Cybercrime e Cybersecurity: l'Intelligence come leva per la difesa della tua organizzazione
La crescente, anzi imponente crescita di importanza dei dati custoditi nei datacenter pone a chi si occupa di sistemi informativi una nuova sfida: identificare adeguate strategie di difesa. La Cybersecurity non è solo un effetto collaterale della digitalizzazione, è la sua nemesi anche in ottica di opportunità commerciali.
Le tecniche maggiormente adottate e riconducibili alla metodologia di “firefighting” non sono più adeguate allo scenario attuale. Rispondere ad una minaccia quando questa si manifesta, magari bloccando la disponibilità dei sistemi, lascia le aziende esposte a incalcolabili danni di immagine oltre ai costi dovuti a fermi. Un approccio di questo tipo non permette neppure di sapere quando si è verificata una compromissione degli stessi.
Sappiamo, inoltre, che è utopistico ritenere che i sistemi possano essere considerati sicuri. Non è neppure affermabile che siano sempre aggiornati. Nei progetti sul campo si incontrano continuamente motivazioni, compromessi secondo i quali un determinato ambiente non può essere aggiornato. A titolo esemplificativo, ma non esaustivo, applicazioni legacy in assenza di un processo di mantenimento, potrebbero richiedere sistemi operativi obsoleti, lasciando esposta una superficie di attacco considerevole. Contestualmente, le procedure di recovery sono studiate in caso di eventi naturali o blocco dei sistemi, solo in rari casi è prevista l’attivazione d’emergenza della catena di comando in presenza di un attacco o, meglio di una minaccia immediata, anche potenziale. Parallelamente la consapevolezza del rischio deve essere portata ai massimi livelli aziendali. Gli specialisti di sicurezza non sono chiamati ad affrontare ragazzi che si divertono da uno scantinato, bensì organizzazioni con capacità sofisticate,spesso con alle spalle interi governi.
È proprio il concetto, anche espresso in contingenza, di una minaccia immediata che pone l’etichetta di obsoleto al metodo firefighting; semplicemente perché se non si è ancora manifestata non può essere presa in considerazione. Dalla speculazione filosofica al pratico, la strategia di difesa non può essere unica, deve dividersi su più livelli e partire dalla minaccia. Per identificarla è necessario comprendere perché qualcuno dovrebbe interessarsi a noi e le modalità secondo le quali veniamo classificati come obiettivo.
Solo comprendendo le logiche del Cybercrime e attivando una rete di monitoraggio, possiamo adattare la nostra difesa. Una difesa che non sarà basata (solo) sulla capacità di risposta bensì sull’invisibilità. Incorporare capacità di analisi delle capacità, delle dottrine e degli obiettivi è la base di una difesa guidata dall’Intelligence ed è un processo continuo che si basa sull’apprendimento ed il successivo miglioramento delle procedure e delle capacità.
APT – ADVANCED PERSISTENT THREAT: UNA MINACCIA CONTINUA
La vita dei Cybercriminali è un po’ più facile della vita di chi si occupa di Cybersecurity. Possiamo affermarlo: sono sempre un passo avanti, mentre gli specialisti della sicurezza devono lavorare seguendo un protocollo di identificazione delle minacce e conseguente risposta. Dobbiamo la conoscenza di gran parte delle informazioni riportate, qui come sulla stampa specializzata, al Dottor McGuire. Il proposito del ricercatore è di rendere non tanto il nostro lavoro un po’ più facile, ma il loro un po’ più difficile. Il primo passo in questa direzione deve essere, quindi, la comprensione e la consapevolezza della minaccia, che dobbiamo considerare persistente e di alto livello tecnico.
Cybercrime e cybersecurity: due industrie a confronto
Nel “campo nemico” si sono organizzati come una fiorente economia: è possibile acquistare exploit (codici che sfruttano vulnerabilità), più o meno per qualunque tipo di attacco o ancora, comprare il tempo di uno specialista che scriva o segua l’attacco. Si tratta di una industria fiorente che, pare, dia lavoro a 3,5 milioni di coders (programmatori). E’ un mondo composto da persone curiose, entusiaste e che sono sia innovatori che early adopter di tecnologie.
