Perché aspettare che un hacker si faccia scoprire da solo? Il threat hunting è un metodo per rilevare il prima possibile incidenti legati alla sicurezza, con cui gli specialisti di security ricercano attivamente nell’infrastruttura le tracce lasciate dagli attacchi. Evitando così il peggio.
Testo: Andreas Heer, Immagine: Plainpicture,
A giugno di quest’anno diverse testate hanno dato notizia di un attacco informatico su larga scala ai danni di un fornitore di telecomunicazioni europeo. «Siamo tutti scattati sull’attenti», confessa Andreas Hunkeler, specialista della sicurezza nel Computer Security Incident Response Team (CSIRT) di Swisscom, «e ci siamo chiesti se un simile attacco sarebbe potuto capitare anche nella nostra infrastruttura».
Tali notizie pubbliche possono essere di incentivo al threat hunting, la ricerca di hacker nascosti nella propria rete. «Sfruttiamo diverse fonti come spunto per il threat hunting», afferma Andreas Hunkeler in proposito. «Alle segnalazioni di pubblico dominio, si aggiungono le informazioni condivise con noi da gruppi di fiducia, fonti specializzate come il MITRE ATT&CK Framework o lo scambio con colleghi di altri CSIRT». Il cacciatore solitario nel cyberspazio, infatti, esiste solo nei film. La sicurezza informatica è un lavoro di squadra, così come il threat hunting, e uno scambio reciproco di informazioni sui risultati aiuta tutte le aziende a proteggersi meglio dagli attacchi.
L’attacco all’azienda di telecomunicazioni ha portato anche uno specialista della sicurezza di Swisscom a calarsi nel ruolo di cacciatore, alla ricerca di tracce di attacchi nell’infrastruttura dell’azienda stessa. Il threat hunting, un metodo per rilevare incidenti nella sicurezza, comporta la ricerca di modelli di attacco altrimenti invisibili ai sistemi automatici, perché troppo complessi o poco appariscenti. Spiega Andreas Hunkeler: «Se un utente si collega a un sistema a un’ora inconsueta o da un luogo insolito, si deve supporre un attacco informatico o un comportamento legittimo? Come si distingue l’uso improprio di un software standard da parte di un hacker dal suo impiego legittimo?» Domande semplici a cui è difficile rispondere e, nel caso dell’uso legittimo, il rilevamento automatico provocherebbe «false positives», ovvero falsi allarmi.
Domande di questo genere danno il la al threat hunting. «Per prima cosa formuliamo un’ipotesi su che tipo di modelli vogliamo andare a cercare», spiega Andreas Hunkeler. «Questo fingerprinting è un processo complesso, in cui dobbiamo raccogliere informazioni da diversi sistemi.» In presenza di un comando di sistema di per sé non sospetto o di un tentativo di accesso a un server, i threat hunter devono essere in grado di leggere le tracce e di derivarne i modelli. Un compito che piace molto ad Andreas Hunkeler: «È una parte creativa e molto entusiasmante del mio lavoro, perché dà spazio alla sperimentazione di approcci di rilevamento».
A volte il modello è ancora sconosciuto, perché il tipo di attacco è troppo nuovo e ancora troppo poco documentato. «Successivamente analizziamo l’infrastruttura alla ricerca di anomalie», prosegue Andreas Hunkeler. «Dopotutto, conosciamo bene qual è la norma». Così è possibile individuare anche gli attacchi sconosciuti e spesso i threat hunter hanno solo bisogno di un po’ di fortuna, proprio come i loro omologhi a caccia nel bosco.
Nel momento in cui i cacciatori del cyberspazio rilevano un attacco, hanno davanti due compiti: analizzare le TTP (tecniche, tattiche e procedure) e sbarazzarsi dell’hacker, un’attività che passano al team di Incident Handling. «Lo scopo del threat hunting è quello di fornire in futuro ai sistemi automatici le conoscenze così raccolte», spiega Andreas Hunkeler. Un attacco dalla struttura simile verrebbe quindi rilevato, e idealmente evitato, dall’infrastruttura di sicurezza. In questo modo Swisscom aumenta inoltre il grado di maturità della propria sicurezza IT.
Se la ricerca dei threat hunter non dà risultati, la caccia è comunque utile, come sottolinea Andreas Hunkeler: «In questo caso possiamo dire con un alto grado di sicurezza di non essere stati colpiti da un determinato modello di attacco». Il threat hunting funge dunque anche a «misurare la febbre» dell’infrastruttura interna.
A volte, afferma Andreas Hunkeler, i cacciatori del cyberspazio si imbattono in scoperte sorprendenti: «Con il threat hunting abbiamo persino rilevato l’attacco simulato del nostro stesso Red Team, di cui eravamo del tutto ignari».
Maggiori informazioni: