L’FBI combatte gli attacchi informatici attraverso una serie di strategie avanzate. L’FBI è responsabile di investigare e prevenire le minacce informatiche, specialmente in settori critici come la sanità, dove attacchi ransomware o violazioni di dati sensibili possono avere impatti devastanti.
Strategie utilizzate dall’FBI per contrastare gli attacchi informatici:
Cyber Threat Intelligence (CTI) e Indicatori di Compromissione (IOC)
L’FBI raccoglie ed elabora una vasta gamma di dati di threat intelligence da fonti open-source, reti darknet e piattaforme chiuse, collaborando con enti governativi e aziende private. Le informazioni vengono convertite in Indicatori di Compromissione (IOC), come hash di file, IP malevoli e signature di malware. Questi IOC sono condivisi attraverso piattaforme come InfraGard e la National Cyber-Forensics & Training Alliance (NCFTA), consentendo una risposta rapida e coordinata per prevenire attacchi in corso.
Cyber Action Teams e IR (Incident Response)
L’FBI dispone di Cyber Action Teams (CAT) formati da esperti in forensics digitali, reverse engineering e penetration testing. Questi team sono attivati per fornire supporto di Incident Response (IR) in caso di incidenti critici come ransomware o violazioni di dati su larga scala. Utilizzano tecniche di memory forensics e network packet analysis per isolare l’intrusione, comprendere i vettori di attacco e tracciare l’attività post-intrusione. L’FBI collabora strettamente con CERT (Computer Emergency Response Teams) per coordinare la risposta.
Takedown di Infrastrutture Malevole
L’FBI lavora a livello globale con Interpol e altri partner per effettuare il takedown di infrastrutture criminali utilizzate per attacchi informatici, come i botnet. Un esempio è stato lo smantellamento di botnet Emotet e TrickBot, che servivano come piattaforme di lancio per ransomware. L’FBI impiega tecniche di sinkholing per sequestrare i domini di comando e controllo (C2) e deviare il traffico malevolo verso server controllati dalle forze dell’ordine, neutralizzando le operazioni di attacco.
Attacchi Ransomware e Tracciamento delle Criptovalute
Nel settore sanitario, i ransomware come Ryuk e Conti rappresentano una minaccia significativa. L’FBI impiega tecniche di blockchain forensics per tracciare i pagamenti in criptovaluta utilizzati dai cybercriminali. Utilizzando strumenti come Chainalysis o Elliptic, l’FBI può monitorare il flusso di fondi su blockchain pubbliche, identificare i wallet e le transazioni sospette, e collegarli ai gruppi di minaccia. Inoltre, l’FBI sconsiglia fortemente il pagamento dei riscatti, cercando invece di decifrare il ransomware con l’uso di chiavi di decrittazione ottenute da precedenti indagini o collaborazioni.
Zero Trust e Segmentation
L’FBI raccomanda approcci di Zero Trust Architecture (ZTA) per rafforzare la postura difensiva contro attacchi laterali. Questo include l’implementazione di micro-segmentazione delle reti critiche, in particolare negli ambienti ospedalieri, per limitare il movimento laterale degli attaccanti. L’uso di Network Access Control (NAC), autenticazione forte (MFA) e segmentazione VLAN sono indicati come misure essenziali per proteggere le risorse critiche da potenziali compromissioni.
Condivisione di informazioni e threat intelligence avanzata
L’FBI ha implementato una serie di canali di condivisione rapida delle informazioni, come l’Information Sharing and Analysis Centers (ISAC), che permettono alle aziende del settore sanitario e altri settori critici di ricevere avvisi in tempo reale su nuove vulnerabilità, IOC e attacchi emergenti. Le segnalazioni includono anche Tactics, Techniques, and Procedures (TTP) adottate dagli attori di minaccia, il che permette di attuare misure difensive proattive basate sul modello di kill chain di MITRE ATT&CK.
Collaborazioni internazionali e law enforcement operativo
Nel contesto internazionale, l’FBI partecipa a operazioni joint task force con altre agenzie di sicurezza e intelligence, come Europol, per tracciare e arrestare cybercriminali dietro gli attacchi a catena di fornitura (supply chain attacks) o campagne di spionaggio informatico sponsorizzate da stati-nazione. Il focus è sull’individuazione e il contrasto a gruppi come APT29 (Cozy Bear) e APT28 (Fancy Bear), coinvolti in campagne avanzate di spear phishing e watering hole attacks.
