Non tutti i team di cyber security sanno quanto sia importate comprendere davvero quali sono gli avversari che hanno maggiori probabilità di colpire la propria azienda
I team di sicurezza si trovano a far fronte, in tutti i settori, a carenze di competenze e di personale, alla mancanza di automazione necessaria a collegare un complesso mix di dati e strumenti, alla carenza di visibilità sulle minacce attuali e alla prevalenza di una "mentalità basata su silos" all'interno delle organizzazioni di sicurezza. Di conseguenza, i team di sicurezza sono alla ricerca di nuovi metodi, al di fuori degli strumenti tradizionali, per combattere più efficacemente la criminalità informatica. Il principale è comprendere quali sono gli avversari che possono prendere di mira il proprio settore o una determinata area geografica.
L'attribuzione degli attacchi a degli avversari consente ai professionisti della sicurezza di capire "chi, come e perché" si cela dietro i cyber attacchi potenzialmente mirati alla propria attività. Ci sono cinque casi d'uso chiave in cui un approccio incentrato sugli avversari fornisce valore.
Quando viene rilevato un attacco o un evento critico, gli analisti del centro operativo di sicurezza (SOC) eseguono le analisi forensi, raccogliendo tutti i reperti (cioè il traffico di rete, le fonti, le risorse, i file acceduti, i comandi eseguiti e così via) durante l’attacco, in modo che i team di risposta agli incidenti (IR) possano eliminare qualunque attività di minaccia. Le probabilità che le prove forensi siano complete sono basse, perché la quantità di dati – e la volatilità al loro interno – può essere troppo elevata per essere analizzata.
Se gli indicatori di compromissione (IoC) puntano ad un attore (o a più attori), gli analisti SOC e i team IR possono utilizzare i comportamenti noti del tale attore come guida per sradicare le attività di minaccia correlate. Uno dei migliori esempi consiste negli attacchi più complessi e mirati.
Se, ad esempio, la compromissione di un asset a bassa priorità fa pensare a un attore esterno appoggiato da uno Stato che sfrutta un attacco alla supply chain, gli analisti SOC e i team IR sanno dove cercare e possono ampliare i loro sforzi di mitigazione dell’attacco. Conoscere tutte le tattiche degli attori aiuterà a chiudere l'incidente e a sradicare tutte le attività correlate all'interno di un'infrastruttura IT, comprese le risorse o gli strumenti provenienti da parti fidate.
La detection dell’attacco è un'arte e coinvolge molti elementi dinamici. Mentre gli strumenti analitici di sicurezza standard come i SIEM sono in grado di eseguire semplici regole "IF - THEN" (ad esempio, se il traffico proviene dalla posizione X, creare un allarme) e persino di eseguire analisi di creazione di baseline o trend, gli autori delle minacce hanno imparato ad aggirare queste regole di rilevamento standard attraverso tecniche di “living off the land” nascondendosi dietro attività legittime.
Conoscendo i comportamenti dei singoli attori e le tecniche di attacco, i team di security engineering possono impostare un rilevamento più mirato o eseguire meglio le pratiche di caccia alle minacce.
Gli elenchi delle vulnerabilità sono sempre troppo lunghi e il punteggio di rischio standard, come il Common Vulnerability Scoring System (CVSS), è solitamente troppo statico. Selezionando gli attori che fanno riferimento al proprio ambiente e comprendendo quali vulnerabilità vengono sfruttate, i team di gestione del rischio possono stabilire meglio le priorità su cui concentrare gli sforzi.
Disporre di informazioni aggiornate su quali attori utilizzano quali exploit può far risparmiare molto tempo ai team di neutralizzazione delle vulnerabilità e ridurre preventivamente i rischi di minaccia.
L'attribuzione consente ai team di sicurezza di comprendere la loro reale esposizione al rischio, definendo chi potrebbe attaccarli e come, e di adattare quindi preventivamente la propria strategia di sicurezza. Ad esempio, gli attacchi mirati possono essere guidati dallo spionaggio informatico, il che indica che la minaccia sarà molto probabilmente persistente e comprenderà più attacchi sofisticati, presumibilmente mirati ad ottenere l'accesso ai dati sensibili dell'azienda.
Essere a conoscenza dell’esistenza di questo tipo di avversari “espionage-motivated” (o “mossi da scopi di spionaggio”) fornisce indicazioni su dove posizionare le misure difensive "shields-up" e su come prepararsi al meglio. Ciò potrebbe includere decisioni su dove implementare nuovi controlli, su nuove esigenze di formazione o su come prepararsi con esercitazioni dei team rosso e blu più mirate.
Le organizzazioni di sicurezza sono spesso divise in silos operativi, ognuno dei quali si concentra su strumenti di rilevamento o di protezione specifici. Questa struttura, con attenzione agli "strumenti in uso" e agli "obiettivi dei piccoli team", non è sempre vantaggiosa. Concentrarsi invece su un livello più alto, conoscendo gli avversari che stanno cercando di violare le difese, cambia la dinamica, a vantaggio del singolo professionista della sicurezza e dell'intera organizzazione di sicurezza.
Una volta individuato un avversario noto e sofisticato all'interno dell'infrastruttura dell'organizzazione, è possibile innalzare i livelli di allerta, dichiarare l'innalzamento delle difese e le informazioni disponibili sull'avversario possono guidare il processo di threat hunting per individuarlo ed eliminarlo. Senza queste conoscenze, gli analisti SOC sprecano tempo e risorse, procedendo a tentativi per inseguire ogni attacco di base o tralasciando attività avversarie che possono essere considerate normali attività senza il contesto fornito da threat intelligence.
Se da un lato l'attribuzione fornisce le informazioni che aiutano i team di sicurezza a prepararsi, dall'altro c'è un ulteriore valore intrinseco nell'adottare un approccio alla sicurezza incentrato sugli avversari. L'attribuzione consente all'intera organizzazione della sicurezza, sia ai difensori proattivi che a quelli reattivi, di orientare le proprie azioni verso attori specifici che prendono di mira la propria attività e di iniziare a comunicare tra tutti i team con un linguaggio comune, che comprende il nome dell'avversario, le fasi dell'attacco e il punto di vista. Questo approccio aiuta i team di sicurezza ad allontanarsi da tattiche pesanti dal punto di vista degli strumenti o dei processi, e a costruire strategie per aumentare l'efficacia delle loro attività di sicurezza.
Luca Nilo Livrieri è Senior Manager, Sales Engineering for Southern Europe, CrowdStrike