Come reagire dopo un attacco alla cybersecurity: best practice e tecniche di remediation
Domenico Raguseo, Head of Digital Factory CyberSecurity Exprivia
La domanda sembra banale ma non lo è affatto. Se l’attacco fosse qualcosa che si consuma in un istante, allora, per quanto complessa, la risposta sarebbe scontata. Il problema è che gli attacchi durano ore. Parlando di attacco non dobbiamo riferirci solo al periodo in cui l’attaccante inizia le attività direttamente collegate al danneggiamento del servizio o al furto dei dati, ma ad un concetto più ampio che si estende a quando l’attaccante inizia a fare tutte le attività di intelligence e alle azioni laterali di preparazione all’attacco finale.
Faccio un esempio: in un attacco di tipo DDoS molti dispositivi, catturati precedentemente, vengono utilizzati come base per generare traffico verso un portale o un servizio in genere, rendendo il servizio impossibile da utilizzare per i legittimi utenti. In questo caso l’attacco vero e proprio, potrebbe durare ore, ma se consideriamo il tempo necessario a catturare tutti i dispositivi, il tempo si dilata a mesi, persino anni.
Lo stesso discorso si potrebbe fare per un attacco di tipo “watering hole” (letteralmente ” luogo dove si va per bere”). L’attacco consiste nell’”avvelenare” questo posto in maniera che tutti coloro che vi si recano si infettino. Lo si può fare compromettendo dei portali o dei file PDF. L’attacco comincia molto prima del momento in cui l’attaccante inizia le attività finali.
Quindi dividerei le attività di messa in sicurezza in due categorie: attività necessarie ad identificare il fatto che un attaccante stia studiando la vittima e costruendo l’attacco e attività necessarie durante l’attacco vero e proprio.
Un ruolo fondamentale lo svolgono gli analisti che, utilizzando strumenti di threat intelligence, raccolgono informazioni su attacchi correnti, recuperano IoC (indicatori di compromissione) e verificano che tali IoC siano presenti o meno nella infrastruttura da difendere. Studiano le motivazioni di un attaccante e le debolezze di chi si difende (vulnerabilità) per comprendere come arriverà l’attacco e possibilmente da chi, fornendo opportune informazioni a chi gestisce l’infrastruttura al fine di aumentare le misure difensive sia nella fase di prevenzione che nel monitoraggio di eventi particolari.
Se gli attaccanti possono sempre avere a loro favore l’effetto sorpresa, chi si difende però ha spesso a disposizione molti elementi per studiare i fattori a contorno e selezionare le corrette contromisure.
Durante un attacco cyber è importante capire quale sia il prossimo passo che farà l’attaccante. Il MITRE ha sviluppato un framework ATT&CK che categorizza i comportamenti di un attaccante. Non bisogna dimenticare però che spesso gli hacker sono imprevedibili e possono provare diverse vie per un attacco. Spesso si pensa ad un attacco come una lineare sequenza di attività ed invece un attacco è studiato per mesi a tavolino sviluppando una strategia con mosse e contromosse. Prevederle tutte in anticipo è una cosa molto complicata. Fortunatamente gli attaccanti lasciano spesso qualcosa nel mondo digitale, qualche traccia che gli analisti devono essere bravi a catturare per costruire il grafico dell’attacco. Gli strumenti di Artificial Intelligence possono essere di grande aiuto, poiché analizzano migliaia di sorgenti di informazioni e forniscono all’analista informazioni accurate ed aggiornate, attività per le quali un analista dedicherebbe mesi con il rischio di trovare la soluzione a “delitto” consumato.
Altro argomento è cosa fare in presenza di un incidente. Non dimentichiamo che finora abbiamo parlato di un attacco, cioè di un tentativo di danneggiare un servizio o rubare un dato. Se l’attacco ha successo si verifica un incidente. Cosa fare dopo un incidente? Questa è una fase molto importante. Al di là delle normative e delle regolamentazioni che descrivono e regolano cosa va fatto in funzione del tipo di incidente, è necessario capire come si è evoluto l’attacco e come possa avere avuto successo ed implementare le contromisure necessarie per evitare che altri attacchi simili possano ripetersi. Non è solo sufficiente ripristinare il servizio. Ad esempio, nel caso di un ransomware (tecnica usata per cryptare i dati e chiedere successivamente un riscatto per ricevere la chiave per il de-crypting), è necessario comprendere se sono state usate botnet (agenti malevoli) per il command & control (dare la possibilità ad esterni e non autorizzati di accedere al dispositivo), se l’attaccante conosce la rete o meno, da quando l’attaccante è presente nella infrastruttura e in che forma. Non è inusuale infatti che botnet usate per uno scopo, successivamente possano essere usate per un altro scopo.
Mi sono soffermato su aspetti prettamente tecnici, ma è necessario andare oltre. Infatti un incidente di cybersecurity spesso coinvolge tutte le funzioni di un’azienda. Il danno potrebbe essere mitigato se tutte le funzioni sapessero esattamente cosa fare in caso di un incidente. Essere pronti a rispondere ad un incidente e verificare periodicamente lo stato di preparazione della popolazione potrebbe non evitare un attacco ma di sicuro ridurre sensibilmente i danni conseguenti ad un attacco.
Il continuo sviluppo delle tecniche di attacco in durata e complessità rende necessaria una strategia di difesa che deve coinvolgere in maniera continuativa tutte le funzioni aziendali. Non solo nella fase di prevenzione, ma anche in quelle di monitoraggio e risposta.