TuttoIndagini.com

Notizie selezionate dagli Investigatori Professionisti di Agenzia Investigativa delle Alpi

CYBER THREAT INTELLIGENCE. MODELLI DI ANALISI E DIFESA DELLE AZIENDE

CYBER THREAT INTELLIGENCE. MODELLI DI ANALISI E DIFESA DELLE AZIENDE

(Angelo Alabiso*) Come ben si sa l’attenzione sugli attacchi informatici è ormai massima, ogni giorno nuove vulnerabilità vengono scoperte e utilizzate dagli hacker dal cappello nero (cracker) per sferrare degli attacchi a obiettivi mirati e studiati meticolosamente. Nonostante la maggior parte delle azioni offensive compiute oggi siano messe in atto da ragazzini curiosi che desiderano testare questo mondo affascinante, non si può negare che questa è un’attività che, se fatta bene, può portare ad hacker più esperti miliardi di dollari, informazioni utili per uno Stato, sennonché un’attenzione particolare per chi intende promuovere idee politiche o ideologiche. Insomma, la sicurezza logica sembrerebbe assumere una rilevanza maggiore rispetto a quella fisica, nonostante questa sottigliezza ormai non può essere considerata così netta: le due componenti sono strettamente correlate anche dalla presenza della tecnologia IoT (Internet of Things) che ha di fatto annullato la differenza tra mondo logico e fisico. Chi si occupa di cybersecurity sa benissimo quanto le due aree siano strettamente correlate e interdipendenti. Per questo motivo anche il concetto stesso di hacking deve essere considerato come “iperonimo” ossia compreso come una serie di attività, di tanto in tanto anche fisiche, volte ad attaccare sistemi informatici pubblici, aziendali e statali. In altri termini, lo sviluppo tecnologico, ha del tutto portato alla ribalta una serie di minacce che ad oggi risultano essere non solo difficili da contrastare, ma soprattutto da conoscere. È proprio per questo motivo che ci si è resi conto dell’importanza della Cyber Threat Intelligence, ovvero quell’insieme di teorie, procedure e strumenti atti a raccogliere e condividere informazioni precise sulle minacce informatiche al fine di dar vita a strategie preventive, tattiche di intervento e sistemi di monitoraggio che possano essere funzionali alla protezione del proprio business aziendale. Traducibile come “servizi di informazione strategica sulle minacce informatiche”, quella della Cyber Threat Intelligence è una parte fondamentale della cyber security in quanto si posiziona prima di qualunque altro sistema di sicurezza per ridurre, ancora di più, quei rischi ad essa legati. In questa direzione, per un giusto processo di governance, management e compliance di sicurezza IT, un’azienda non può prescindere dalla ricerca e dallo studio di notizie di contesto, dal rilevamento di nuove emergenti minacce cibernetiche e da una visione olistica della situazione interna ed esterna rispetto a quelli che sono i suoi confini perimetrali; il tutto allo scopo anche di progettare, guidare, definire e monitorare adeguate contromisure. Con il suo ciclo di vita, quello che è un qualunque settore dell’intelligence, necessita di una serie di step (Pianificazione, raccolta, elaborazione, analisi, disseminazione e feedback) che sono in grado di definire un prodotto finale, spesso funzionale e in continuo monitoraggio e aggiornamento. In poche parole, la Cyber threat Intelligence, rappresenta non solo un valido aiuto per comprendere come l’organizzazione potrebbe essere attaccata, ma anche come definire le migliori strategie per prevenire, difendere e mitigare eventuali incidenti. In questi termini è utile intuire quanto questo macrocosmo di attività debba essere considerato un vero e proprio processo aziendale, una parte integrante di qualsiasi altro processo IT, di uguale importanza a tutti gli altri.

In analogia all’ambito militare per la quale è nata, anche la struttura di intelligence riferita alle minacce cibernetiche è un’attività che può essere scomposta in tre livelli di analisi:

Strategica: più di alto livello rispetto alle successive, basata su considerazioni volte a rilevare tutti quei fattori che hanno delle conseguenze negative sul raggiungimento degli obiettivi di business definiti da un’azienda. In poche parole, rispetto a queste considerazioni, lo scopo dell’analisi strategica è quella di evidenziare potenziali minacce, rispetto alla propria attività, allo scopo di tracciare un profilo di tutti quegli attori che potrebbero agire contro la stessa (il cosiddetto profilo di minaccia). Quest’ultimo, calcolato secondo degli indicatori quali il motivo, l’intento, le risorse e l’opportunità, può di gran lunga migliorare lo stesso concetto, sennonché la progettazione, di una sicurezza di tipo proattiva. In questo senso, ci si può avvalere di tutte quelle fonti pubbliche e private, per tipologia di attività o di settore, che evidenziano proprio questi aspetti.     