Il motore che muove queste persone è il guadagno, esattamente come nelle altre industrie. A questo proposito il progetto “The Web of Profit” è uno dei maggiori studi realizzati col fine di comprendere le dinamiche del Cybercrime. La comprensione di queste dinamiche è fondamentale per superare l’approccio di firefighting tipico delle organizzazioni, ovvero: risolvere il problema quando – spesso – il danno è fatto. Solo l’analisi degli introiti, rapportati correttamente anche al fattore temporale, può far fare un passo avanti alle strategie di difesa, che non possono fare a meno di un approccio adattivo: partire dall’individuazione delle fonti di ricavo più interessanti e da un immediato aggiornamento degli strumenti di difesa per rendere quanto meno antieconomico l’utilizzo dei propri asset a quei fini. (vedi blogpost precedente: The Theory of Average Security)
Il Cybercrime: l’economia di una nazione
Dobbiamo quindi organizzare le difese secondo un approccio financially-driven, considerando il Cybercrime non come un singolo «business» ma come un’intera economia, delle dimensioni di una nazione sviluppata come l’Italia. Si tratta di un «disruptive business model» che radica la sua efficacia in alcune capacità:
- Un ampio spettro di metodologia per generare ricavi, spesso a livello di industria;
- Monete e modalità di scambio totalmente digitali e anonimi;
- Numerosi intermediari e produttori, fornitore di marci e servizi. Senza dimenticare l’incredibile numero di clienti;
- Marketplace dedicati;
- Meccanismi di distribuzione globale;
- Fabbriche di trolls o di «mass marketing»;
- L’incredibile valore dei dati: oggetto principale degli scambi;
- Presenza in aree con assenza di legislazione specifica;
Tutto questo porta ad una macro-suddivisione degli introiti secondo il seguente schema:
Si può osservare quanto la rivendita di un dato rubato sia la principale fonte di ricavo, del resto l’utilizzo di dati rubati è un’attività a basso rischio, soprattutto rispetto al furto originale. I Ransomware sono invece la punta dell’iceberg, visibili ai più perché bloccano i sistemi, ma rappresentano solo l’1% dei ricavi. Le piattaforme dedicate evolute sono funzionali tanto quanto quelle che utilizziamo tutti i giorni: Google, Facebook, Amazon. E funzionano allo stesso modo: si cercano “cose”, si comprano “cose” e si paga con una moneta leggermente differente (nell’oltre 60% dei casi: BitCoin).
Una volta compreso come i Cybercriminali ottengono i guadagni, è utile capire come vengono riciclati per essere reimmessi nell’economia reale. Si stima che il 10% dei 2000 miliardi di dollari riciclati nel mondo siano derivanti da questo sistema. Questo significa che i Cybercriminali siano piuttosto avvezzi sia ai metodi tradizionali che a quelli più innovativi. Ai classici money mule, shell companies e bonifici internazionali si sono aggiunte, nel tempo, tutte le forme di pagamenti digitali con una crescita importante dei trasferimenti di denaro all’interno dei giochi online (incluso PlayStation Network o Xbox online), con il successivo intento di trasformarli in oggetti che possano mantenere il valore nel medio lungo termine (gioielli, proprietà, ecc.).
CURIOSITÀ: Airbnb è stato spesso utilizzato come lavanderia per gli introiti del Cybercrime, sfruttando alcune legislazioni favorevoli dal punto di vista della fiscalità.
KILL CHAIN® METHODOLOGY: COMPRENDERE L’ATTACCO PER FERMARLO
Come abbiamo ripetuto fino ad ora per bloccare l’attacco di un Cybercriminale, la chiave è comprenderne il funzionamento. Il modello introdotto da Lockheed Martin è identificato come modello “Intelligence Driven Defense®” e si basa proprio sull’idea di identificare i passaggi che un attaccante dovrà compiere per forzare il sistema di difesa. Una volta identificati i passaggi, bisogna acquisire la capacità di bloccarlo in qualunque fase.
La base fondante è che la comprensione delle motivazioni e della metodologia che costituiscono l’attacco, sia la componente di Intelligence. Il modello Kill Chain lavora su differenti livelli e si rifà a “U.S. military targeting doctrine” che definisce i passaggi del processo: find, fix, track, target, engage, assess (F2T2EA). Consente di identificare i vari passaggi dell’attacco e quindi di comprenderli.
