Con l’acronimo di tattiche, tecniche e procedure (dall’inglese: Tactics, Techniques and Procedures, abbreviato in TTPs) si identifica generalmente un particolare approccio di analisi sul funzionamento di una minaccia APT (Advanced Persistent Threat), utile in molti casi anche per profilare un threat actor, cioè il cosiddetto “attore della minaccia”.
In particolare, la parte di analisi delle “tattiche” di una APT serve a delineare il modo in cui un avversario sceglie di effettuare il suo attacco dall’inizio alla fine. L’approccio tecnologico per ottenere risultati intermedi durante la campagna è descritto dalle “tecniche” che l’attaccante usa. Infine, l’approccio organizzativo dell’attacco è definito dalle “procedure” utilizzate dall’attore della minaccia.
In poche parole, questo nuovo paradigma della Cyber Security Incident Response consente di:
- conoscere le tattiche di un avversario in modo da prevedere i prossimi attacchi e individuarli fin dalle prime fasi;
- comprendere le tecniche utilizzate durante la campagna di attacco in modo da identificare eventuali punti indifesi nel perimetro virtuale dell’organizzazione e implementare le necessarie contromisure in anticipo;
- analizzare le procedure utilizzate dai criminal hacker per essere in grado di capire cosa sta cercando l’avversario all’interno dell’infrastruttura aziendale.
Indice degli argomenti
Sicurezza informatica come leva strategica di innovazione e crescita
Negli ultimi anni è stata rilevata un’evoluzione delle minacce alla cyber security, e dei relativi impatti, non solo dal punto di vista quantitativo, ma anche e soprattutto da quello qualitativo, evidenziando un trend di crescita degli attacchi, della loro gravità e dei danni.
Inoltre, i dati statistici hanno dimostrano che nessuna organizzazione è stata esente da questo tipo di rischio: in alcuni casi si potrebbero ipotizzare attacchi potenzialmente sistemici, i cui effetti hanno spesso portato al blocco delle attività, con conseguente interruzione dell’erogazione dei servizi o della produzione di beni.
Man mano che le organizzazioni si muovono verso una maggiore digitalizzazione dei processi e dei dati, vitali allo svolgimento delle loro attività, sono obbligate ad adottare soluzioni di difesa sempre più articolate.
Molte di queste entità utilizzano dispositivi connessi alle Rete (IoT – Internet of Things e IIoT – Industrial Internet of Things) per rendere più precisi e veloci i processi di automazione. Questa maggiore connettività rende le strutture maggiormente vulnerabili agli attacchi, poiché aumenta notevolmente il numero di endpoint connessi ad Internet che devono essere protetti.
Inoltre, le informazioni gestite possono essere molto importanti, basti pensare ai brevetti o ai documenti classificati, e, di conseguenza, rappresentare il principale obiettivo di un attaccante. Infine, per coloro che raccolgono e utilizzano dati estremamente sensibili, le misure di sicurezza rivestono un ruolo particolarmente importante per il mantenimento della fiducia degli stakeholders e la compliance con le normative vigenti.
Per questi motivi, la sicurezza informatica non è più solo uno strumento di protezione, ma rappresenta una leva strategica di innovazione e di crescita. A tal fine le organizzazioni stanno intensificando i propri investimenti in tema di cyber security. Alcune di queste stanno impiegando sempre più risorse verso tecnologie innovative quali il machine learning, l’artificial intelligence e l’orchestration.
Tuttavia, sorge spontaneo chiedersi per quali finalità vengono sfruttate queste tecnologie all’avanguardia. Servono semplicemente a rafforzare i metodi tradizionali di cyber security, per renderli più veloci ed efficienti, oppure vengono utilizzate per implementarne di nuovi?
L’approccio di Incident Response alla cyber security
Gli approcci tradizionali alla cyber security si basano sulla segnalazione di una violazione a seguito del compimento di un evento avverso, la cosiddetta “risposta agli incidenti”. Ciò significa che dopo aver scoperto un cyber security incident, indipendentemente dal modo in cui si stato attuato, si condividono le informazioni ottenute dall’analisi forense dell’evento, comprese le informazioni di base note come Indicatore di Compromissione (IoC), gli indirizzi IP, i nomi a dominio o gli hash dei malware, all’interno della comunità della sicurezza informatica. Per cui, questi IoCs sono ampiamente utilizzati per contrastare gli attacchi futuri.