Tattica: dopo aver stilato una lista di possibili profili di minaccia, è rilevante raccogliere e analizzare tutte quelle tecniche, quegli strumenti e quelle procedure che possono essere messe in pratica da parte dei diversi attori (anche cibernetici e automatici), tenendo anche in considerazione le possibili superfici di attacco: tecnologie, procedure, servizi e persone che possono avere delle vulnerabilità. Di aiuto, soprattutto dal punto di vista delle tecniche e delle tattiche avversarie, può essere il MITRE ATT&CK framework (https://attack.mitre.org): elenco strutturato di comportamenti messi in atto dagli aggressori, espresso in file tabulari. In aggiunta, è consigliabile in questa fase iniziare a valutare le migliori contromisure da intraprendere per ciascuno dei fattori sopracitati.  

Operativa: più di basso livello, fondata sulla ricerca di indicatori di minaccia che possano dare un contributo reale rispetto a quella che è la sicurezza dell’azienda. Un esempio può essere proprio il SIEM (Security Information and Event Management): un centro di raccolta e di correlazione e analisi di tutti quegli eventi che risultano essere particolarmente importanti non solo per anticipare e comprendere le minacce cibernetiche, ma anche per avere a disposizione un vero e proprio storico da consultare in caso dovesse verificarsi un incidente di sicurezza. Dal punto di vista delle Threat intelligence, attraverso la gestione dei diversi log, provenienti dai sistemi, dai dispositivi di rete, dagli antivirus, dai sensori IPS e IDS, firewall ed ecc…, è possibile farsi un’idea sui principali attacchi sferrati contro l’azienda senonché i possibili indicatori di compromissione da tenere in considerazione durante la gestione di alcuni incidenti e le successive valutazioni anche di tipo strategico. È importante sottolineare in questa fase, tanto quanto nelle altre, l’importanza del continuo monitoraggio: purtroppo, non è possibile adagiarsi sugli allori, un sistema oggi funzionante potrebbe essere compromesso domani. Lo stesso discorso potrebbe riguardare proprio le fonti del SIEM: vanno costantemente aggiornate e valutate rispetto al contesto, le minacce e alle vulnerabilità.         

Compresa bene quella che è la Cyber Threat Intelligence e la sua struttura, si analizzano brevemente quelli che sono i principali modelli di analisi da usare in questo ambito:

Attack Tree: gli “alberi di attacco” sono dei diagrammi concettuali che permettono di costruire, in modo accurato, uno schema visivo e chiaro riguardo a tutti quegli step offensivi, che servono ad un offender, per raggiungere un obiettivo finale. In altre parole, la logica è la seguente: se si riuscisse realmente a simulare il ragionamento e il modus operandi dell’attaccante, con le sue relative fasi, si potrebbero studiare delle contromisure atte a impedire o a limitare i danni derivanti dalle sue azioni. In altre parole, dal punto di vista del difensore, gli “alberi degli attacchi” forniscono una visione grafica e di facile intuizione, riguardo il modo in cui le azioni offensive potrebbero svilupparsi, consentendogli inoltre di poter stimare in maniera probabilistica quali percorsi o attacchi potrebbero avere la meglio rispetto ai suoi sistemi difensivi. In aggiunta, per raggiungere lo scopo, è altresì importante considerare quali e quanti step debbano essere eseguiti e superati dal malvivente per raggiungere il suo scopo. Il software “AttackTree” è un ambiente utilissimo per poter fare delle considerazioni di questo tipo, constatato il fatto che permette di definire inoltre degli indicatori che quantificano il costo dell’attacco (in termini di massimi benefici al minimo costo).

