Il nostro viaggio nella cybersecurity prosegue… ma senza abbandonare la mente dell’hacker! Vi siete mai chiesti come fanno i cybercriminali a identificare e sfruttare le falle del sistema per portare a compimento i loro attacchi?
Nelle puntate precedenti, abbiamo visto le diverse tipologie di hacker, soffermandoci sulla motivazione che sta alla base delle loro azioni: non più la vanità e la reputazione, ma direttamente il denaro.
In un contesto del genere, è spontaneo chiedersi: come difendere la superficie d’attacco e da dove iniziare?
L’approccio che raccomandiamo vivamente è di iniziare dalla superficie d’attacco, ossia la “porzione” di rete che può essere esposta ad accesso e/o a modifiche da parte di utenti non autorizzati.
Cos’è la superficie d’attacco?
La superficie d’attacco in ambito IT è l’insieme dei sistemi esposti in una rete, i punti di ingresso e le vulnerabilità che potrebbero essere sfruttate da un potenziale attaccante. Ciò significa che la superficie di attacco di un’azienda non è altro che la somma totale dei sistemi server, workstation, varie apparecchiature connesse, infrastruttura IT, oltre agli utenti, che siano collaboratori esterni o fornitori che hanno accesso alla rete IT dell’azienda.
È essenziale conoscere e classificare tutti gli asset aziendali e identificare le rispettive vulnerabilità, per procedere successivamente alla loro chiusura, mediante un’accurata pianificazione.
Come insegna la storia, già ai tempi di Cesare, quasi due mila anni fa, i comandanti militari romani avevano capito che la difesa migliorava notevolmente se le formazioni restavano compatte, per esporsi il meno possibile al nemico.
Applicando lo stesso principio alle moderne infrastrutture IT, l’obiettivo è quello di ridurre al minimo le dimensioni della superficie di attacco; minore è l’ambito coinvolto, minore è la possibilità che un attaccante, un hacker o una minaccia informatica trovi un punto di ingresso e violi i nostri dati.
I cybercriminali studiano con attenzione e nei minimi dettagli il loro obiettivo.
In silenzio e con pazienza, verificano gli asset che compongono l’infrastruttura IT vittima e cercano un modo per sfruttare anche la più piccola debolezza, per poterla utilizzare ed entrare nel sistema. Ottenuto l’accesso, continuano la loro attività di raccolta delle informazioni per capire se ci sono ulteriori strumenti di difesa o di ripristino che devono essere neutralizzati. Solo quando hanno mappato l’intera infrastruttura della loro vittima, viene lanciato l’attacco vero e proprio, come, ad esempio, la cifratura o il furto dei dati.
In questo contesto diventa essenziale conoscere in dettaglio la superficie di attacco aziendale e attuare le misure necessarie per difenderla, applicando l’antico principio delle legioni romane: la compattezza.
Da dove possiamo iniziare?
Superficie d’attacco, come difenderla
L’approccio metodologico che adottiamo è quello della NIST Cybersecurity Framework, dove il primo passo è l’“IDENTIFY”, ovvero la mappatura dettagliata della superficie di attacco aziendale mediante l’identificazione e la classificazione degli asset che la compongono.
Si inizia con il Security Assessment, per identificare e classificare i sistemi aziendali in relazione alla Attack Kill Chain. Con un approccio Top-Down, si procede con un’attività di raccolta delle informazioni utile a identificare i sistemi e le principali aree di rischio, per poi validare la corretta adozione delle principali best practices di riferimento in materia di Security Design relazionandole alle Attack Kill Chain delle Security Zones coinvolte.
Vengono previste sia attività di intervista e raccolta documentazione, che attività puntuali di verifica configurazioni e test, svolte da risorse interne quali Consulenti Qualificati, Sistemisti Certificati ed Ethical Hacker riconosciuti.
