Rilevare gli attacchi prima che vengano sferrati, o almeno prima che riescano a provocare gravi danni. Questo è uno degli obiettivi fondamentali della cyberdifesa. Valutare le minacce è un compito arduo, ma c’è un sistema che funziona e si chiama Threat Intelligence.
Testo: Andreas Heer, Immagini: Swisscom
12 ottobre 2023
In media, passano oltre 200 giorni prima che un cyberattacco andato a segno venga rilevato e questo Mean Time to Identify (MTTI) ha un impatto sui costi, come spiega l’IBM Cost of a Data Breach Report 2023(apre una nuova finestra). Prima viene scoperta una violazione, minori saranno i danni e i costi.
Se ci vuole così tanto tempo per rilevare un attacco, viene inevitabilmente da chiedersi se le imprese non dovrebbero dare per scontato che i cybercriminali abbiano già accesso alla loro infrastruttura. Questa è l’ipotesi alla base dell’approccio alla cyberdifesa detto «Assume Breach», che adotta una prospettiva olistica: affidarsi alle sole misure preventive non è sufficiente, perciò occorre rafforzare anche la Detection e la Response per rilevare gli attacchi il prima possibile e ridurre al minimo i danni.
Ma come possono fare le imprese per capire se hanno già subito o stanno per subire un attacco? La risposta a questa domanda viene dalle informazioni e dalle indagini della Threat Intelligence (TI), con l’eventuale contributo della ricerca attiva di tracce di violazione condotta con il Threat Hunting.
L’attività di ricerca della Threat Intelligence si muove su tre livelli. L’aspetto strategico concentra l’attenzione sui trend nel mondo della cybercriminalità, ma anche sul contesto politico e sociale che influenza le attività di svariati attori. L’aspetto tattico mira invece a comprendere i pattern di attacco e per finire c’è il livello operativo, dove queste informazioni vengono usate per migliorare la cyberdifesa.
Le minacce da considerare non sono necessariamente evidenti. Per fare un esempio, spesso gli attacchi ransomware con movente lucrativo non sono mirati e attirano nella loro trappola quelle vittime che non hanno colmato abbastanza rapidamente una lacuna di sicurezza nota. «I cybercriminali che finiscono sui giornali non sono sempre la minaccia più grande», conferma anche Jakub Rutynowski, specialista in cybersecurity e responsabile della Threat Intelligence per Swisscom. «Dobbiamo tentare di capire chi sono gli attori e quel è la loro motivazione per stabilire se siamo un potenziale bersaglio.» È quindi necessario scoprire se, al di là dei casi più famosi, ci sono anche altri gruppi che intensificano le loro attività dietro le quinte. Si tratta di un compito arduo, e spesso il contesto diventa evidente soltanto a posteriori: era «solo» un attacco ransomware con movente lucrativo o piuttosto c’erano attori statali che volevano estorcere criptovalute o sfruttare i dati rubati a fini di spionaggio? Gli obiettivi veri non sono sempre palesi.
«In ogni caso è importante inquadrare le informazioni sugli attacchi in corso nel contesto della propria impresa», commenta Jakub Rutynowski. «Abbiamo un’organizzazione o un’infrastruttura che ci mette in una situazione simile e potremmo diventare anche noi un bersaglio? Ma soprattutto: siamo preparati?»
Il già citato report di IBM riferisce anche che i vettori di attacco più utilizzati sono le e-mail di phishing (16 percento) e il furto di credenziali di accesso (15 percento). Spesso, le informazioni rubate sono poi vendute al miglior offerente nella darknet. I cosiddetti Initial Access Broker propongono le credenziali di accesso rubate su forum e piattaforme di scambio, mentre la documentazione aziendale sottratta nel corso di una violazione viene spesso pubblicata e venduta dai gestori di ransomware sui Leak Site.
Queste informazioni sono utili alle imprese per avere un quadro più accurato delle minacce correnti. Lavorando manualmente, però, è quasi impossibile condurre una ricerca di questo tipo. «Su molte piattaforme di scambio bisogna prima "meritarsi" l’accesso», dichiara Jakub Rutynowski. «Spesso, poi, è possibile capire dove e quando si è verificata un’infezione o una violazione soltanto combinando informazioni da diverse fonti.»
Le soluzioni di Digital Risk Protection, che consentono alle imprese di ridurre o almeno semplificare le onerose attività manuali, sono uno strumento utile per identificare le tracce dei furti di dati nella darknet, ma Jakub Rutynowski raffredda gli entusiasmi: «Considerando il gran numero e il rapido avvicendamento di piattaforme di scambio e canali su strumenti di messaggistica come Telegram, è difficile trovare le informazioni che si cercano.»
Insomma, un’impresa che vuole proteggersi proattivamente dai cyberattacchi o almeno rilevarli tempestivamente necessita di un insieme di misure di Detection e Incident Response. La somma di Threat Intelligence e Threat Hunting aiuta a rilevare eventuali intrusioni e vulnerabilità nella propria cyberdifesa. La Threat Intelligence fornisce gli indizi che i Threat Hunter potranno poi usare nelle loro indagini.
In questo gioco di squadra, spesso i Threat Hunter sono i committenti della Threat Intelligence, spiega Jakub Rutynowski: «Nella Threat Intelligence detta "requirements driven", ad esempio, ci viene chiesto di condurre ricerche su una minaccia concreta.» I risultati possono quindi essere sfruttati nella Incident Response e nei suoi processi. Oltre a migliorare la protezione complessiva dell’impresa, detta Security Posture, il report di IBM sottolinea che queste misure proattive possono anche ridurre il tempo che passa prima che un incidente venga rilevato e quindi i costi di un furto di dati.