Le sette fasi della Kill Chain sono:
- Reconnaissance – ricerca e identificazione degli obiettivi, spesso attraverso i siti web, gli indirizzi e-mail, le relazioni sociali (e non solo i social network) o le informazioni su specifiche tecnologie;
- Weaponization – l’accoppiamento tra un trojan con un exploit in un payload. Questo tipicamente significa la creazione di un tool automatico da inserire in un vettore di attacco (arma) come potrebbe essere un PDF o un documento di Microsoft office;
- Delivery – la trasmissione dell’arma nell’ambiente dell’obiettivo, tipicamente un allegato e-mail, un sito web o un media USB;
- Exploitation – è la fase in cui il codice viene eseguito e identifica il suo obiettivo: una vulnerabilità di un’applicazione o un sistema operativo;
- Installation – l’installazione di un trojan che permetta accesso remoto o di una backdoor che permettono all’attaccante di operare in modo persistente nell’ambiente della vittima;
- Command and Control (C2) – tipicamente un oggetto compromesso segnala ad un rete di comando e controllo di essere pronto ad eseguire istruzioni. In questo momento l’attaccante ha le mani nell’infrastruttura della vittima;
- Actions on Objectives – ora l’attaccante è in grado di compiere delle azioni per conseguire il suo obiettivo iniziale. Può trattarsi di esfiltrazione di dati (dopo averli raccolti e crittografati). In alternativa i sistemi potrebbero essere utilizzati per compromettente altri o per approfittare della potenza di calcolo e della banda per fini vari (es. Crypto-mining);
Organizzare la difesa
Una difesa basata sull’Intelligence si realizza adeguando le difese alla catena di eventi che compongono l’attacco e facendo in modo di poter interdire la connessione con la minaccia appena viene scoperta a qualunque dei sette livelli descritti. Il primo livello, quello della raccolta delle informazioni, viene spesso sottovalutato dalle organizzazioni, che preferiscono una condivisione spinta delle informazioni nell’ottica di un ritorno commerciale. Presentazioni e siti web con foto e contatti delle figure apicali sono un esempio in tal senso. Una politica di sicurezza deve bilanciare la spinta commerciale con la riservatezza, però una strategia guidata dall’Intelligence permette di scoprire quanto la pubblicazione di queste informazioni potrebbe essere utile a chi sta studiando un potenziale attacco.
Ancora una volta, dobbiamo sapere se la nostra organizzazione si configura come target generico o specifico. Nel secondo caso cercano noi per qualche asset in nostro possesso, cosa che dovrebbe far preferire un approccio più riservato. Nel primo caso, invece, possiamo riprodurre la vista di un potenziale attaccante, guardandoci attraverso i suoi stessi tools per scoprire se siamo visibili o invisibili. Il risultante bivio strategico consiglierebbe prudenza in caso di visibilità e magari qualche aggiustamento. A tal proposito dobbiamo ricordare che la maggior parte delle organizzazioni sono appetibili proprio per le vulnerabilità che espongono.
SECURITY OPERATION CENTER: APPLICARE IL MODELLO DI INTELLIGENCE DRIVEN DEFENSE
Come applicare efficacemente il modello “Intelligence Driven Defense®” all’operatività di un Security Operation Center, un SOC?
Ad oggi non esiste una metodologia ufficiale, esistono però alcune best practice che possono essere adottate, schematizzabili in quattro “funzioni” attivabili all’interno del Blue Team (leggi qui la definizione del National Institute of Standard and Technology)
- ZERO TRUST APPROACH: qualunque attività può essere malevole e deve essere analizzata al di fuori del perimetro di difesa. L’approccio implica una profonda revisione architetturale, ma soprattutto culturale: non esistono più ambienti sicuri: tutti possono essere compromessi e non si sa da dove può venire un attacco. Ad esempio i sistemi critici vengono sempre più spesso compromessi a seguito di una perdita di credenziali piuttosto che con complessi attacchi dall’esterno. L’approccio prevede di identificare “isole” che erogano servizi, compartimentarle per escludere lo sfruttamento di vulnerabilità e assicurarsi che le connessioni in ingresso seguano determinate regole;
- REPORT OSINT: mirato alla protezione delle credenziali. Monitorare username e password, che siano esposte singolarmente o peggio come componenti della stessa credenziale è un grande aiuto che l’Intelligence da alla prevenzione del furto delle stesse. Il riutilizzo di credenziali è la prima causa della loro compromissione. L’Open Source Intelligence aiuta anche a tracciare i profili delle persone più esposte, fonte degli attacchi mirati, spesso eseguiti dopo una accurata indagine delle informazione sulle figure apicali.
- THREAT MANAGEMENT: la prima fonte di attenzione sono le vulnerabilità. Qualunque organizzazione non è in grado di tenere costantemente aggiornato il software, percui è comunque esposta ad un rischio. Sapere quali sono e monitorare l’azione di malware che le sfruttino è uno dei cardini dei sistemi IDD. Confrontare il proprio perimetro di difesa con quello che avviene sulla rete, però dopo che si conoscono le possibili superfici di attacco;
- CORRELATION: le regole di correlazione hanno l’obiettivo di confrontare gli eventi per determinare cosa è “attività normale” e cosa, invece, è una anomalia. La correlazione è strettamente legata all’operatività di ogni singola isola, le regole devono prima “imparare” e poi possono inziare a produrre risultati.
È doveroso infine ricordare che l’obiettivo di un SOC, tra gli altri, deve essere la funzione DETECT ossia la capacità di identificare minacce reali in grado di aprire una breccia sui sistemi difensivi. Non esiste una tecnologia tale da sostituire le pratiche che l’esperienza e il continuo miglioramento suggeriscono. Alla fase di detect, segue quella di RESPOND e non è detto che delegando la prima ad una tecnologia la seconda sia aquisibile. Entrambe devono procedere di pari passo e, solitamente, allineate alle competenze del gruppo che le ha in carico.