“Think like an attacker”, dicono gli esperti. Mettersi nei panni dell’autore di un attacco informatico e analizzarne il comportamento è considerato ancora oggi il modo migliore per individuare le tattiche, le tecniche e le procedure (TTP) messe in atto dai cyber criminali per colpire un’organizzazione. Pensare come un attaccante significa infatti poterne anticipare le strategie. Conoscere le diverse fasi che caratterizzano i più comuni metodi di attacco permette di riconoscere potenziali segnali di compromissione e di individuare i punti in cui il team di sicurezza può prevenire, intercettare o bloccare l’attacco.
Si tratta di seguire la cosiddetta cyber kill chain, teorizzata nel 2011 in ambito militare da Lockheed Martin per identificare e prevenire le intrusioni informatiche. Il modello, che rappresenta un adattamento della kill chain militare, permette di ricostruire la sequenza di azioni compiute dagli attaccanti, adottando un approccio graduale che identifica e blocca le attività del nemico. A ogni fase nella progressione dell’attacco, corrisponde infatti anche un’azione difensiva mirata.
Le 7 fasi che compongono la cyber kill chain
 |
La prima fase è la reconnaissance, o ricognizione. Gli attaccanti cercano di raccogliere tutte le informazioni possibili sull’organizzazione-obiettivo, per individuare eventuali vulnerabilità che possano essere sfruttate. Vanno a caccia di indirizzi e-mail, credenziali, indirizzi IP specifici e di ogni traccia (footprint) lasciata in rete: l’obiettivo è costruire una mappa dell’infrastruttura, per trovare la migliore via d’accesso ai sistemi. |
 |
Una volta effettuata la ricognizione, è tempo di armarsi. Nella fase di weaponization, gli attaccanti scelgono le tecniche più adatte per sfruttare le vulnerabilità che hanno individuato e costruiscono un vettore di attacco, disegnando il malware su misura per il sistema operativo che intendono prendere di mira. |
 |
Questo viene poi diffuso nel sistema della vittima attraverso la fase di delivery, con l’invio di mail o allegati infetti (phishing) o la creazione di siti web malevoli. |
 |
Stabilito un contatto con i sistemi dell’azienda, gli attaccanti cercheranno di infiltrarsi ulteriormente nella rete sfruttando le vulnerabilità della stessa. È la fase di exploitation: i movimenti laterali sono funzionali a estendere il perimetro di attacco e a cercare di passare inosservati ai dispositivi di rilevamento. |
 |
Con l’installation, poi, si procede all’installazione di malware e altri software che rendano la minaccia persistente, garantendo all’attaccante l’accesso costante al sistema. |
 |
La sesta fase è denominata command and control e coincide con il momento in cui l’attaccante prende il controllo del sistema: è in grado di ordinare l’esecuzione di comandi da remoto, anche sfruttando software legittimi, per proseguire l’intrusione. |
 |
Infine, c’è l’ultima fase, actions on objectives: l’attaccante ha raggiunto il suo obiettivo e può esfiltrare i dati dell’organizzazione, modificarli, crittografarli o anche divulgarli all’esterno. |
Capire le metodologie di attacco per difendersi meglio
Per evitare che si arrivi a questo risultato, è utile entrare nella mente dell’attaccante.
Non a caso, gran parte del lavoro degli analisti della sicurezza è dedicato all’identificazione dei responsabili di un attacco informatico. Capire chi si cela dietro alla minaccia aiuta infatti a comprenderne e – se possibile – anticiparne le mosse. Al di là delle rivendicazioni o delle richieste di riscatto, esistono infatti dei tratti comuni nelle metodologie di attacco che permettono di individuarne l’autore.
Puntano soprattutto ad aziende e organizzazioni governative, con finalità di spionaggio o furto di dati, gli attaccanti Nation State. Tra i più pericolosi e distruttivi, sono anche difficili da individuare. Si tratta di gruppi che utilizzano le proprie competenze tecnologiche per facilitare hacking, sabotaggi, disinformazione e altre operazioni per conto di un Paese. Possono far parte di un apparato statale ufficiale o essere ingaggiati dal Governo per una specifica operazione. Di solito hanno accesso a risorse significative e sono in grado di progettare ed eseguire campagne molto sofisticate, ricorrendo ad Advanced Persistent Threat (APT) e attacchi alle infrastrutture nazionali critiche.