Cyber kill Chain: preso direttamente dall’ambito militare e poi mutato nell’ottica cyber, questo modello è utile a identificare tutti quei passi che sono necessari a un attaccante per metter in atto un piano criminale. Sviluppato da Lockheed Martin tanti anni fa, grazie a questo modello è possibile comprendere e analizzare, per esempio, come un attaccante sarebbe in grado di prendere il controllo di un dispositivo. Si elencano brevemente i suoi contenuti:

Reconnaissance: dopo aver identificato il bersaglio, l’offender cerca di ottenere più informazioni possibili riguardo quel target (attraverso uno studio approfondito su tutte quelle fonti, pubbliche e private, che riesce ad ottenere sul web ma non solo). Nel caso di un’azienda, per esempio, potrebbe ricercare qual è il suo sistema di sicurezza, il suo business centrale, o eventuali punti deboli da poter “exploitare” o usare successivamente (risorse umane comprese).

Weaponization: l’hacker dal cappello nero in questa fase non interagisce con la possibile vittima ma, piuttosto, prepara l’arma da usare: un documento infetto da allegare in un’e-mail, oppure un malware autoreplicante da diffondere attraverso una chiavetta usb; in generale qualsiasi mezzo che gli permetta di ottenere “un aggancio” da utilizzare in un secondo momento.

Delivery: sotto forma per esempio di phishing, in questa fase l’attaccante decide il mezzo attraverso il quale trasmettere il malware (vettore di attacco). Seppur da un punto di vista tecnologico le aziende si stanno attrezzando per identificare e bloccare questo tipo di minacce, si ricorda che la prima linea difensiva risiede proprio nell’essere umano e nella sua formazione.

Exploit: può essere spiegata come una vera e propria “detonazione dell’attacco”: una volta, per esempio, che il malware è riuscito a ottenere un’interazione con la vittima, spesso ciò accade con le e-mail di phishing cliccando sul link consigliato, lo stesso sfrutta una serie di vulnerabilità per manifestarsi e prepararsi per l’istallazione. Non molto tempo fa si usavano alcune vulnerabilità, per esempio, di Acrobat Reader per svolgere questa fase.

Installation: è il momento dell’installazione del malware nel sistema (il cosiddetto payload, viene scaricato e installato). In questa fase è altresì utile ricordare che non sempre serve l’installazione dello stesso per compiere un attacco informatico (un esempio è il “CEO”: un tipo di attacco di frode informatica che gioca sugli aspetti dell’inganno e dell’autorità).

Command & Control: il sistema è compromesso/infetto. Lo stesso hacker dal cappello nero in questa fase sarà in grado di inviare dati raccolti sennonché, con qualche difficoltà in più, prendere proprio il controllo della macchina.

Actions on objectives: giunto a questo punto, il nemico informatico può mettere in atto una serie di azioni per raggiungere i propri obiettivi. Ovviamente queste possono essere tantissime: effettuare dei “movimenti laterali” verso altri impiegati, distruggere i dati, cifrarli e chiedere un riscatto, compromettere l’intero sistema informatico dell’azienda.

Diamond model: rappresenta un forte strumento di analisi degli incidenti di sicurezza, già avvenuti oppure possibili, attraverso quattro principali pilastri interconnessi che aiutano a meglio comprendere un possibile evento di intrusione: avversario, infrastruttura, capacità e vittima. In altre parole, l’analisi consiste essenzialmente nel mettere assieme il “diamante” utilizzando un complesso di informazioni, raccolte secondo criteri specifici, per meglio comprendere la minaccia e il suo contesto. Si spiegano nel dettaglio:

Avversario: esistono una serie di possibili attaccanti (interni, esterni, individui, gruppi e organizzazioni e Stati) che cercano, secondo i loro obiettivi (attivisti, script kiddy, APT, insider threat ed ecc…) di compromettere i sistemi o le reti di un target specifico.

Vittima: è il bersaglio dell’avversario contro il quale lo stesso cracker cerca di trovare delle vulnerabilità da sfruttare. Essa non riguarda solo la singola persona o un’organizzazione ma tutto ciò che appartiene a loro: interessi, indirizzi IP, domini, account, social network, host ed ecc…

Infrastruttura: descrive le strutture di comunicazione fisiche e logiche, utilizzate dall’attaccante per raggiungere i suoi scopi, strettamente interconnesse alle sue capacità. Tra esse rientrano gli asset di identification, indirizzi IP, Providers, indirizzi e-mail, domini e threat & Enviroment manipulation.

