Gli esperti che operano nel campo della cyber security sono a conoscenza della minaccia rappresentata da avversari noti, come Cozy Bear e Fancy Bear; tuttavia, molti non si sono ancora resi conto dell’importanza di identificare anticipatamente gli avversari che hanno maggiore probabilità di attaccare la propria azienda.
Al tempo stesso, gli esperti in sicurezza informatica sono alle prese con un settore caratterizzato dalla mancanza di competenze adeguate e di personale qualificato, nonché di lacune in materia di processi automatizzati che colleghino dati e strumenti, da una scarsa visibilità delle minacce e dalla prevalenza – all’interno delle organizzazioni di cyber security – di un approccio che opera in silos.
Ecco, dunque, che i team di sicurezza sono alla ricerca di nuovi metodi, oltre a quelli tradizionalmente utilizzati, per difendersi più efficacemente dai criminali informatici, che consentano loro di identificare quali tipologie di avversari hanno maggiori probabilità di prendere di mira un certo settore o una determinata area geografica.
L’attribuzione degli avversari consente ai professionisti della sicurezza di capire “chi, come e perché” si cela dietro agli attacchi informatici che, potenzialmente, potrebbero prendere di mira l’azienda.
Analizziamo cinque casi d’uso basati su un approccio incentrato sugli avversari fornendo alcune best practice per l’implementazione di una strategia di difesa informatica più efficiente e senza compromessi.
Indice degli argomenti
Colmare le lacune “forensi” per migliorare la remediation
Nel momento in cui viene rilevato un attacco o un evento critico, gli analisti del centro operativo di sicurezza (SOC) eseguono le analisi forensi, raccogliendo tutti gli artefatti durante tale attacco (i.e. il traffico di rete, le fonti, le risorse, i file toccati, i comandi eseguiti e così via) affinchè i team di risposta agli incidenti (IR) possano individuare e mitigare tutte le attività delle minacce.
È improbabile che le prove forensi siano esaustive, in quanto la quantità di dati – e la volatilità al loro interno – può essere troppo elevata per poter essere analizzata.
Se gli indicatori di compromissione (IoC) puntano ad un attore (o a più attori), gli analisti SOC e i team IR possono utilizzare i suoi comportamenti noti come guida per mitigare gli effetti delle attività di minaccia correlate.
Ciò può essere applicato agli attacchi più complessi e mirati: ne è un esempio la compromissione di una risorsa a bassa priorità che indica un attore sponsorizzato dagli Stati-Nazione che sfrutta un attacco alla supply chain del software, gli analisti SOC e i team IR sapranno dove intervenire e potranno ampliare i loro tentativi di mitigazione.
Conoscere tutte le tattiche degli autori delle minacce aiuterà a risolvere l’incidente e a neutralizzare tutte le attività ad esso correlate all’interno di un’infrastruttura IT, anche le risorse o gli strumenti provenienti da parti fidate.
Migliorare la detection e la caccia alle minacce informatiche
La detection delle minacce è un’arte complessa e coinvolge molte parti.
Mentre gli strumenti analitici di sicurezza standard, come i SIEM, sono in grado di eseguire semplici regole “IF – THEN” (ad esempio, se il traffico proviene dalla posizione X crea un avviso) e persino analisi di baselining o di trend, gli avversari informatici hanno imparato ad aggirare queste regole di rilevamento standard infiltrandosi nel territorio e nascondendosi sotto attività legittime.
Conoscendo i comportamenti dei singoli attori e le nuove tecniche di attacco, gli ingegneri di sicurezza possono predisporre delle soluzioni di rilevamento più mirate o eseguire pratiche di threat hunting più efficaci.
Dare priorità alla remediation delle vulnerabilità
L’elenco delle vulnerabilità è sempre molto ampio e i punteggi di rischio standard, come il Common Vulnerability Scoring System (CVSS), sono solitamente troppo statici.
Se vengono individuati gli attori predominanti nel proprio ambiente e si comprende quali vulnerabilità vengono maggiormente sfruttate, i risk team possono stabilire meglio l’ordine di priorità su cui incentrare i propri sforzi.
Disporre di informazioni aggiornate sugli avversari e sugli exploit da essi utilizzati può far risparmiare molto tempo agli esperti nella remediation delle vulnerabilità e a ridurre preventivamente i rischi di ulteriori minacce.
Pianificare la propria strategia di sicurezza
L’attribuzione consente ai professionisti di sicurezza informatica di comprendere la loro reale posizione di rischio, definendo chi potrebbe attaccarli e come, e di adattare preventivamente la loro strategia di sicurezza.
Ad esempio, alcuni attacchi sono possibili grazie allo spionaggio informatico, il che è indice di una minaccia persistente, basata su diversi attacchi sofisticati che potrebbero consentire agli autori delle minacce di accedere ai dati sensibili dell’azienda.
Essere a conoscenza di avversari che sfruttano la tecnica dello spionaggio informatico fornisce maggiori indicazioni su dove posizionare le misure difensive cosiddette “a scudo” e su come prepararsi al meglio.
Ciò potrebbe includere decisioni su dove implementare nuovi controlli, nuove esigenze di formazione o prepararsi con esercitazioni più mirate di red e blue team.
Abbattere i silos
Le organizzazioni di cyber security sono spesso suddivise in silos operativi, ognuno dei quali si concentra su specifici strumenti di detection o protezione.
Tuttavia, questa struttura, che pone attenzione agli “strumenti in uso” e agli “obiettivi dei piccoli sottogruppi”, non è sempre vantaggiosa.
Al contrario, concentrarsi su un livello più alto – come conoscere gli avversari che stanno cercando di violare le difese – modifica le dinamiche, con vantaggi sia per il singolo professionista della sicurezza che per l’intera azienda.
Una volta individuato un avversario noto e sofisticato all’interno della propria infrastruttura, è possibile alzare i livelli di allerta e di protezione, mentre le informazioni disponibili sull’avversario possono guidare il processo di rilevamento delle sue attività, affinché sia possibile eliminarlo.
Senza queste conoscenze, gli analisti SOC sprecano più tempo e risorse nel tentativo di scovare ogni attacco o ignorando le attività avversarie all’apparenza normali e che, in realtà, nascondono una minaccia. Se, da un lato, l’attribuzione fornisce le informazioni necessarie ai team di sicurezza per adottare le misure adeguate, dall’altro c’è un ulteriore valore intrinseco che riguarda un approccio alla sicurezza incentrato sugli avversari.
Conclusioni
L’attribuzione consente all’intera azienda di sicurezza, sia ai difensori proattivi che a quelli reattivi, di orientare le proprie azioni verso attori specifici che prendono di mira la loro attività e di iniziare a comunicare tra tutti i team con un linguaggio comune, che include il nome dell’avversario, le fasi dell’attacco e il punto di vista.
Questo approccio aiuta i team di sicurezza ad abbandonare quelle tattiche dispendiose, basate su strumenti legacy o processi lunghi, e ad adottare strategie che aumentino l’efficacia e gli effetti delle soluzioni di cyber security.
