Cybercriminali, ecco perché dovremmo imparare da loro – Contenuto esclusivo a cura di Yaroslav Rosomakho, Field CTO, Netskope
Mentre la classe manageriale diventa sempre più consapevole delle minacce informatiche che colpiscono le reti ogni giorno, molti nutrono ancora un’immagine antiquata dei cybercriminali. C’è chi li immagina ancora come loschi individui, che lavorano da soli incappucciati in uno scantinato, perché è in questo modo che la maggior parte della stampa li rappresenta.
La realtà è che, a oggi, molti autori delle minacce non sono dei “semplici” furfanti, anzi: fanno parte di gruppi sofisticati e organizzati, che collaborano con altri gruppi all’interno di un più ampio ecosistema di specialisti. Questi gruppi accumulano nel tempo risorse economiche significative – denaro che deriva dai proventi di attacchi destinati ad attività commerciali, oppure da Stati che sponsorizzano o commissionano direttamente a questi cybercriminali gli attacchi.
Questi soggetti utilizzano tali risorse per migliorare i loro attacchi successivi, pagando infrastrutture o persino corrompendo i dipendenti dell’azienda bersaglio al fine di garantirsi un punto d’accesso iniziale.
Capire come lavorano questi gruppi di attaccanti non è solo interessante, ma fornisce anche informazioni inestimabili che possono aiutare le aziende a rafforzare la loro sicurezza. Sapere cosa motiva gli attaccanti, come pensano e lavorano, e quale potrebbe essere il loro nuovo obiettivo, garantisce un vantaggio in termini di prima linea di difesa, di pianificazione della strategia e – a mali estremi – di gestione dell’evento.
Cerchiamo di apprendere come agiscono i cybercriminali.
1) I cybercriminali collaborano e questo consente loro di diventare degli specialisti. Basta un giro di shopping nel dark web per scoprire che vi sono singole persone o team che affinano le loro capacità su specifici elementi della kill chain d’attacco. Esistono team che si occupano esclusivamente di password spraying, altri specializzati nel primo accesso, altri ancora in grado di gestire un attacco ransomware per qualsiasi “cliente” pagante. Si riuniscono in gruppi d’attacco in costante evoluzione (da qui, anche l’evoluzione dei nomi sempre molto strani), e ogni volta modificano l’etica e l’approccio del gruppo per rispecchiare dibattiti interni e lotte di potere.
Cosa possiamo imparare da questo? Oltre all’importanza della threat intelligence per tenersi aggiornati su trend e nuove minacce, possiamo imparare che la collaborazione è uno strumento potente. Se i team di sicurezza fanno rete e condividono le informazioni – e sono pronti a lavorare con i competitor nell’interesse di tutti – allora anche noi possiamo diventare agili, ben informati e preparati. Questa collaborazione è fondamentale anche all’interno dell’azienda. Troppo spesso i tool di sicurezza sono sconnessi tra loro e non forniscono ai team quella panoramica necessaria a rilevare la kill chain di un attacco multi-vettore. Per poter interrompere attacchi ben organizzati, i team di sicurezza devono garantire che i loro tool siano strettamente interconnessi e che possano condividere le nozioni rilevanti, come gli indicatori di compromissione, in tempo reale.
2) Gli attaccanti utilizzano l’infrastruttura cloud per sferrare i loro colpi. E lo fanno per un paio di motivi. L’infrastruttura cloud è intrinsecamente agile; gli attaccanti possono avviare la loro infrastruttura in modo rapido ed economico, per poi smantellarla e ricominciare, nel caso l’operazione risultasse compromessa. Inoltre, sono attratti dal fatto che, utilizzando gli stessi servizi in cloud delle organizzazioni a cui puntano, possono camuffarsi agli occhi di tecnologie di sicurezza datate. La sicurezza tradizionale non è in grado di distinguere i componenti vitali di Microsoft Office 365, così come le istanze di Microsoft Teams che l’organizzazione stessa ha approvato, e gli account di terze parti… quindi, se gli attacchi provengono dal cloud, gli autori possono passare inosservati attraverso le porte aperte.
Cosa ci insegna questo? Che la cloud security è necessaria sia per la sua scalabilità che per il vantaggio in termini di costi, e perché così la tua sicurezza è molto meglio equipaggiata per individuare un attacco. Occorre applicare un approccio Zero Trust non solo all’accesso alla rete, ma anche alla cloud security e alla protezione dei dati.