La scelta di questo modello evidenzia due problemi:
- in primis, qualcuno deve essere la prima vittima di una nuova tipologia di compromissione, in modo tale che si possano ricavare gli IoCs correlati e questi siano condivisi con gli altri appartenenti alla community;
- inoltre, i files degli IoCs hanno una validità molto breve. Infatti, la maggior parte degli avversari si abbona agli stessi “feed” a cui si iscrivono le aziende per scoprire velocemente se sono vulnerabili.
Per cui, tutto ciò che deve compiere un avversario che vuole bypassare le difese basate sugli IoCs è procurarsi un nuovo indirizzo IP da cui eseguire altri attacchi oppure ricompilare il codice malware in modo che quest’ultimo ottenga un nuovo valore di hash. Di fatto, questa metodologia “after-the-fact” consuma molte risorse e genera molte metriche apparentemente utili, ma è sostanzialmente debole.
I cyber security team e gli avversari si ritrovano entrambi in un loop infinito in cui l’avversario ha sempre la meglio. Per cui, ad esempio, gli hacker ottengono ripetutamente l’accesso ai dati e ai sistemi utilizzando gli stessi metodi, mentre i team di sicurezza continuano ad inseguirli per proteggere i sistemi compromessi.
La sintesi di questo schema è l’esecuzione di un grande sforzo per comprendere il più possibile l’avversario ed i suoi metodi, mentre solo una piccola parte di tale conoscenza è utilizzata per eseguire le azioni basilari sopra descritte.
Questo approccio ha compiuto pochissimi passi in avanti per affrontare i metodi utilizzati dagli avversari; mentre i team di sicurezza rimangono in attesa che si verifichino gli attacchi inevitabili, cercano di ridurre al minimo il danno che questi causano, garantiscono che la riparazione avvenga il più rapidamente possibile e tentano di bloccare solo gli attacchi esattamente identici.
Tattiche, tecniche e procedure: la cyber prevenzione
Com’è evidente, i metodi di sicurezza descritti sono fondamentalmente inefficaci. La risposta agli incidenti aiuta a prevenire solamente gli attacchi che replicano esattamente quelli passati. Per arginare il flusso dei nuovi attacchi informatici e per proteggere realmente le organizzazioni, l’industria della sicurezza informatica deve realizzare un cambiamento di paradigma.
Anziché basarsi esclusivamente sulla risposta agli incidenti e sui metodi di recupero, utilizzati da molti anni, è necessario un approccio più proattivo e sofisticato. I sistemi di protezione devono essere progettati per riconoscere con successo la metodologia avversaria (e tutti i modi con cui un avversario tenta di offuscare la propria metodologia) prima che si verifichino gli attacchi su una scala significativa.
Questo tipo di approccio, se associato a strategie di risposta agli incidenti, potrebbe fornire una difesa effettiva alle vulnerabilità e criticità delle reti.
Se il mondo della sicurezza informatica vuole fermare gli attacchi pericolosi e onerosi, deve necessariamente spostare l’attenzione sulla prevenzione.
Invece di cercare IoCs statici e discreti, basati esclusivamente su ciò che è già accaduto, gli analisti proattivi della cyber security possono utilizzare la conoscenza che hanno ricavato dalle metodologie degli avversari, comunemente racchiuse, come abbiamo visto all’inizio, nell’acronimo tattiche, tecniche e trocedure (TTP).
Da questi TTPs gli analisti sono in grado di identificare le caratteristiche generali e le principali componenti di una campagna malevola. Inoltre, possono determinare gli indicatori astratti quale, ad esempio, il modo con cui l’avversario sta tentando di nascondere le sue azioni.
Uno strumento proattivo di sicurezza informatica deve essere in grado di riconoscere gli eventuali TTPs avversi e gli indicatori che descrivono una minaccia (o un comportamento ostile).
Il sistema deve agire, quindi, su qualsiasi vettore che incontra questo schema prima che sia raggiunto il target, oppure quando si verifica l’attacco, e deve farlo in maniera trasparente per l’attaccante.
Se si adotta questo modello di riferimento, gli strumenti di difesa potrebbe realmente prevenire gli exploit comuni, prima che vengano eseguiti, e potrebbe, persino, prevedere e proteggere dagli exploit futuri, non ancora rilevati.
Inoltre, questo modello di prevenzione, associato al modello di risposta agli incidenti, consentirebbe ai team di sfruttare appieno le nuove tecnologie per modificare l’approccio alla risoluzione del problema, invece di aggiungere semplicemente velocità (e costi) al modello tradizionale.
