono dei consigli che ti sentiresti di dare se fossi convocato come consulente esterno ?
Come prima cosa attenersi alle misure minime/standard (meglio se si cerca quanto più possibile di puntare alle misure di livello alto) di sicurezza AGID, link:

Il documento è rivolto alle pubbliche amministrazioni ma si può applicare anche ad aziende private.

Non voglio dire ovvietà o rimanere sul banale ma reputo importante la formazione del personale a riconoscere le minacce, quasi tutti gli attacchi avvengono dall'interno della rete (USB infette, click su link di phishing ecc...) poi come ben sapete il social engineering oggi è la tecnica migliore per ottenere l'accesso a una rete aziendale, se un dipendente non clicca su un file infetto l'attacco viene bloccato sul nascere.

Poi credo che per dare un consiglio preciso bisognerebbe avere chiaro in che modo è avvenuto l'accesso ai dati sensibili di postel.

D'altra parte un sistema sicuro al 100% non esiste
 
Io sono d'accordo con entramb, la cultura della sicurezza informatica è fondamentale per proteggere noi e le aziende dagli attacchi. La formazione del personale è uno dei passi importanti per proteggersi dai rischi e avere una buona pratica, i dipendenti, devono essere formati, dovrebbero riconoscere le minacce come il phishing e adottare misure di sicurezza di base, come l'utilizzo di password complesse e l'autenticazione a due fattori.
Oltre alla formazione, l'azienda stessa deve adottare misure tecniche per proteggere i sistemi e i dati, come ad esempio aggiornamenti software e patch di sicurezza sempre aggiornati, firewall e antivirus efficaci, controlli di accesso granulari, backup regolari dei dati.
 
Come prima cosa attenersi alle misure minime/standard (meglio se si cerca quanto più possibile di puntare alle misure di livello alto) di sicurezza AGID, link:

Il documento è rivolto alle pubbliche amministrazioni ma si può applicare anche ad aziende private.

Non voglio dire ovvietà o rimanere sul banale ma reputo importante la formazione del personale a riconoscere le minacce, quasi tutti gli attacchi avvengono dall'interno della rete (USB infette, click su link di phishing ecc...) poi come ben sapete il social engineering oggi è la tecnica migliore per ottenere l'accesso a una rete aziendale, se un dipendente non clicca su un file infetto l'attacco viene bloccato sul nascere.

Poi credo che per dare un consiglio preciso bisognerebbe avere chiaro in che modo è avvenuto l'accesso ai dati sensibili di postel.

D'altra parte un sistema sicuro al 100% non esiste

Bellissimo documento , eh si se seguito in modo appropriato può prevenire situazioni del genere .

Penso che in Postel pratiche indicate nel protocollo AGID come

" Eseguire regolari scansioni sui sistemi al fine di rilevare la presenza di software non autorizzato. ID.AM-2 " pag9

" Assicurare con regolarità la validazione e l’aggiornamento delle immagini d’installazionenella loro configurazione di sicurezza anche in considerazione delle più recenti vulnerabilitàe vettori di attacco.PR.IP-2 RC.IM-1 " pag10

"Le immagini d’installazione devono essere memorizzate offline. PR.IP-2 X X X2 Le immagini d’installazione sono conservate in modalità protetta, garantendone l’integrità ela disponibilità solo agli utenti autorizzati. PR.DS-2 PR.IP-2 X X4 1Eseguire tutte le operazioni di amministrazione remota di server, workstation, dispositivi direte e analoghe apparecchiature per mezzo di connessioni protette (protocolli intrinsecamentesicuri, ovvero su canali sicuri).PR.AC-3 PR.MA-2 " pag 10

" Usare uno SCAP (Security Content Automation Protocol) di validazione della vulnerabilitàche rilevi sia le vulnerabilità basate sul codice (come quelle descritte dalle voci CommonVulnerabilities ed Exposures) che quelle basate sulla configurazione (come elencate nelCommon Configuration Enumeration Project).DE.CM-8 X2 1 Correlare i log di sistema con le informazioni ottenute dalle scansioni delle vulnerabilità. DE.CM-8 X X2 Verificare che i log registrino le attività dei sistemi di scanning delle vulnerabilità DE.CM-8 X X3 Verificare nei log la presenza di attacchi pregressi condotti contro target riconosciutocome vulnerabile. DE.CM-8 X " pag12

non siano state seguite correttamente , come purtroppo in molte realtà italiane visti gli ultimi 2 anni ; comunque dà speranza l'esistenza di un protocollo del genere almeno le linee guida ci sono , questo responsabilizza ancora di più in casi come questo

Purtroppo è vero che niente è sicuro , ma qui in Italia in questi ultimi 3 anni cè ne siamo un pò lavati le mani
Messaggio unito automaticamente:

Io sono d'accordo con entramb, la cultura della sicurezza informatica è fondamentale per proteggere noi e le aziende dagli attacchi. La formazione del personale è uno dei passi importanti per proteggersi dai rischi e avere una buona pratica, i dipendenti, devono essere formati, dovrebbero riconoscere le minacce come il phishing e adottare misure di sicurezza di base, come l'utilizzo di password complesse e l'autenticazione a due fattori.
Oltre alla formazione, l'azienda stessa deve adottare misure tecniche per proteggere i sistemi e i dati, come ad esempio aggiornamenti software e patch di sicurezza sempre aggiornati, firewall e antivirus efficaci, controlli di accesso granulari, backup regolari dei dati.

assolutamente , ma sono anche dell'idea che un team di qualità può fare la differenza , per esperienza ho visto aziende coscienti di ciò che assumono persone come Worm capaci e preparate, e aziende incoscienti che assumono per il ruolo gente con magari percorsi di psicologia o criminologia con zero preparazione tecnica , questo dato dal fatto anche che cè ancora un immagine troppo "hollywodiana" della problematica
 
  • Mi piace
Reazioni: TheWorm91
Stato
Discussione chiusa ad ulteriori risposte.