Capacità: insieme di tattiche, tecniche, procedure e strumenti, utilizzati dall’avversario per raggiungere i suoi scopi. Ovviamente rientrano tutta una serie di casistiche che vanno dai metodi manuali di tipo non tecnico (la ricerca manuale delle password) a sofisticate e automatizzate tecniche di ricerca e attacco. In questo senso, rientra anche il temine di “arsenale dell’avversario”, ossia l’insieme di tutte le sue possibilità e potenzialità dell’attaccante.

Rispetto a ciò che è stato detto, bisogna anche tenere presente che esiste un modello esteso del diamante che comprende aspetti più socio-politici e tecnologici:

“The extended Diamond Model illustrates the unique Social-Political and Technology features. These features highlight special relationships between the Adversary-Victim

(through the social-political needs, aspirations, and motivations of the adversary and the

ability of the victim to fulfill those needs) and the Capability-Infrastructure (through the technology used to enable their communication).” [Sergio Caltagirone e Andrew Pendergast, “The diamond model of intrusion Analysis”, https://www.activeresponse.org/wp content/uploads/2013/07/diamond.pdf]

L’analisi delle ipotesi concorrenti: è un procedimento fondato su dei concetti base provenienti dalla psicologia cognitiva, dell’analisi di tipo decisionale e dal principio scientifico. Il metodo è fondato su otto step, attraverso i quali l’analista cerca di standardizzare un processo che possa agevolarlo nella valutazione. Si descrivono brevemente i suoi assiomi:

Individuare le ipotesi: quell’insieme di ragionamenti utili a spiegare un ipotetico fenomeno. Non quanto in questo caso è utile lasciarsi andare al flusso dei pensieri, sfruttando anche l’importante ruolo del pensiero laterale. Difatti, sarà utile stilare un insieme di ipotesi che possano essere in grado di spaziare dalla semplice supposizione ragionevole e pertinente, a quella più sperimentale e meno attinente. Questo è un ottimo esercizio per sforzare l’essere umano a pensare fuori dagli schemi tanto quanto superare i suoi principali bias cognitivi, cercando di prevedere più elementi possibili da valutare successivamente.

Elencare gli indizi: una volta definite le ipotesi, bisogna attribuire degli indizi o degli indicatori di compromissione che possano essere compatibili con le supposizioni elaborate. In questo caso le domande da porsi dovrebbero essere le seguenti: se dovesse essere questa l’ipotesi giusta, cosa dovrei aspettarmi di trovare? Cosa è potuto succedere per avere un indicatore del genere? Come spiegherei questo evento?

Anche in questo caso si consiglia di valutare bene l’importanza “dell’indizio”, poiché nel campo investigativo la presenza o la mancanza dello stesso assume un significato fondamentale: non sempre l’ipotesi corretta deve essere sostenuta dalla presenza degli indizi poiché potrebbe prevalere anche l’ipotesi contraria (nel caso per esempio di deception).

Correlare le prove o la loro mancanza alle ipotesi: attraverso una matrice che possa essere in grado di correlare meglio le due variabili tra di loro dando, allo stesso tempo, una buona visione d’insieme.

Perfezionamento del quadro d’insieme: con notevole cura e attenzione, si scremano le ipotesi meno probabili stando attenti a non lasciarsi condizionare da una singola teoria rispetto alle altre. In questo caso le domande da chiedersi dovrebbero essere le seguenti: a fronte degli elementi elaborati, è un’ipotesi valida e necessaria? Posso veramente farne a meno oppure può essere utile a qualche altra ipotesi?

Provare a trarre delle conclusioni relative: per ciascuna delle sezioni della matrice bisognerà valutare la probabilità di accadimento, non trascurando l’aspetto dell’azione umana o quella tecnologica e delle loro potenzialità.

L’analisi dei fattori critici: su tutto quelle ipotesi ritenute ancora valide, andrà fatta un’ulteriore scrematura su base delle ipotesi contrarie: ricercare ragioni negative o critiche che ne possano minare la fondatezza.

Rendere chiare le ipotesi più valide: insieme ad altri analisti, è utile esporre le ipotesi più valide motivandone, allo stesso tempo, le ragioni e gli sforzi effettuati per convalidarle. Non quanto in questo caso è importante confrontarsi con gli altri per avere un parere esterno che possa rafforzare o meno l’ipotesi sostenuta. Un consiglio in questo senso è quello di ascoltare con forte spirito critico, evitando di negare a priori tutto ciò che possa mettere in discussione le proprie elaborazioni.