Mediante attività sistemistiche e strumentali, si contestualizza la probabilità che eventi avversi possano avvenire e la relativa entità del danno che ne potrebbe derivare.
Con un approccio consulenziale, strategico e strutturato, il nostro Red Team emula l’approccio degli hacker, analizzando l’azienda e l’infrastruttura mediante tecniche e strumenti tipicamente in uso dai cybercriminali.
Vengono effettuate attività volte a completare la mappatura della superficie d’attacco e a misurare l’esposizione di informazioni riservate, per fornire una reale misura del fattore di rischio, utile a stimare i potenziali danni diretti che potrebbero derivare dalle azioni di attacco.
Le principali attività pianificate sono: il Vulnerability Assessment, il Penetration Test e il Threat Assessment che generano differenti report:
- report delle vulnerabilità riconosciute, le tecniche di attacco implementate e la relativa “resilienza” dell’infrastruttura, con un dettaglio delle informazioni riservate esfiltrate
- remediation Plan corredato di Executive e Technical Report, che contestualizzano le contromisure proposte e le motivazioni relative.
Difendere la superficie d’attacco: da quali asset è composta?
Utenti, collaboratori interni o esterni, oppure fornitori, possono essere vettori di attacco ampliando la superficie.
Nel 2021, per il terzo anno consecutivo, i report dei principali analisti di mercato confermano che oltre il 99% degli attacchi viene attivato dall’intervento umano. Si confermano, infatti, in costante aumento gli attacchi phishing e quelli malware inviati in modalità “spray and pray”.
Nello specifico, gli attacchi più mirati, che utilizzano degli URL per il phishing delle credenziali sono in crescita esponenziale.
Purtroppo, spesso, gli utenti non comprendono i fondamenti delle minacce, tanto meno l’impatto che può avere il loro comportamento sulle vulnerabilità dell’azienda.
Per assicurare un approccio mirato alla sensibilizzazione alla sicurezza, è necessario predisporre un’adeguata formazione tempestiva, completa, totalmente personalizzabile in base alle effettive esigenze dei diversi interlocutori (Security Awareness) con contenuti formativi coinvolgenti e stimolanti, sviluppati su princìpi pedagogici comprovati garantiscono i risultati ottimali.
Supportiamo le aziende nell’implementazione di piani formativi dinamici di Security Awareness con l’obiettivo di aumentare la consapevolezza negli utenti, identificando i rischi, cambiando i comportamenti e riducendo così l’esposizione.
In questo modo gli utenti diventano una solida ultima linea di difesa contro gli attacchi.
Come cambia la superficie d’attacco
La mutazione della superficie di attacco avviene in linea con l’evoluzione delle infrastrutture IT. Per questo motivo, è importante monitorare in modo proattivo i sistemi per proteggere i dati, salvaguardare la proprietà intellettuale ed evitare interruzioni nelle attività quotidiane, rilevando efficacemente possibili minacce e rispondendo rapidamente.
Lo strumento in grado di raccogliere centralmente le informazioni e analizzarle in tempo reale è il Security Information and Event Management (SIEM).
Utilizziamo le più avanzate tecnologie SIEM sul mercato per identificare, prevenire e investigare minacce nell’intera rete di computer, server, applicazioni, dispositivi e utenti, indipendentemente dal fatto che gli asset siano collocati nelle sedi o nei datacenter locali (on premise) dei Clienti o nel Cloud.
La tecnologia SIEM che mettiamo a disposizione si differenzia dagli altri strumenti sul mercato per la maturità, il design, i prezzi, la collaborazione con i fornitori terzi nella normalizzazione delle informazioni e l’uso delle tecnologie di Intelligenza Artificiale (IA) e Apprendimento Automatico (Machine Learning, ML) per la correlazione degli eventi.
