Per tutti i dispositivi connessi alla Rete di Ateneo, sia attraverso rete fissa che WiFi, nel rispetto delle misure di sicurezza previste dalla normativa, viene effettuato un monitoraggio continuo automatico del traffico in uscita verso la Rete Internet.
Tale monitoraggio è necessario per individuare eventuali indicatori di compromissione (in gergo tecnico, “IoC“) e permetterci sia di attuare le necessarie azioni di mitigazione (ad esempio, bloccando il traffico malevolo o inibendo la navigazione al dispositivo infetto), nell’ottica di tutelare la sicurezza e la continuità del servizio di Rete istituzionale.
Gli indicatori di compromissione che vengono generalmente rilevati sono:
- traffico verso siti web che diffondono malware o C&C di botnet note;
- transito di malware (es. un dropper che tenta di scaricare il payload malevolo da un sito web remoto);
Alcune volte l’utente non ha la percezione della connessione verso siti malevoli, magari attivata da finestre pop-up o iframe contenute in alcuni siti web con il preciso obiettivo di compromettere il sistema vittima all’insaputa del proprietario.
In alcune circostanze viene inviato, all’assegnatario dell’IP che ha generato traffico “sospetto”, una mail di notifica come segue:
Gentile [COGNOME NOME],
abbiamo rilevato traffico di rete anomalo proveniente da un dispositivo connesso a rete DSU a Lei assegnato, riconducibile alla presenza, su tale dipositivo, di malware (virus, trojan, spyware) che ne sta compromettendo la stabilità e la sicurezza.
La invitiamo, nel più breve tempo possibile, ad effettuare una verifica del sistema utilizzando uno strumento antivirus/anti-malware aggiornato, per rimuovere le eventuali minacce presenti.
Potrà trovare maggiori informazioni in merito, oltre a qualche consiglio utile per difendersi, a questa pagina web: UniSIcuri in Rete “ Lavorare e studiare (anche smart) in sicurezza.
Se desidera ulteriori chiarimenti oppure ha bisogno di assistenza, può rivolgersi al personale tecnico del Suo Presidio di riferimento o contattare l'Helpdesk informatico inviando una mail a helpdesk@unisi.it, indicando questo indirizzo IP: [INDIRIZZO IP].
Cordiali saluti.Sarà pertanto sufficiente seguire le istruzioni indicate nella mail, procedendo con una verifica del sistema usando una soluzione antimalware/antivirus aggiornata e funzionante, rimuovendo eventuali minacce individuate.
Per i dispositivi istituzionali è bene contattare i tecnici del proprio Presidio di riferimento, sia per avere supporto che per notificare l’incidente.
Se la potenziale compromissione riguarda i dispositivi personali dell’utente, sarà cura dell’utente stesso procedere alle operazioni di bonifica.