La sindrome di Troia ed il modello di CERT 2.0
Al giorno d’oggi la sicurezza informatica pone una serie di sfide a tutte le organizzazioni che devono necessariamente tutelare le proprie infrastrutture digitali.
Il rischio concreto è che, specialmente le realtà più avanzate, possano adagiarsi su una falsa sensazione di inviolabilità che deriva dall’implementazione di procedure standard e strumenti convenzionali per la difesa del perimetro.
Nella quasi totalità dei casi, questi accorgimenti risultano tuttavia inadatti e non sufficienti a garantire una protezione completa, specialmente di fronte a minacce mirate ed innovative che rompono gli schemi sino a quel momento conosciuti. Volendo trovare un’analogia storica con questo falso mito di sicurezza, basta tornare alla leggendaria caduta di Troia.
La città considerata inespugnabile e già capace di resistere ad anni di assedio da parte degli eserciti greci, fu infatti costretta a capitolare in seguito ad un’intuizione di Ulisse. L’utilizzo del celebre cavallo di legno rappresentò per i troiani un’incognita davanti alla quale abbassarono la guardia e crearono loro malgrado i presupposti per la disfatta. Come spesso accade nel panorama digitale, la minaccia è stata infatti portata all’interno del perimetro dagli stessi difensori, ignari del fatto che nascondesse una grave insidia. Non a caso una delle principali categorie di software malevoli prende il nome di Trojan Horse, uno strumento utilizzato dai cyber-criminali per far breccia all’interno dei sistemi target, presentato alle vittime come un file legittimo, necessario ed inoffensivo. In questo senso il trojan agisce proprio come il celebre cavallo di Ulisse, facendo forza, da una parte sulla fiducia e l’inconsapevolezza della vittima, dall’altra sulla conoscenza delle difese standard e convenzionali adottate.
Le compromissioni digitali frutto di attività mirate, condotte nell’ambito di specifiche operazioni criminali, comportano per le organizzazioni colpite una serie di ripercussioni più o meno debilitanti che possono esporle a danni economici, d’immagine, disservizi, sottrazione e/o pubblicazione di informazioni sensibili e confidenziali e, in alcuni casi, persino alla cessazione delle attività.
Per portare un esempio, nei mesi scorsi ha destato senz’altro scalpore il caso Sony, poi ribattezzato Sony Hack. In particolare un collettivo di pirati informatici conosciuto come “Guardians Of Peace” (GOP) è riuscito ad intrudere la rete della divisione Pictures Entertainment del colosso giapponese, mettendo progressivamente le mani sull’intero network aziendale. Inizialmente e con troppa fretta attribuito ad individui nordcoreani vicini al Governo di Pyongyang, presumibilmente offesi dal film “The Interview” prodotto dalla stessa Sony, l’episodio è stato poi collegato ad un team di criminali russi, quasi certamente mossi da fini economici. Nel caso specifico, l’operazione è stata possibile grazie ad una minuziosa e capillare attività di compromissione di singoli dipendenti in India, Russia ed altri paesi asiatici, adescati con la tecnica dello spear-phishing con l’obiettivo di fargli installare inconsapevolmente dei RAT (Remote Administration Tool) nelle macchine della società. Anche in questo caso quindi il pericolo è stato portato all’interno del perimetro dalle stesse vittime, sicuramente colpevoli di eccessiva leggerezza ma anche poco aiutate dagli strumenti di rilevazione standard adottate nell’organizzazione.
L’aspetto sul quale è doveroso porre l’attenzione è senza dubbio quello della prevenzione e della consapevolezza circa l’evoluzione del panorama cyber-criminale e delle minacce emergenti. Gli stessi Computer Emergency Response Team (CERT), per come li conosciamo oggi, basano il proprio fondamento sulla risposta immediata a minacce digitali che vengono scovate all’interno delle infrastrutture dell’organizzazione o su sistemi perimetrali della stessa. Un’impostazione di questo tipo presenta inevitabilmente delle criticità che finiscono con l’impattare sulle realtà colpite. I dati dimostrano come l’approccio descritto sia quasi sufficiente per identificare ed in seguito bloccare attacchi digitali conosciuti e considerati “standard” ma al contrario del tutto inadeguato alla detection di offensive mirate alle organizzazioni o al proprio personale.
L’obiettivo da perseguire è quello di un’integrazione all’attuale schema operativo dei CERT, ancora fermo ai tre step di Detection, Analysis e Response.
Il modello ideale è quello di un Computer Emergency Response Team 2.0, più efficace, che estenda le proprie funzioni con attività di Cyber Defense intelligenti. L’approccio deve basarsi sulla convinzione che per identificare e bloccare in tempi opportuni una minaccia sia necessario applicare strumenti e soluzioni capaci di fornire forecast delle possibili insidie e dettagli circa gli autori delle azioni, i loro cyber armamenti e le strategie di attacco.
A questo scopo diventa indispensabile uno schema incentrato sul concetto di “prevenzione” che integri il discovery ed il tracciamento delle minacce digitali e metta in condizione gli analisti e le organizzazioni di avere, in anticipo rispetto agli eventi, un quadro informativo completo per essere preparati alle possibili conseguenze delle minacce emergenti. Ai tre step sopra citati dovranno quindi aggiungersi quelli di Threat Discovery, Preventive Defense Activity e Monitor Activity.
Tali attività dovranno essere in grado di approfondire ed informare i possibili target a 360 gradi anche per quanto concerne i diversi ambiti di business o di interesse in cui operano e le altre realtà attive negli stessi settori.
Avere questo tipo di informazioni risulterà decisivo sia in termini di prevenzione che per una tempestiva reaction volta a limitare considerevolmente le ripercussioni degli attacchi.
A cura di Emanuele Gentili, CoFounder & Partner – Chief Executive Officer – Tiger Security
Articolo pubblicato sulla rivista ICT Security – Marzo 2015
