Il recente avviso “Lessons Learned from an Incident Response Engagement”, pubblicato dalla CISA il 23 settembre 2025, descrive un caso reale di compromissione che ha coinvolto un’agenzia federale statunitense appartenente al ramo esecutivo civile (FCEB). L’analisi mette in evidenza come anche organizzazioni strutturate possano fallire nel rilevamento e nella gestione di un incidente se le procedure non vengono testate periodicamente e se la risposta non è coordinata in modo efficace.
CISA Lessons Learned: vulnerabilità, errori e mancanze operative
L’attacco ha avuto origine dallo sfruttamento della vulnerabilità CVE-2024-36401 su istanze
GeoServer esposte. Dopo l’accesso iniziale, gli attori malevoli hanno ottenuto persistenza e si
sono mossi lateralmente per un periodo di circa tre settimane prima di essere individuati. Solo
in seguito l’intrusione è stata scoperta, ma nel frattempo i danni avevano già compromesso
diversi sistemi interni.
Dall’indagine sono emerse tre lezioni principali. In primo luogo, l’agenzia non aveva corretto
tempestivamente le vulnerabilità note, sebbene fossero pubblicamente segnalate e già dotate
di patch. In secondo luogo, il piano di risposta agli incidenti (IRP) non era stato esercitato da
tempo né aggiornato per gestire scenari reali, e non prevedeva procedure per concedere
accesso immediato a terze parti specializzate. Infine, il monitoraggio degli alert non era
continuo e alcuni sistemi pubblici non disponevano di protezione sugli endpoint, consentendo
agli attaccanti di operare inosservati.
Da questo episodio emergono alcune indicazioni fondamentali: la necessità di correggere
immediatamente le vulnerabilità note, mantenere aggiornato e collaudato il piano di risposta e
garantire un monitoraggio costante. La CISA sottolinea anche l’importanza di centralizzare i
log in un ambiente out-of-band e sicuro, per consentire la ricostruzione degli eventi in caso di
compromissione dell’infrastruttura.
CISA Lessons Learned: l’importanza di esercitazioni e simulazioni
Uno degli aspetti più significativi dell’avviso riguarda la mancanza di esercitazioni pratiche.
Senza simulazioni, i piani di risposta restano sulla carta, e i ruoli, le responsabilità e le
decisioni operative non vengono realmente messi alla prova. In questo caso, i ritardi
burocratici e l’assenza di un coordinamento strutturato hanno rallentato il contenimento
dell’attacco. È un rischio comune: senza prove regolari, le organizzazioni scoprono le proprie
vulnerabilità organizzative solo quando la crisi è già in corso.
CISA invita quindi le organizzazioni a integrare le esercitazioni (tabletop, war game o
simulazioni complete) come parte del ciclo di miglioramento continuo. Ogni simulazione
consente di produrre un’analisi post-evento — le cosiddette “lessons learned” — da cui
derivano aggiornamenti al piano di risposta e miglioramenti nei flussi decisionali. Lo stesso
approccio è previsto anche nel Federal Government Cybersecurity Incident and Vulnerability
Response Playbook, che impone la conduzione di revisioni strutturate dopo ogni evento di
sicurezza.
La capacità di reagire rapidamente e in modo coordinato dipende quindi non solo dalle
tecnologie, ma anche dalla prontezza del personale e dalla chiarezza dei ruoli. È essenziale
che la direzione aziendale consideri queste attività parte integrante della governance della
sicurezza, investendo tempo e risorse nella loro realizzazione.
CISA Lessons Learned: come migliorare la resilienza organizzativa
In tale contesto, l’impiego di piattaforme digitali dedicate alla gestione della crisi consente di
testare e affinare le procedure in modo strutturato. Artemide – Crisis Lab, sviluppata da
Hermes Bay, consente di simulare scenari complessi, condurre esercitazioni tabletop in
presenza o da remoto e documentare tutte le azioni eseguite durante la gestione di un evento.
Questo approccio permette di valutare in modo oggettivo la preparazione di un’organizzazione
e di migliorare progressivamente la propria resilienza operativa.
Qui tutte le info su Artemide
Autori:
Luisa Franchina, Presidente AIIC
Tommaso Diddi, analista Hermes Bay
