La Threat Intelligence delle cyber minacce non è uno strumento riservato alle grandi aziende: tutti ne hanno bisogno, insieme a un piano di incident response.
Gli attacchi ransomware non sono le uniche minacce attuali alla cybersecurity delle aziende, ma sono quelli che fanno maggiormente paura perché il loro effetto è pratico e immediatamente tangibile, con sistemi bloccati e attività ferme. Per questo gli esperti Fabio Sammartino, Head of Pre-Sales Kaspersky e Giampaolo Dedola, Senior Security Researcher - GReAT – Kaspersky, hanno tenuto un webinar sul tema per far capire alle potenziali vittime (ossia tutte le aziende di qualsiasi dimensione e settore) come e perché si sviluppa un attacco ransomware e come prevenirlo.
Posto che tutti sono potenziali target di attacchi, ci sono alcuni obiettivi sensibili a cui gli attaccanti puntano con maggiore interesse. Giampaolo Dedola spiega che le vittime vengono selezionate in funzione dello scopo dei differenti gruppi: alcuni più orientati verso realtà economiche, altri su canali verticali come per esempio il retail, altri mirano ad un platea molto ampia. Quanto ai gruppi, quelli in grado di mettere in ginocchio aziende di grandi dimensioni, sono gli APT - storicamente gruppi sponsorizzati da stati nazionali. Alcuni, storici, si caratterizzavano per budget pressoché illimitati, personale con competenze tecniche molto elevate e strutture complesse. Sono loro ad avere alimentato la falsa credenza che gli APT attacchino solo entità di alto valore istituzionale e militare.
Storicamente è vero, ma i gruppi si sono evoluti e si sono adattati ai trend. Ora il termine APT si è esteso a una platea di attori che hanno minori disponibilità economiche e inferiori capacità tecniche, ma sono altrettanto pericolosi perché comunque raggiungono gli obiettivi preposti, pur usando strumenti commerciali o meno sofisticati.
Fabio Sammartino, Head of Pre-Sales Kaspersky
Detto questo, c’è un’altra divisione in sottogruppi: i gruppi che agiscono per spionaggio, quelli che mirano al sabotaggio, altri con finalità economiche. I primi impattano un’ampia platea di target, hanno motivazioni politiche, oppure economiche nel caso dello spionaggio industriale. Possono attaccare sia le grandi imprese sia piccoli studi di avvocati. La finalità di sabotaggio di solito è invece legata all’aspetto geopolitico, come i wiper usati in Ucraina e coinvolge poche realtà. Chi ha un target economico invece si scaglia spesso contro banche, exchange di criptovalute, e via dicendo.
In questo panorama, è chiaro che i target governativi sono una parte importante, ma i target privati lo sono altrettanto - in particolare quando si occupano di aspetti specifici come lo sviluppo di tecnologie per le imprese (produzione hardware, software, ISP, telco, energetiche) di ogni dimensione. Il ransomware è una intersezione fra cybercrime e APT. Gli attaccanti in questo caso sfruttano diverse metodiche dei gruppi APT, usano spesso gli stessi strumenti e impattano potenzialmente chiunque per incassare denaro. Gli attacchi ransomware a volte vengono portati avanti anche da attori APT per finalità geopolitiche.
Fabio Sammartino spiega che spesso le aziende vengono colte impreparate da un attacco informatico. Un attacco che non è necessariamente un ransomware, ma è su questo che si concentra il focus del webinar perché gli attacchi sono aumentati di numero, il mercato dei ransomware si è evoluto e ci sono gruppi specializzati in attività verticali come il furto di credenziali e nella costruzione del canale di accesso alle aziende, che poi vengono rivenduti sul dark web a gruppi specializzati nello spostamento laterale e cifratura dei dati.
Il relatore sottolinea la settorializzazione crescente di chi opera nel cybercrime, che è ormai un mercato dinamico a cui si affidano sempre più persone perché è profittevole e perché si è sviluppata un’economia attorno a questi attacchi.