Un framework di cyber security basato sui TTPs funzionerebbe di concerto con l’Incident Response esistente, già perfettamente funzionante, e aggiungerebbe un livello di prevenzione al di sopra di questo fondamentale processo.
I team di cyber security che riusciranno ad implementare una simbiosi tra i due metodi descritti, conseguiranno una strategia di difesa in grado di ridurre il numero di attacchi e potranno rispondere più rapidamente e in maniera efficiente agli attacchi che si dimostrano efficaci.
Tattiche, tecniche e procedure: come funziona la metodologia d’analisi
La metodologia d’analisi basata su tattiche, tecniche e procedure agevola le operazioni di prevenzione e di difesa rispondendo al modo in cui gli agenti malevoli eseguono gli attacchi.
Le azioni correlate allo sviluppo dei TTPs (Tattiche, Tecniche e Procedure) includono, ma non sono limitate solo a questo, quanto segue:
- un rapido triage e la contestualizzazione di un evento o di un incidente per correlarlo ai TTPs di attori o gruppi noti, potenzialmente connessi a un attacco;
- supportano il processo investigativo per fornire probabili ipotesi per la ricerca e la soluzione, sulla base degli ex TTPs utilizzati in una campagna o in un attacco;
- facilitano l’identificazione di possibili fonti o vettori di attacco;
- semplificano la risposta agli incidenti e i processi di rilevazione e mitigazione delle minacce aiutando a identificare quali sistemi potrebbero essere stati compromessi;
- sostengono gli esempi di modellazione delle minacce, assistendo l’analisi dei controlli e l’integrazione, per difendersi dai TTPs agents delle minacce note.
Alla luce di ciò, si illustra un esempio per spiegare il modo attraverso il quale l’analisi basato su tattiche, tecniche e procedure può aiutare nella gestione dei rischi e nella risposta agli incidenti:
- Il target di un tentativo di attacco riceve una e-mail contenente un allegato con uno zero-day exploit e un payload per l’installazione di un nuovo malware sconosciuto. Questo attacco è stato eseguito da un gruppo criminale utilizzando TTPs similari.
- I TTPs aiutano ad attribuire la natura dell’avversario e a comprenderne il motivo dell’attacco.
- Tecnicamente, i TTPs aiutano anche a identificare un vettore comune di attacco: l’e-mail con l’exploit zero-day e il payload. Ciò induce a predisporsi in modo proattivo agli attacchi di questa campagna, come la revisione e la modifica dei criteri relativi al Windows Data Execution Prevention (DEP), all’uso di Sandboxie come livello di applicazione virtualizzato per l’apertura di file sospetti, alla possibile revisione della protezione dell’endpoint e così via. Questa iper-attenzione agli obiettivi noti e potenziali aiuta il personale IT a reagire in modo proattivo contro gli attacchi e a ridurre al minimo i danni, nel caso in cui l’incidente dovesse aver luogo, attraverso l’esercizio di ricerca di minacce e l’esecuzione di ulteriori indagini.
- Quando si verifica un incidente, i TTPs relativi a quell’incidente aiutano a stabilire la potenziale attribuzione e il suo quadro di attacco. Ciò, a volte, può aiutare il team a identificare i probabili vettori, i payload e le altre importanti informazioni.
L’esempio dimostra come l’analisi basata su tattiche, tecniche e procedure può agevolare, in modo significativo, la contestualizzazione delle minacce e la rapidità di risposta. I TTPs post-incidente continuano ad essere un elemento essenziale del processo di Threat Intelligence, poiché favoriscono la ricerca e la risposta in maniera strategica.
Le lezioni apprese, le ulteriori ricerche sulla campagna e i dati relativi all’attacco aiutano a maturare la comprensione dei TTPs e consentono di attuare le misure e i controlli proattivi per gli attacchi futuri che sfruttano tali TTPs.
I TTPs vanno al di là di ciò che viene visto forensically in un incidente. Ovvero, prima che un evento sia rilevato da parte degli agenti, una fase spesso non segnalata a causa della mancanza di visibilità o di capacità di rilevazione e segnalazione.
Per confrontare i TTPs e sfruttarli nel processo di Cyber Threat Intelligence, è necessario archiviarli in modo efficiente. Ciò prevede l’uso di un set di dati inter-relazionale correlato in modo incrociato all’interno di una piattaforma di Threat Intelligence, che facilita l’Orchestration della ricerca e della risposta all’interno di un’organizzazione.