3) I malintenzionati si reinventano. Molte aziende guardano all’innovazione come qualcosa di intrinsecamente rischioso e, indubbiamente, quando si provano nuovi approcci, c’è il problema delle nuove esposizioni a rischi. Tuttavia, è vero anche il contrario. Se i tuoi sistemi, tool e practice non sono aggiornati, allora i cybercriminali che ti hanno preso di mira supereranno le tue difese. Questi attori cambiano costantemente il loro approccio e modello di business; qualche anno fa non sapevamo nemmeno cosa fosse un ransomware e, mentre ora domina le discussioni sulla sicurezza, gli attaccanti stanno già abbandonando l’originale modello del “paga per riavere i dati decrittografati”, per passare a nuove forme di ricatto, come la minaccia di esposizione pubblica dei dati sottratti. Se ci distacchiamo dal contesto e valutiamo la prima metà del 2022 in modo retrospettivo, è molto probabile che individueremo una sorta di oscillazione tra ransomware e attacchi finalizzati all’interruzione dell’attività, il che riflette quindi un quadro di motivazioni cambiate che rispecchia la geopolitica attuale. Di fronte a questa innovazione, non possiamo solamente difenderci. È necessario restare aggiornati sui trend delle metodologie di attacco, tentare di essere previdenti e identificare le vulnerabilità prima che gli attaccanti le sfruttino, in modo da risolverle. Basterebbe migliorare l’igiene della gestione delle patch oppure costruire proattivamente una migliore visibilità sugli “angoli più nascosti” dell’ambiente IT (mi riferisco in particolare all’utilizzo non autorizzato del cloud!). Inoltre, potrebbe essere utile sostituire le appliance di sicurezza on-premise datate (con i loro lunghi cicli di aggiornamento e upgrade) con servizi di cloud security moderni, che evolvono costantemente le tecniche di rilevamento degli attacchi e di mitigazione, utilizzando tecnologie moderne come l’AI basata su ML.
4) Gli attaccanti sono ben finanziati. Abbiamo visto che le fonti di introiti da cui i cybercriminali attingono sono diverse. Alcuni attaccanti guadagnano in modo “tattico” grazie ai proventi del ransomware, oppure tramite negozi sul dark web dove si vendono dati o servizi d’attacco specializzati. Altri assumono incarichi regolarmente “retribuiti” a livello nation-state; a ogni modo, chiunque sia dietro le linee nemiche, comprende benissimo il collegamento tra denaro e risultati. Io credo che occorra sempre far comprendere ai propri stakeholder quali fondi si celano dietro agli attaccanti da cui ci si sta difendendo. Nemmeno un ragazzino che sferra attacchi dal suo garage lavora gratuitamente. Gli attacchi sono un affare enorme (infatti, Cybersecurity Ventures prevede che i danni globali da cybercrimini raggiungeranno i 10,5 trilioni di dollari americani annui nel 2025, ovvero ben oltre i profitti derivanti dal commercio mondiale di TUTTE le principali droghe messe insieme). Talvolta è necessario alzare un polverone per accaparrarsi una parte del budget di sicurezza, dimostrando alla propria organizzazione quanto sia costoso risparmiare sulla protezione (qui alcuni suggerimenti utili sull’impatto di un evento di perdita dati). Investire nella protezione non deve mai trasformarsi nell’elemosinare fondi, perché spendere il giusto sulla sicurezza informatica consente di raccogliere frutti in altri centri di costo.
5) La maggior parte degli attaccanti è opportunista. Quanto detto finora fa pensare agli attaccanti come soggetti altamente calcolatori e molto focalizzati, ma la realtà è che molti sono incredibilmente opportunisti. Spesso trovano le loro vittime cercando delle opportunità semplici. Impara quindi a non essere un bersaglio facile. Tieni porte e finestre sbarrate e, con tutta probabilità, gli attaccanti si rivolgeranno verso un obiettivo più semplice da colpire. Alla stragrande maggioranza non importa la tua organizzazione, ma il tuo denaro. Per evitare di essere una loro vittima, devi semplicemente evitare di essere l’obiettivo più semplice, quindi una buona igiene informatica è sempre la chiave. Non ha alcun senso spendere una fortuna in firewall costosi e VPN se poi i tuoi dipendenti lasciano aperti i loro Google Docs e i bucket AWS nel cloud.
Quando parlo degli attori di minacce, evito sempre il termine “hacker”. È una denominazione impropria, che non ha nulla a che fare né con chi si identifica con questo termine sebbene non svolga alcuna attività nefasta, né con le organizzazioni malevole che esistono per fare danni. Esattamente come la figura misteriosa incappucciata che si vede nelle immagini ormai abusate, il termine “hacker” crea una visione datata e inutile di quello che esattamente noi professionisti della sicurezza stiamo combattendo.
La prossima volta che i tuoi stakeholder parleranno di “hacker” e staranno pensando a qualche nerd che opera in solitudine dallo scantinato, cogli l’occasione per spiegare loro chi sono veramente questi criminali e aiutali a imparare qualcosa di più su questi cyber-criminali al fine di proteggere di più la tua azienda.