Detto questo, la reazione tipica di un’azienda che ha subito un attacco è il panico. Una reazione dovuta principalmente al fatto che poche aziende sono pronte a fronteggiare un attacco ransomware perché sono prive di un piano di gestione della criticità – il cosiddetto incident response plan. Le grandi aziende mediamente ne hanno uno, le piccole raramente ne sono dotate, ed è in questo frangente che bisogna lavorare, dato che tutti sono potenziali obiettivi.
Giampaolo Dedola, Senior Security Researcher - GReAT – Kaspersky
Non è l’unico errore. Un altro molto comune è intervenire cercando subito di tornare produttivi, quindi prendendo le decisioni in funzione della necessità di ripristinare i sistemi il più velocemente possibile. È sbagliato perché si trascura l’importanza di comprendere com’è avvenuto l’attacco, com’è stato veicolato e avere la certezza che l’attaccante non possa essere ancora in rete quando i sistemi tornano online. Al contrario, la procedura corretta prevede di avere la certezza che la minaccia è stata contenuta ed eliminata prima di tornare operativi.
“Quando si arriva all’esecuzione di un attacco è perché sono accadute molte cose prima – argomenta Sammarino - È stato violato il perimetro, sono state identificate le vulnerabilità, l’attaccante si è presumibilmente mosso all’interno dell’azienda per qualche giorno o settimane – in alcuni casi l’esecuzione è molto veloce, in altri richiede più tempo”. Per bloccare questa successione di eventi occorre la Threat Intelligence, ossia la conoscenza dei gruppi cyber, di quali strumenti e tecniche utilizzano e l’applicazione di queste informazioni alla detection preventiva, che permette di evitare di trovarci di fronte all’esecuzione del ransomware.
Un mito da sfatare è che Threat Intelligence riguarda solo le grandi aziende. In realtà – sottolinea Sammartino – “riguarda tutte le aziende, PMI comprese. La Threat Intelligence fornisce elementi di informazioni e conoscenza sulle minacce e vulnerabilità, e di come le sfruttano i criminali per fare le loro attività”.
A fare la differenza fra la threat intelligence per PMI o grandi aziende è come questa viene veicolata sul mercato, in modo da rispondere a differenti esigenze. “C’è quella strategica orientata alle grandi aziende, c’è quella tecnica e tecnologica facilmente applicabile direttamente agli strumenti di protezione già in essere, che serve a operare immediatamente e ad essere ricettivi rispetto alla propria postura di sicurezza e identificare gli elementi deboli della propria infrastruttura, gli asset più attaccabili, o conoscere le principali vulnerabilità che determinati gruppi stanno utilizzando per poterle verificare e chiudere” perché non dimentichiamo che i cyber criminali del mondo ransomware si muovono e sfruttano anche la facilità di accesso, quindi chi è più vulnerabile diventa un obiettivo primario.
Giampaolo Dedola spiega come Kaspersky declina nei suoi prodotti la Threat Intelligence. “Applichiamo la Cyber Threat Intelligence per identificare le nuove tipologie di minacce. Facciamo raccolta e analisi di dati che provengono da molte sorgenti diverse, fra cui la telemetria dei clienti che hanno acconsentito a condividere dati anonimi. Raccogliamo codice dannoso, log di detection, IoC e altri dati che sono anche frutto degli accordi di scambio con altre aziende/organizzazioni, informazioni condivise da altri ricercatori, fonti open source e darknet. Tutte queste sorgenti vengono raccolte, analizzate, categorizzate, contestualizzate, quindi ci si concentra sugli eseguibili e su tutti i file malevoli in generale, aprendoli in sandbox per estrarre comportamenti, indicatori, log di analisi, stringhe, pattnern etc. Infine, grazie alla nostra esperienza associamo le minacce a particolari gruppi”.
È con questo percorso che si ricostruisce la catena d’attacco, si risale allo scopo e si effettua l’attribuzione. Questo porta a raccogliere materiali che migliorano la prevenzione e l’identificazione di attacchi futuri e che vanno a migliorare il prodotto e gli strumenti di monitoraggio e di cyber threat hunting in uso ai clienti.
Tutto questo significa che dietro alla Threat Intelligence c’è un ampio lavoro di analisi e condivisione, ma soprattutto che fruire dei benefici di questo lavoro consente realmente di bloccare sul nascere gli attacchi e a volte prevenirli, limitando i danni.