La digitalizzazione ha portato notevoli vantaggi alle aziende, ma ha anche allargato le superfici di attacco creando una falsa percezione cyber sull’efficacia degli approcci tradizionali alla sicurezza IT: è invece importante acquisire la capacità di reagire in modo efficace anche quando si verificano attacchi informatici totalmente sconosciuti
vere una falsa percezione di cyber security potrebbe aumentare notevolmente l’esposizione dell’azienda ai sempre più numerosi e imprevedibili rischi cyber.
Gli avversari si evolvono nel cyberspazio. Ogni secondo, una moltitudine di attacchi diventa un’arma contro reti e applicazioni in tutto il mondo. Gli avversari sono alla ricerca di una porta aperta, tentano di accedere a risorse aziendali preziose e rubano dati da reti compromesse. È l’equivalente cyber del campo di battaglia.
Oggi, le organizzazioni devono affrontare gli effetti della digitalizzazione, delle esigenze aziendali e delle superfici di attacco (#attacksurface) in continua evoluzione. Questa digitalizzazione è stata forzata e accelerata dalle recenti vicissitudini provocate dalla Covid-19.
Questa digitalizzazione forzata ha portato gli effetti che erano stati indicati all’inizio dell’anno. Un esponenziale aumento degli attacchi informatici alle aziende. Ma i data breach noti rappresentano solo la punta di un iceberg. La gran parte di quelli sommersi rappresentano attacchi alla reputazione aziendale che ha costretto le vittime ad un silente pagamento del ransomware al fine di non avere danni peggiori a seguito di esposizione dei dati.
Oggi le aziende, a causa di una falsa percezione cyber, adottano per la loro sicurezza prodotti incentranti sul riconoscimento di vulnerabilità note o di loro possibili mutazioni, ma non riescono a far fronte all’evoluzione ed alla creazione di continui zero day che causano danni incalcolabili.
Questa metodologia crea molti errori che producono risultati indesiderati o provocano il comportamento involontario dell’infrastruttura di sicurezza, come interruzione di servizi. Tali difetti di sicurezza sorgono perché gli attuali strumenti sono progettati e implementati con presupposti umani. Trovare e analizzare le lacune è estremamente difficile. Anche i migliori team di sicurezza che utilizzano gli strumenti più sofisticati non sono in grado di trovare tutti i possibili difetti o contestualizzare le azioni degli avversari.
Come in guerra, non si ha la possibilità di scegliere il nemico e le condizioni di combattimento, ma è possibile scegliere bene l’arma.
Nell’ultimo decennio, gli approcci tradizionali hanno richiesto molto tempo e presupposti e non sono stati allineati nel giusto contesto di sicurezza. È essenziale sviluppare tecniche e tattiche difensive che consentano misure difensive autentiche, con la capacità di reagire in modo efficace e autonomo anche quando si verificano attacchi informatici totalmente sconosciuti.
Falsa percezione cyber : non ci sono minacce inattive
Mentre la moderna kill-chain si evolve, è ovvio che le organizzazioni devono essere in grado di collegare il nuovo contesto utilizzato dalle minacce, prestando attenzione ai rischi aziendali e all’impatto in tempo reale mentre le minacce si verificano.
Gli attacchi sono spesso orchestrati attraverso server di Comand & Control Cloud dotati di intelligenza artificiale al fine di modificare il loro comportamento eludendo tutti gli strumenti fino ad oggi adottati. Possono anche colpire simultaneamente un numero crescente di applicazioni critiche.
Negli attacchi mirati effettuati dai criminali informatici vengono utilizzate misure precauzionali a proprio vantaggio. Queste tecniche sono progettate per nascondere i loro obiettivi e per rimanere inosservati nella rete fino a quando non raggiungono il loro scopo. Quest’ultimo è quello di esfiltrare dati che verranno usati come arma per la richiesta del riscatto.
Anche se in qualche modo vengono rilevati in alcuni dei loro passaggi durante le loro attività, è stato osservato che questi attacchi mirati si diffondono lateralmente pulendo le loro tracce rendendo difficoltoso se non addirittura vano l’attività di team di threat intelligence o cyber security.
Questi team, infatti, lavorano sulla kill-chain dell’attacco identificando il playbook dell’attaccante, che non è esclusivo nel singolo attacco. Ciò significa che l’avversario spesso riutilizza gli stessi payload con piccole modifiche che prendono di mira un’altra vittima con un’altra campagna oppure rimangono persistenti all’interno della stessa azienda totalmente nascosti continuando la loro fase di attacco iniziale.
Ecco il limite che i modelli di cyber security basati su IA o cyber security team non riescono a risolvere.
Priorità alle nuove tecnologie
È difficile isolare il segnale dal rumore. Le organizzazioni hanno lottato con molti avvisi, strumenti sottoutilizzati, falsi positivi e strumenti che creano problemi di blocchi operativi.
Non bisogna, però, dare mai per scontato che tutte le tecnologie di cyber security disponibili siano regolarmente testate contro modalità di attacco.
Già dall’inizio dell’anno parlavo di una nuova metodologia per la cyber security basata sull’approccio ZeroTrust. In quel momento sul territorio italiano non vi erano molte aziende o cyber security specialists che ne parlavano, ed entità come il Nist avevano ancora documentazione in formato Draft.
Oggi molte aziende leader nel mercato parlano dell’approccio ZeroTrust come una nuova modalità di far fronte agli attacchi cyber.
In un corretto approccio ZeroTrust occorre parlare della metodologia della Deception. Metodologia che è stata bistrattata ed accumunata ad honeypot di rete. Oggetti statici che rappresentano vittime sacrificali messe a disposizione al fine di rilevare possibili attaccanti nascosti nella rete.
Nella realtà la Deception ha ben altre argomentazioni. Come tutte le guerre, vi è una parte di spionaggio che serve per l’attaccante per ottenere informazioni utili alla vittoria.
Questo è quello che avviene nel mondo cyber. Gli attaccanti utilizzando tutte le loro migliori tecniche per rimanere nascosti nella rete per poi arrivare alla fase conclusiva vincitori. Sanno riconoscere un oggetto statico come un honeypot e sanno eludere gli attuali strumenti di cyber security.
La Deception, quella vera, non è un honeypot e non è un oggetto statico. La Deception consiste nell’utilizzare gli stessi strumenti di elusione che l’attaccante usa nei nostri confronti contro di lui. La strategia dell’inganno attuata da queste tecnologie fa desistere l’attaccante dal perpetrare i suoi scopi.
Vi sono innumerevoli vantaggi dall’adozione di questa metodologia: il primo fra questi è che non è affetto da ZeroDay, richiede poche risorse, non è intrusiva ed è efficace anche se non aggiornata per molto tempo.
Come diceva lo scrittore romano Vegezio: “Si vis pacem, para bellum”, se vuoi la pace, prepara la guerra.
Grazie alla redazione di Cybersecurity360 per aver pubblicato l’articolo scritto dal nostro cyber specialist Simone Fratus
Comments