Nella rincorsa digitale tra gatto e topo, i cybercriminali sembrano trovarsi sempre in vantaggio. I ruoli si possono invertire? In che modo è possibile anticipare e rilevare attuali e futuri cyberattacchi per proteggere meglio le infrastrutture più critiche?
I cybercriminali hanno sempre dato prova di grande abilità nello sviluppare nuove tecniche di accesso alle infrastrutture target. Tra le più note figurano fenomeni come il phishing, una forma di spoofing che inganna gli utenti per carpire informazioni personali, lo spear-phishing, ovvero un attacco phishing abbinato all’ingegneria sociale, il polimorfismo, ovvero la capacità di aggirare l’antivirus con una serie di impronte digitali incoerenti e l’ormai classico ransomware a tripla estorsione. Si è parlato anche del malware fileless, che viene eseguito solo nella memoria del sistema. E se tutto questo non è sufficiente, ora occorre anche prestare attenzione a nuove minacce quali l’attacco “browser-in-the-browser”, che crea una finestra pop-up fasulla per indurre gli utenti a fornire più informazioni personali possibili.
In questo quadro, la diffusione del cloud e dei dispositivi mobili (connessi o meno), lo sviluppo di API senza considerare potenziali vulnerabilità, la convergenza IT/OT e gli attuali ambienti ibridi e multi-cloud, concorrono ad estendere ulteriormente la superficie di attacco delle aziende: la progressiva commistione tra i più diversi sistemi informatici sfocia in nuove violazioni della sicurezza su base quotidiana. Non meraviglia quindi che i professionisti della cybersecurity investano numerose risorse nell’auditing di sistemi e prodotti impiegati con l’obiettivo di individuare nuove vulnerabilità nelle infrastrutture critiche e, al contempo, per essere in grado di elaborare nuove modalità di rilevamento.
Considerare qualsiasi indicatore, dal più debole al più forte: un’analisi complessa
Le ricerche condotte per individuare eventuali tentativi di far breccia nel sistema fanno capo all’analisi di qualsiasi tipo di indicatore di compromissione delle infrastrutture critiche. I più ardui da individuare sono quelli deboli, come un movimento laterale o tracce di offuscamento in un file. Tra i segnali più forti figurano invece marcatori o pattern di codice maligno, identificati già in precedenza come dannosi.
Alla base delle analisi troneggiano naturalmente i log, prodotti in quantità dalle soluzioni per la protezione degli endpoint o perimetrale. Per far fronte ad un volume di dati in costante crescita, le aziende si avvalgono di strumenti centralizzati come il SIEM (Security Information & Event Management), i cui rapporti vengono poi analizzati dal SOC (Security Operation Center) per rilevare potenziali attacchi. Alcune soluzioni SIEM impiegano l’apprendimento automatico (ML) e l’analisi comportamentale per identificare attività sospette. Esse sono anche in grado di compilare report contestuali o addirittura di mettere automaticamente in quarantena determinati endpoint.
Tuttavia, come spiega Alberto Brera, Country Manager di Stormshield Italia: “Il machine learning o i sistemi statistici avanzati sono efficaci per casi specifici come il phishing, se impiegati universalmente cagionano un elevato tasso di falsi positivi. La valutazione dei risultati richiede comunque l’intervento umano, soprattutto nella disamina dei segnali più deboli come eventuali comportamenti anomali”.
Un aiuto in questo senso viene fornito dalle piattaforme SOAR (Security Orchestration, Automation and Response) che oggi offrono funzionalità di triage e di sicurezza automatizzate che consentono, quanto meno, di ottimizzare le risorse e di prioritizzare le attività.
Tecnologia: resta un aiuto parziale
Visto il successo dei cybercriminali nell’aggirare i baluardi tecnologici, non si può fare esclusivo affidamento su strumenti e algoritmi. Occorrono invece metodologie di controllo e protezione delle infrastrutture critiche che si adattino all’ambiente di lavoro, combinando il monitoraggio constante al perfezionamento e alla comprensione dei dati, che vanno condivisi internamente secondo i principi dell’intelligenza collettiva. A tal fine, l’uso sistematico dei SOC, il Threat Hunting e la combinazione coerente delle conoscenze acquisite sugli attaccanti costituiscono solide fondamenta operative.
Il Cyber Threat Hunting per identificare le metodologie operative future degli attaccanti è un requisito essenziale della cybersecurity proattiva delle infrastrutture critiche. Per questo motivo i produttori di soluzioni di sicurezza si dotano frequentemente di una squadra di Cyber Threat Intelligence (CTI) per adattare continuamente i propri motori e meccanismi di protezione e per fornire in tempo reale ai propri clienti i dati necessari per proteggersi dalle minacce rilevate. Utilizzando tattiche, tecniche e procedure (TTP), indicatori di attacco (IoA) e di compromissione (IoC) provenienti da attacchi informatici simili, questi specialisti possono identificare le aree di compromissione o nuovi malware in maniera indipendente rispetto alle segnalazioni del SOC. Tuttavia, il reclutamento dei “cacciatori” non è proprio semplice in un mercato del lavoro contratto come quello odierno, ed è un lusso che la maggior parte delle aziende non può permettersi.
Team interfunzionali: requisito essenziale nell’industria
Questo problema si presenta in forma ancora più grave in ambito industriale: esistono in assoluto sul mercato threat hunters con competenze IT e OT? I dati forniti al SOC dal crescente numero delle sonde di rilevamento negli ambienti IT e OT devono essere correlati, contestualizzati e condivisi sotto forma di flusso CTI per poter trarre vantaggio dalla conoscenza dell’attaccante e del suo modus operandi. Ciò richiede la condivisione di competenze.
“Se gli analisti CTI non comprendono il funzionamento dei protocolli industriali e il tipo di comunicazioni scambiate in ambito OT, non saranno in grado di analizzarle e di differenziare i comportamenti legittimi da quelli anomali”, conferma Alberto Brera.
Nell’attesa che l’industria si doti di team interfunzionali, unire gli strumenti di rilevamento a quelli di protezione rimane la soluzione migliore per mettere in sicurezza le infrastrutture critiche. Una nota: negli ambienti più critici si tende a rispondere alle minacce in maniera più radicale, mantenendo le infrastrutture scollegate da Internet ed effettuando la manutenzione dei sistemi manualmente, caso per caso. Ma anche in ambienti così isolati, il caso di Stuxnet ha evidenziato che attacchi diretti alle macchine non sono da escludere.
Il fattore umano
A fronte di attacchi polimorfi, che si avvalgono di molteplici punti di accesso, l’uomo resta un anello centrale della catena. Gli analisti dovranno fare i conti con l’emergere di tecnologie che facilitano lo spoofing, come i “deepfake” di video, volti e persino voci o ancora la text augmentation, che permette di generare migliaia di e-mail con lo stesso contenuto ma con sfumature diverse – una tecnica che può eludere le signature impiegate per il rilevamento. In futuro, sarà quindi doveroso potenziare le metodologie di identificazione delle minacce per garantire innanzitutto che l’interlocutore sia una persona reale, e poi che sia quello con cui ci si vuole (o deve) realmente interfacciare. L’azienda Uber è stata di recente colpita da un hacker che ha semplicemente chiesto l’accesso alle risorse a uno dei dipendenti tramite la finestra di una chat. Quando si ha a che fare con pratiche di social engineering di questo tipo, il ruolo di chi si trova “tra la sedia e la tastiera” diviene più centrale che mai.