Nuovo incremento delle prestazioni all’esercitazione ciber Locked Shields
In aprile si è svolta l’edizione 2023 dell’esercitazione ciber Locked Shields, la più importante a livello internazionale. La Svizzera ha partecipato nell’ambito di un joint blue team assieme a militari dell’esercito estone e belga. Rispetto all’anno precedente il nostro Paese è riuscito a salire dal decimo al settimo rango, proseguendo così l’ascesa degli ultimi anni.
04.05.2023 | Comunicazione Difesa, Andreas Müller
Echeggiava un sottofondo sonoro permanente dato da dita che scorrono sulle tastiere, discussioni animate e chiacchiericci. Nei locali del blue team 12 regnava una tensione pressoché palpabile. I partecipanti, altamente concentrati e motivati, del joint blue team 12 avevano iniziato con i preparativi per l’esercitazione con oltre due settimane di anticipo rispetto al cosiddetto «Day Zero». In quel periodo di duro lavoro l’attività si concentrava soprattutto sul rafforzamento dei sistemi che avrebbero poi dovuto essere protetti contro qualsiasi genere di attacco possibile. Durante l’esercitazione Locked Shields i blue team hanno dovuto confrontarsi con numerosi tipi di minaccia, come per esempio attacchi di phishing, ransomware, DDoS e quant’altro (vedi riquadro).
I partecipanti devono dimostrare in tempo reale le loro capacità nell’individuare e respingere ciberattacchi. Per questo sono necessarie una grande concentrazione e resistenza. Durante la fase «Live Fire» dell’esercitazione i partecipanti andavano in pausa in modo scaglionato per poter garantire la sorveglianza permanente dei sistemi. Dai loro volti trapelava lo stress persistente dato dall’incertezza di dover interrompere improvvisamente il pranzo per tornare davanti al computer a respingere un attacco attivo. L’esercitazione Locked Shields è uno dei ciberesercizi «Live Fire» più importanti ed estesi a livello mondiale e in quanto tale costituisce un importante tassello nella formazione e nel perfezionamento degli specialisti IT nel campo della ciberdifesa. Oltre alle competenze tecniche, i partecipanti all’esercitazione Locked Shields devono anche disporre di eccellenti capacità di comunicazione e cooperazione. Le minacce conseguenti ai ciberattacchi possono infatti sfociare rapidamente in un’escalation e propagarsi ad altri settori. È quindi necessario intervenire in modo rapido e coordinato.
Berylia vs. Crimsonia
Nel mondo ipotetico di Locked Shields, in cui Berylia necessita di aiuto per respingere gli attacchi sferrati da Crimsonia, non esistono soltanto compiti per specialisti ciber. Infatti, anche la sfera delle informazioni e la situazione giuridica sono elementi importanti della valutazione. Il team info ha quindi dovuto organizzare e pubblicare campagne informative già nella fase di preparazione. Durante le giornate dell’esercitazione il team ha inoltre dovuto gestire richieste dei media assai complesse. Per rispondere a queste domande sono sempre stati necessari la collaborazione del legal team e il coordinamento con il team tecnico. Oltre a fungere da consulente per gli altri team, il legal team ha anche dovuto confrontarsi con richieste specifiche di notevole difficoltà.
La cooperazione internazionale come chiave del successo
L’esercitazione Locked Shields è un elemento importante per migliorare la collaborazione tra i diversi Paesi ed eserciti nel settore della ciberdifesa. I partecipanti provenivano da 34 nazioni diverse e dovevano collaborare strettamente nei blue team per poter individuare e respingere le minacce. Oltre a incentivare la cooperazione e lo scambio di buone prassi, questo modo di lavorare contribuisce anche a consolidare e rafforzare la fiducia tra le nazioni.
La partecipazione dell’Esercito svizzero all’esercitazione Locked Shields è una componente elementare della sempre più performante ciberdifesa in Svizzera. Le minacce dovute ai ciberattacchi si fanno sempre più complesse e impegnative poiché oltre alle aziende possono colpire anche i gestori di infrastrutture critiche, come per esempio l’approvvigionamento energetico e idrico, il traffico e la sanità pubblica. È dunque fondamentale che la Svizzera disponga delle competenze e delle tecnologie necessarie per reagire a queste minacce e proteggere i propri sistemi e le proprie infrastrutture. Per allenare la cooperazione in seno alla Rete integrata Svizzera per la sicurezza, nel blue team 12 erano presenti anche collaboratori dei gestori delle infrastrutture critiche.
Confermata la tendenza al rialzo
La Svizzera ha già partecipato più di una decina di volte a Locked Shields e anche quest’anno ha potuto confermare la sua tendenza al rialzo. Nella presente edizione il blue team 12 si è infatti piazzato al settimo posto in classifica. I partecipanti svizzeri hanno dunque guadagnato tre posti rispetto alla scorsa edizione. «Il settimo rango su 24 ci rende orgogliosi e fiduciosi», dichiara il col SMG Pierre Kilchenmann, leader blue team del joint team estone-belga-svizzero. In questa edizione hanno ottenuto un risultato particolarmente positivo l’info team (2° rango) e il legal team (3° rango). Anche il team forense, incaricato tra le altre cose di analizzare record di dati alla ricerca di tracce di malware, può ritenersi più che soddisfatto della sua prestazione (3° rango).
Foto
Attacchi
Che generi di attacchi ci sono stati?
Attacco DDoS
Un attacco DDoS (Distributed Denial of Service Attack) è un ciberattacco che prevede di sovraccaricare un server di destinazione oppure un sito web tempestandoli con un numero considerevole di richieste e traffici di dati. Tali richieste provengono da fonti diverse che sono spesso parte di una cosiddetta rete bot controllata da un aggressore. L’obiettivo di un attacco DDoS consiste nel sovraccaricare il server o il sito web al punto da renderlo inaccessibile agli utenti normali e comprometterne così il funzionamento o paralizzarlo totalmente.
Attacco di phising
Un attacco di phishing è una forma di ciberattacco in cui l’aggressore tenta di rubare informazioni personali di utenti ignari spacciandosi per fonte affidabile. Questo può avvenire in forma di e-mail, siti web o messaggi falsificati che dovrebbero indurre l’utente a svelare dati confidenziali come nomi utente, password o informazioni sulle carte di credito.
Attacco di interruzione di corrente
Un attacco di interruzione di corrente può essere perpetrato in forma di attacco cinetico oppure come ciberattacco. I sistemi e le reti che non sono allacciati a una rete di corrente d’emergenza non vengono spenti correttamente. Il riavvio dei sistemi e delle reti, in particolare quello dei router, degli switch e dei firewall può durare da alcune ore fino a diversi giorni. Inoltre succede spesso che gli apparecchi non sopravvivano a questa interruzione improvvisa dell’alimentazione elettrica e debbano quindi essere sostituiti.
STRATEX
Parallelamente alla parte tecnica dell’esercitazione ciber Locked Shields della NATO, la rete ciber dell’Amministrazione federale si è esercitata nel fronteggiamento collettivo di un ciberincidente. I partecipanti definiscono le responsabilità e le misure per i casi di crisi. Infatti, conoscendo l’ecosistema e le persone, tutti sono in grado di agire più rapidamente. Durante l’esercitazione strategica Locked Shields 2023 hanno collaborato fianco a fianco 15 esperti con funzione di consulenti provenienti da cinque dipartimenti e sette uffici federali. Il gruppo STRATEX era diretto da Florian Egloff, capo Ciber del settore Digitalizzazione e cibersicurezza DDPS.