Ricerca e sviluppo di strumenti difensivi avanzati
L’FBI collabora con il National Institute of Standards and Technology (NIST) per lo sviluppo di strumenti avanzati di AI/ML applicati alla sicurezza informatica. L’introduzione di behavioral analytics per il rilevamento delle anomalie permette di identificare modelli di comportamento malevoli prima che si trasformino in attacchi. Inoltre, sono in corso studi sull’uso di quantum cryptography per contrastare futuri scenari di attacchi crittografici avanzati.
Training e Cyber Hygiene
L’FBI fornisce supporto continuo a organizzazioni critiche, come ospedali, attraverso training avanzati su cyber hygiene e vulnerability management. Questi includono la conduzione di simulazioni di attacchi con red team/blue team e la creazione di playbook di risposta agli incidenti personalizzati, basati su framework come il NIST Cybersecurity Framework (CSF) e ISO/IEC 27001.
Questi approcci sono progettati per proteggere in modo proattivo le infrastrutture critiche e migliorare la capacità di difesa collettiva contro le minacce informatiche, riducendo il rischio e migliorando la resilienza operativa nel tempo.
| We want you in the room, too |
| Register now → |
John Riggi ha un’esperienza di oltre 30 anni presso l’FBI, dove ha ricoperto ruoli di leadership in operazioni di cyber-intelligence e sicurezza nazionale, combattendo crimini informatici e minacce terroristiche. Durante la sua carriera all’interno dell’FBI, ha acquisito una vasta esperienza nel contrasto agli attacchi informatici di alto profilo, come quelli sponsorizzati da stati-nazione e da gruppi criminali specializzati in ransomware, malware avanzato e spionaggio informatico.
Esperienza condivisa di John Riggi:
Protezione delle infrastrutture ospedaliere: Riggi porta con sé un background profondo nella protezione delle infrastrutture critiche. Durante la sua esperienza all’FBI, ha lavorato con infrastrutture critiche come energia, finanza e sanità, acquisendo una conoscenza dettagliata delle vulnerabilità che i cybercriminali sfruttano per attaccare queste organizzazioni.
Ransomware nel settore sanitario: Riggi sottolinea che gli ospedali sono obiettivi prioritari per i cybercriminali a causa dell’importanza delle operazioni quotidiane legate alla vita umana. Un attacco ransomware può paralizzare i sistemi IT, impedire l’accesso alle cartelle cliniche elettroniche e ritardare le cure ai pazienti. Durante il suo lavoro con l’AHA, Riggi ha condiviso strategie di mitigazione per ridurre il rischio di tali attacchi e migliorare la resilienza operativa delle strutture sanitarie.
Preparazione e risposta agli incidenti: Riggi aiuta gli ospedali a creare piani di risposta agli incidenti informatici su misura. Questi piani includono simulazioni di attacchi, protocolli di risposta rapida e comunicazioni con le autorità federali. La sua esperienza nell’FBI nell’analisi di minacce e nella risposta operativa gli consente di supportare le organizzazioni nel reagire efficacemente a una crisi informatica.
Collaborazione con le forze dell’ordine: Una parte fondamentale del suo lavoro consiste nell’incoraggiare gli ospedali a collaborare strettamente con le forze dell’ordine, specialmente con l’FBI, in caso di attacchi informatici. Riggi ha spiegato che una risposta tempestiva e la condivisione di informazioni con l’FBI possono accelerare il processo di identificazione degli autori degli attacchi e minimizzare i danni.
Consapevolezza del rischio e mitigazione: Riggi insegna agli ospedali come rafforzare la sicurezza informatica attraverso cyber hygiene e consapevolezza del rischio a tutti i livelli dell’organizzazione. Questo include misure come il miglioramento delle pratiche di autenticazione, l’uso di backup sicuri e la segmentazione della rete per evitare che un’intrusione comprometta l’intero sistema.
Formazione continua: John Riggi si dedica a promuovere la formazione continua per i dirigenti ospedalieri e il personale sanitario in materia di cybersecurity. Organizza regolarmente sessioni di sensibilizzazione sulle minacce emergenti e sulle migliori pratiche per proteggere le informazioni sensibili dei pazienti e la continuità delle operazioni ospedaliere.
La sua esperienza, unica nel combinare la prospettiva delle forze dell’ordine con la sicurezza informatica nel settore sanitario, lo rende una figura chiave nella lotta contro le minacce informatiche agli ospedali e alle reti sanitarie