Previsione e monitoraggio dello scenario: considerato l’intero percorso eseguito, con le sue correlazioni e i relativi ragionamenti, si sceglieranno quelle ipotesi che si reputano essere più pertinenti e probabili. Tenendo conto che anche in questo caso le conclusioni elaborate restano comunque relative; difatti è consigliabile tenere tutto il lavoro fatto sempre a portata di mano e valutare costantemente la validità delle ipotesi sostenute anche alla luce di nuovi possibili elementi o supposizioni che potranno emergere in un secondo momento.

Come è intuibile dalla complessità del metodo, elaborazioni del genere, per quanto utili, necessariamente devono tenere conto del fattore tempo. Una conclusione pertinente e precisa, ma non in grado di soddisfare in tempo quell’esigenza richiesta, risulta essere praticamente poco utile (se non completamente inutile in certe circostanze). Purtroppo, capita spesso ad un analista di dover saltare alcuni step per una questione proprio di tempestività di risposta. In questo caso, utile potrebbe essere stilare una vera e propria tabella di marcia da seguire. È anche vero che oggi dei ruoli fondamentali e di sostegno, in termini di risparmio di tempo e di energie, giocano l’intelligenza artificiale e i nuovi software di Cyber threat intelligence (es. Misp e Tip). Quello che è il rapporto dell’uomo con la tecnologia rappresenta ormai un legame indispensabile e strettamente interdipendente, l’uno non può fare a meno dell’altro, soprattutto quando nelle analisi i dati necessitano di un’attenzione specifica umana (che una macchina non riesce a simulare) e sono davvero tanti da elaborare e correlare (richiederebbe uno sforzo umano troppo grande e non minimamente paragonabili a quelli elaborati da una macchina).         

Una volta spiegati i principali modelli di analisi, con i loro relativi punti di forza, si conclude questo articolo con una serie di passaggi e consigli che un buon analista deve considerare per elaborare più oggettivamente possibile una data situazione.

Allo scopo di limitare quello che è l’errore umano del “Mirror imaging” ossia dell’inconscia sua convinzione che gli altri attori dovessero o potessero agire come lui, nonché anche della dissonanza cognitiva ormai conosciuta come bias della conferma, si suggerisce uno schema per poter elaborare più facilmente e oggettivamente il macrocosmo delle ipotesi chiave. Sulla base di quello che si esposto precedentemente si intuisce quanto le ipotesi necessitano di valutazioni post analisi utili, in certi casi, a colmare delle lacune o a delle “sviste cognitive”. In altri termini, vi è l’esigenza di “auto-verificare” il proprio lavoro, addirittura prima ancora di sottoporlo al double check con gli altri analisti. In virtù di questo obiettivo, si delineano brevemente quelle che sono le fasi da tenere in considerazione durante il controllo delle ipotesi chiave elaborate:

Controllo a posteriori delle notizie usate (elementi oggettivi) e delle fonti consultate (a sostegno della propria tesi);

Verifica dei fattori chiave rilevati e i collegamenti che tra di loro ci possono essere;

Chiedersi, di converso, quale potrebbe essere la contro-tesi rispetto alla conclusione elaborata;

Ricercare informazioni che possano confermare l’antitesi;

Trovare, se possibile, il modo di confutare l’antitesi con la tesi elaborata;

Concludere il processo di verifica con la conferma o meno della propria tesi.

Grazie a questo percorso sarà possibile limitare quelle che sono le eventuali lacune insite all’interno delle ipotesi chiave elaborate, ossia definire un quadro più chiaro a quelle che sono una serie di domande che l’analista, a posteriori, dovrebbe porsi:

Sono sicuro che la valutazione/ipotesi elaborata sia corretta?

In quali circostanze è possibile metterla in discussione?

È possibile che la valutazione/ipotesi possa non essere più valida nel breve periodo/lungo periodo?

Quanto un eventuale dubbio possa influire sull’analisi fatta?

In queste circostanze bisogna tenere a mente che molte ipotesi chiave possano rivelarsi delle incertezze chiave.

[Angelo Alabiso – Criminologo AICIS]