L’importante quantità di informazioni raccolta dalla superficie di attacco viene trasformata in una vera e propria base dati di threat intelligence. Con il supporto della tecnologia di apprendimento automatico, i dati raccolti vengono ulteriormente analizzati e correlati, per rilevare in tempo reale le minacce cibernetiche interne o esterne, consentendo l’intervento tempestivo del team di sicurezza IT nella tutela del patrimonio aziendale.
Inoltre, la gestione dei Log è indispensabile per poter raggiungere gli obiettivi di conformità con le principali normative di sicurezza (GDPR, PCI DSS, ecc.).
Il SIEM è anche il punto di raccolta e archiviazione centralizzata dei log dell’infrastruttura IT e deve assicurare l’integrità, la riservatezza e la disponibilità dei dati collezionati.
Come accorgersi di una violazione alla nostra superficie d’attacco?
È importante tenere sempre monitorata lo stato della superficie di attacco. Come dicevamo in precedenza, una volta violate le prime difese aziendali e ottenuto l’accesso all’interno dell’infrastruttura IT, i cybercriminali non sferrano subito l’ attacco, ma continuano l’attività di raccolta delle informazioni (information gathering), con lo scopo di individuare e successivamente disattivare tutte le difese aziendali.
Gli hacker si muovono con circospezione, come i ladri nel mondo fisico, cercando di non generare rumore. Per questo motivo la loro permanenza all’interno delle aziende può essere molto lunga, a volte anche di svariate settimane.
Gli hacker si spostano da un sistema all’altro, in cerca di ulteriori vulnerabilità che consentano loro di ottenere accessi o credenziali con permessi elevati: i cosiddetti movimenti laterali.
Sulla base delle risposte agli incident occorsi negli ultimi anni, risulta che il dwell time, il “tempo di permanenza”, degli aggressori all’interno di un’azienda si sia accorciato di molto rispetto a qualche anno fa. La tempestività nel riconoscere eventuali tracce è quindi fondamentale e, per rilevare le attività riconducibili a un movimento laterale, è importante conoscere e monitorare gli elementi che sono coinvolti dalle tecniche che gli hacker utilizzano.
Le quattro tipologie di asset aziendali coinvolte da un movimento laterale sono: host, utenti, file e rete, sia on-premise che in cloud.
La tecnologia alla base delle attività di Incident Detection & Response è l’XDR, quale piattaforma che offre la possibilità di prevenire, rilevare, diagnosticare e respingere una vasta gamma di vettori d’attacco.
Alla piattaforma XDR è richiesta la capacità di diagnosticare in maniera autonoma ed automatizzata gli alert che riguardano host, file, utenti e rete, per rivelarne la causa e la portata, applicando le misure correttive necessarie.
La piattaforma potrà suggerire ed implementare azioni di correzione automatizzate e altamente personalizzabili per gestire le minacce secondo le proprie preferenze.
La piattaforma XDR da sola non basta
Nella cybersecurity è imprescindibile l’intervento umano: contano competenze e tempestività. Le aziende hanno la necessità di implementare un SOC (Security Operation Center) attraverso le risorse interne o affidandosi a partner tecnologici specializzati in cybersecurity.
Il nostro Cyber SOC mette a disposizione delle organizzazioni un team di professionisti certificati, altamente specializzati ed esperti di sicurezza informatica dedicati al monitoraggio, rilevamento (Detection), indagine (Analysis) dell’intera azienda e definizione delle azioni in risposta (Response) alle minacce.
In base alle esigenze specifiche, la correzione delle minacce (Remediation) può essere eseguita in autonomia dal Cyber SOC Team, oppure in collaborazione con il personale IT interno.
Il nostro Cyber Security Team assiste quindi le organizzazioni nel monitoraggio della superficie di attacco, analizzandone costantemente la composizione, l’infrastruttura su cui si appoggia, l’ambiente di rete e le varie tecnologie coinvolte, per scongiurare sia il primo breach che il movimento laterale.
A cura di: Team Security Lantech Longwave
Seguici sul prossimo Cybersecurity PODS!
Torna alla puntata precedente
