Analisi geopolitica a supporto della Cyber Threat Intelligence
Un approccio multidisciplinare per la previsione dell’attività di Threat Actors
Il cyberspazio oggi è a tutti gli effetti una dimensione reale, con effetti concreti anche sul mondo fisico come insegna ad esempio il caso dell’attacco alla rete elettrica Ucraina del 2015. Gli attaccanti, ottenendo prima credenziali amministrative tramite phishing, hanno lanciato un malware distruttivo su alcuni server di compagnie elettriche, causando un diffuso black out nella nazione.
Questo rende la cybersicurezza uno dei temi principali del nostro tempo, imperativa per tutelare gli interessi nazionali in un contesto in cui la cybersicurezza di uno stato non coincide più con quella dei suoi confini.
Per proteggersi dagli attacchi informatici, oltre a mezzi più storicamente conosciuti come protezioni perimetrali, protezioni per gli endpoint, messa a punto di processi adeguati ed altri, il trend degli anni recenti è anche l’utilizzo della cyber threat intelligence.
Una semplice definizione di cyber threat intelligence può essere il processo di acquisire, attraverso molteplici fonti, conoscenza su minacce ad un determinato ambiente. Include la raccolta e l’analisi di informazioni al fine di profilare possibili minacce cyber dal punto di vista tecnico, di risorse, di motivazioni e di intenti. E proprio sulle motivazioni esiste un punto di contatto con la geopolitica.
La geopolitica non ricade facilmente all’interno di un’unica definizione. Semplificando, e in modo non esaustivo, si può definire come disciplina che identifica le sorgenti, le pratiche e le rappresentazioni che permettono il controllo di territori e l’estrazione di risorse.
La chiave di lettura della geopolitica sono quindi gli obiettivi degli Stati ed i mezzi che essi utilizzano per raggiungerli.
Parlando di mezzi, Internet è diventato una alternativa all’interazione fisica per vari motivi: è più economico e subito disponibile, è presente il problema dell’attribuzione delle azioni, ed eventuali ritorsioni restano attualmente al di sotto della soglia delle forze armate, anche la NATO infatti parlando di risposta comune ai cyberattacchi resta sul dominio virtuale.
Considerando invece gli obiettivi, è chiaro che nessun attacco avviene senza un contesto, ossia uno specifico momento, in uno specifico ambiente e con una specifica motivazione. È dunque possibile sfruttare la conoscenza di tali motivazioni per cercare di predire quali possibili minacce potrebbero attivarsi, e nello specifico per l’ambito cyber quali state-sponsored actors potrebbero compiere operazioni nel prossimo futuro per sostenere quegli obiettivi. Ad esempio, esaminando il Five Years Plan cinese 2016-20206 in cui, tra le misure presenti, aveva un ruolo importante “Made in China 2025”, che aveva come obiettivo il miglioramento dell’industria interna cinese e il riuscire ad occupare un ruolo più ampio nella supply chain globale, si sarebbe potuto ipotizzare che diverse aziende occidentali sarebbero potute essere vittima di attacchi volti alla sottrazione di know-how e proprietà intellettuale in ambito produttivo.
Oppure guardando al più recente Five Years Plan 2021-2025, dove viene indicato come uno degli obiettivi l’aumento della capacità scientifica e tecnica del Paese, e unendolo col fatto che attualmente la Cina non è in grado di produrre in autonomia semiconduttori competitivi, si potrebbe supporre un’ondata di attacchi volti al furto di conoscenza in quei settori.
In questo caso la predicibilità si potrebbe pensare essere circoscritta solo ad un certo tipo di attori, gli state-sponsored actors ed eventualmente gli hacktivist, escludendo il cybercrime guidato dal solo profitto economico.
Ma eventi come l’arresto da parte del FSB russo dei membri del gruppo REvil, noto nel panorama del cybercrime per le grandi estorsioni tramite ransomware, può offrire informazioni interessanti se ben interpretato: potrebbe infatti essere un messaggio che la Russia invia ai gruppi del cybercrime attivi nel suo territorio, indicando che l’America non è un target strategico per gli scopi del governo, e questo potrebbe denotare un dirottamento di buona parte delle campagne verso Europa e Asia.
Questo livello di analisi può supportare due delle tre tipologie di intelligence ereditate dall’ambiente militare, nello specifico quella strategica e quella operativa.