Se gli attaccanti Nation State sono allineati allo Stato di cui fanno gli interessi, gli Hacktivist sostengono di agire piuttosto per un ideale. Non si dedicano al cybercrime per trarne un profitto, ma per combattere una battaglia politica o sociale e per farlo non esitano a divulgare informazioni riservate o confidenziali, sostituire le pagine di un sito con altri contenuti e mettere fuori uso i sistemi informatici di organizzazioni private e pubbliche. Utilizzano, infatti, tattiche come il doxxing, il defacement e gli attacchi DDoS. Spesso prendono di mira interi settori, ma attaccano anche organizzazioni specifiche ritenute non “allineate” con le loro idee.
L’estorsione, soprattutto per mezzo di attacchi ransomware, è invece il tratto distintivo degli eCrime actors. Votati al profitto economico, operano come una vera e propria organizzazione criminale a scopo di lucro. Le aziende rappresentano l’obiettivo privilegiato: i cybercriminali si concentrano sul furto di dati aziendali sensibili o di informazioni personali dei clienti e utilizzano strumenti sofisticati per colpire i sistemi vulnerabili e ottenerne un ritorno economico.
Conoscere le mosse e il mindset dei diversi attaccanti permette di ricostruire la cyber kill chain nelle sue fasi. Analizzandole, le organizzazioni possono:
- valutare la propria esposizione alle diverse forme di compromissione,
- identificare le tipologie più probabili di minacce che potrebbero metterle nel mirino
- stimare l’impatto degli attacchi,
in modo da concentrare le risorse per una difesa più efficace.
Per rendere più difficile il lavoro dei criminali informatici è importante, perciò, lavorare su tutte e sette le fasi della cyber kill chain. Impedire la ricognizione richiede un’attenzione elevata sull’awareness e la formazione del personale, per tutelarne identità e credenziali. Monitorare la rete e il comportamento degli utenti è fondamentale per rilevare attività sospette e impedire la raccolta di informazioni da parte dei cyber criminali, così come cicli di Vulnerability Management e Risk assessment possono aiutare a identificare i possibili punti di accesso alla rete e suggerire le contromisure più adeguate.
È fondamentale in questo senso il lavoro dei Cyber Defense Center (in precedenza noto come Security Operation Center - SOC), interni o esterni all’azienda. Gli esperti di sicurezza sono infatti chiamati ad analizzare gli eventi rilevati dalle soluzioni SIEM (Security Information and Event Management), che tracciano le attività di rete di utenti, dispositivi e applicazioni, in modo da collocarli lungo la cyber kill chain per individuare il livello di progressione dell’attacco. Correlare gli eventi rilevati con la cyber kill chain permette non solo di individuare segnali precoci di attacco, ma anche di comprendere il livello di gravità della minaccia in corso e agire di conseguenza per bloccarla.
Se gli attaccanti vanno a caccia di informazioni, le organizzazioni dovrebbero fare lo stesso con le minacce. Soluzioni di threat hunting e cyber threat intelligence permettono di avere accesso ad informazioni esterne al perimetro aziendale che possono far comprendere le intenzioni dei cyber criminali e calcolare il rischio di un attacco. Consentendo di intercettare le minacce in una fase anticipata, questi strumenti permettono anche di adottare soluzioni di difesa specifiche contro le diverse “armi” in dotazione ai cyber criminali.
Il monitoraggio del perimetro aziendale – rete, identità ed endpoint – tramite il Cyber Defense Center resta il principale strumento di difesa contro le fasi più avanzate della cyber kill chain. Adottare in modo combinato soluzioni di network ed endpoint security, insieme a una più attenta gestione degli accessi e delle identità, permette di rilevare in ogni momento eventuali movimenti laterali e comportamenti sospetti, anticipando le mosse dell’attaccante e bloccando ogni tentativo di penetrare nei sistemi aziendali.
Le tempistiche sono, infatti, diventate sempre più stringenti. Se fino a qualche anno fa occorrevano giorni per portare a termine un attacco informatico, oggi è questione di minuti: sono circa 80 quelli necessari affinché un attacco vada a segno, anche con un impatto notevole. Pochi minuti devono servire, dunque, anche per riconoscere l’attacco, bloccarlo in modo automatizzato e organizzare al meglio la risposta.
Ecco perché le competenze dei security analyst vanno affiancate da soluzioni di sicurezza integrate tra loro, che sfruttino l’automazione e l’intelligenza artificiale per semplificare e velocizzare le attività di rilevamento, analisi e risposta alle minacce. Tali soluzioni sono, infatti, in grado di contestualizzare e unificare i segnali lasciati sul campo dagli attaccanti mentre si muovono lateralmente all’interno del sistema, permettendo di ricostruire velocemente la cyber kill chain e di combattere gli aggressori con la stessa rapidità.