La strategica, che consuma informazioni di più alto livello, ha lo scopo di consentire decisione informate da parte dei vertici di un’organizzazione, mentre l’operativa risponde a domande più tecniche come ad esempio il capire se la propria organizzazione offre superficie d’attacco per i vettori utilizzati solitamente dalla minaccia rilevata (TTP, Tactics, Techniques & Procedures).
Continuando il secondo esempio esposto in precedenza, sul recente Five Year Plan cinese, un’analisi che tenga in considerazione elementi geopolitici potrebbe inserirsi nella threat intelligence strategica di un’organizzazione produttrice di semiconduttori fornendo elementi per considerarsi un potenziale target e magari decidere di aumentare il budget per la difesa o di intraprendere altre iniziative in quella direzione. Nella threat intelligence operativa, invece, potrebbe far individuare in APT31 un probabile attcaccante, consentendo di andare preventivamente a verificare l’esposizione ai relativi TTP usati più recentemente dal threat actor.
Il livello strategico dovrebbe già prendere in considerazione i trend geopolitici, le policy di altri Paesi ed elementi affini come politiche economiche o eventi diplomatici, ma raramente questo viene effettuato con un occhio al mondo cyber.
Un approccio multidisciplinare che unisce geopolitica a cyber threat intelligence potrebbe quindi aiutare a profilare più accuratamente le possibili minacce e a stabilire in un dato periodo quali potrebbero più probabilmente attivarsi. Questa informazione può poi essere utilizzata per concentrare maggiormente la propria azione sui TTP legati agli specifici attori individuati come più attivi nel prossimo futuro.
Un aspetto da sottolineare è che l’analisi geopolitica non va ad interessare solo entità pubbliche o aziende partecipate o di enormi dimensioni. Visto il trend sempre maggiore di attacchi rivolti alla supply chain, sotto gli occhi di tutti dopo quello avvenuto nei confronti di SolarWinds, è un livello di analisi di cui può beneficiare qualsiasi realtà. Il caso SolarWinds è di fatto il case study per eccellenza degli attacchi alla supply chain: un threat actor è riuscito ad avere accesso ai server dell’azienda, presumibilmente tramite phishing e password molto deboli, ed ha installato una backdoor all’interno di un aggiornamento di Orion, prodotto della società utilizzato da migliaia di clienti nel mondo, tra cui FireEye che per prima si è accorta dell’anomalia.
L’analisi geopolitica può quindi aiutare a prevedere potenziali operazioni cyber future, visto come spesso gli eventi geopolitici sono replicati nel cyberspazio. L’esempio dell’attacco all’Ucraina citato all’inizio di questo contributo, per indicarne uno tra molti, ha infatti avuto luogo durante le tensioni tra Russia e Ucraina legate a Crimea e Donbass. Conoscere il panorama geopolitico ed avere consapevolezza di quello attuale può aiutare dunque a individuare trends e patterns, che possono trasformarsi in indicatori di minacce future. E non si limita soltanto a questo, in quanto può essere utile anche durante l’analisi di un cyberattacco attuale: conoscere lo stato geopolitico attuale può supportare nel capire le motivazioni dietro un attacco e nel tentare di attribuirlo a certi threat actors.
Un’analisi del tipo proposto richiede competenze e risorse che non tutte le aziende possono mettere in campo. Molte non possiedono le risorse per definire propri processi di cyber threat intelligence, tantomeno per dotarsi di servizi di analisi geopolitica. Sarebbe auspicabile che un servizio di questo tipo possa venire fornito dalla nuova Agenzia Nazionale per la Cybersicurezza, che potrebbe utilizzare analisi di scenari geopolitici provenienti dal Sistema di informazione per la sicurezza della Repubblica per creare alert più mirati da diffondere alle pubbliche amministrazioni e al settore produttivo privato italiano.
Continua a leggere o scarica il white paper gratuito “Quaderni di Cyber Intelligence #1“
Articolo a cura di Andrea Leoni
Andrea Leoni è cyber security manager presso una società multinazionale nel settore del credit and business information, è specializzato in governance e ambito GRC, con esperienza pluriennale di security advisory verso realtà nazionali ed internazionali. Già ricercatore di intelligence presso il Laboratorio di Intelligence dell’Università della Calabria, presso cui ha conseguito un Master di II livello in Intelligence, si è occupato anche di politica e geopolitica e del loro rapporto col dominio cyber.
Attualmente, presso la Società Italiana di Intelligence, è Segretario della Commissione Studi Cyber Threat Intelligence & Cyber Warfare.
