Cyber Warfare, Information Security, Tutorial

Come non rispondere ad un attacco cibernetico

Uno specialista di incident response, che stava indagando su una violazione subita di recente da una società di servizi governativi, era convinto che l’attacco che stava esaminando fosse opera di un gruppo di hacker cinesi. […]

Uno specialista di incident response, che stava indagando su una violazione subita di recente da una società di servizi governativi, era convinto che l’attacco che stava esaminando fosse opera di un gruppo di hacker cinesi. La tipologia di malware rilevata, infatti, era comunemente associata a quella tipologia di aggressori, così lo specialista ha concentrato i suoi sforzi sulla rimozione e sull’analisi del malware, perdendo però di vista il vero pericolo: gli attaccanti, nel frattempo, avevano abbandonato l’uso del malware ed erano passati all’invio di comandi agli strumenti di amministrazione dell’azienda vittima dell’attacco.

Quello è stato un classico caso di risposta agli incidenti con “visione a tunnel” che ha lasciato l’azienda vittima alla mercé degli aggressori mentre il team di incident response era distratto. “Sfortunatamente, l’analista aveva adottato una visione a tunnel e, a causa di ciò, non ha valutato l’incidente secondo uno spettro più ampio rispetto a quello che credeva rappresentato dal malware di questi aggressori cinesi”, dice Shane Shook, global consulting VP di Cylance, società che ha scoperto il problema dopo essere stata ingaggiata dall’azienda vittima per effettuare una revisione delle indagini sull’attacco subito.

È facile trarre conclusioni premature in merito agli attaccanti e alla tipologia di attacco nelle fasi iniziali della scoperta, ma giungere troppo presto ad un giudizio o rivelare le tue intenzioni agli aggressori può comportare serie conseguenze, affermano esperti di incident response e analisi forense. Attaccanti sofisticati, come quelli moderni, possono modificare rapidamente il malware utilizzato e mascherare con astuzia i propri movimenti qualora comprendano di essere stati scoperti.

“Ciò che la maggior parte delle aziende fanno è reagire in modo eccessivo, indirizzando tutti i loro sforzi su un aspetto dell’incidente senza guardare a ciò cui dovrebbero realmente guardare” – dice David Amsler, presidente e CIO di Foreground Security – “e, peggio ancora, non hanno un manuale di istruzioni per la risposta. Molto avviene in maniera pressoché casuale ed è lì che nasce il problema”. Amsler, Shook e altri esperti di sicurezza affermano che ci sono cose che non si dovrebbe mai fare a fronte di un attacco cibernetico.

Allora, ecco uno sguardo ai tre principali errori che le aziende commettono a fronte di un attacco informatico.

 

Uno: assumere che si tratti di un APT

Con la Cina e il fenomeno APT (Advanced Persistent Threat) ormai fissi nell’inconscio delle aziende al giorno d’oggi, non sorprende affatto che molte di queste siano portate a classificare un attacco come APT quando scoprono di essere state infiltrate. Purtroppo non è così semplice identificare l’aggressore in caso di attacco informatico e, in ogni caso, l’incident response non è focalizzato sull’identificazione dei singoli attaccanti, afferma Shook. “Lo vedo accadere spesso” – dice Shook in merito alle aziende che classificano erroneamente un attacco come cyber spionaggio – “un messaggio email di phishing diretto all’indirizzo di segnalazione di un sistema di command-and-control (C&C) non è certo tipico di un attacco persistente a lungo termine, bensì è molto più attribuibile ad un attaccante spinto da motivazioni di tipo finanziario”. Continua Shook: “Bisogna esaminare le evidenze disponibili attraverso una visione più obiettiva”.

In caso contrario, le evidenze chiave e l’attività realmente malevola possono passare inosservate e causare ulteriori danni. In merito all’incidente subito dall’azienda di servizi governativi sopra citata, nel quale nessuno si era accorto dell’uso fraudolento degli strumenti di amministrazione, Shook racconta che la sua azienda, nel corso dell’investigazione, ha trovato ben tre campagne di analoghi gruppi di aggressori che avevano infiltrato l’azienda vittima. “Essi appartenevano generalmente allo stesso modello di azione, ma avevano finestre temporali sovrapposte” – racconta. Gli aggressori avevano preso il controllo di comuni strumenti di amministrazione per agevolare il prelievo delle informazioni e, racconta ancora Shook, “gli altri gruppi di aggressori erano più persistenti e il team di incident response non li ha rilevati. Essi avevano ottenuto il controllo e l’uso delle infrastrutture del cliente”.

In aggiunta, agenti di minaccia provenienti da Russia, Brasile, Messico, Pakistan e Stati Uniti stanno imitando sempre più alcuni dei metodi di attacco e di cyber spionaggio tipici dei cinesi. “In qualità di aggressore con intento malevolo, l’imitazione delle TTP (Tactics, Techniques and Procedures) di qualcun altro è senz’altro una forma di offuscamento della mia identità” – dice Shook. Trent Healy, senior security consultant di Foreground Security, afferma che oggi non si può fare affidamento solo sugli indicatori di attacco. “I sistemi C&C diventano sempre più complessi… gli aggressori utilizzeranno probabilmente un set di comandi C&C per attuare alcune campagne, mentre ASN (Autonomous System Numbers) limitrofi potrebbero rappresentare attività malevole del medesimo attore. Il primo C&C è la testa di ponte, l’altro è quello che non vogliono che tu veda” – dice Healy.

 

Due: non monitorare il traffico di rete

Nessuno può completamente evitare di subire una violazione da parte di un aggressore sufficientemente determinato e preparato, questa è la realtà nuda e cruda di oggi, ma la reazione comune di un’azienda violata è quella di chiedere quale patch o quale strumento mancante ha consentito l’attacco, osserva Tom Cross, direttore della ricerca di sicurezza in Lancope. “La domanda che pongono è «come posso investire in misure preventive migliori affinché questo tipo di violazione non ci accada nuovamente in futuro?». Beh, questo processo ha un senso, ma fino ad un certo punto” – spiega Cross – “nessun processo né alcuna patch possono davvero impedire un attacco zero-day, lo sfruttamento di una vulnerabilità per la quale non esiste ancora una patch o qualcosa che è stato studiato per eludere il sistema antivirus e i dispositivi IPS e IDS”.

Cross ritiene che un atteggiamento mentale di sola prevenzione è limitativo. “Devi essere in grado di guardare all’interno del perimetro, a cosa sta succedendo dentro la tua rete. Ci sono incidenti che le aziende vittima stanno rilevando e che non possono prevenire attraverso il vulnerability management” – dice – “Il modo per bloccare questi attacchi sofisticati e mirati, o addirittura interromperli nelle prime fasi del processo, è costituito dall’incident response nonché dall’analisi e dalla comprensione di quanto è più possibile sugli attacchi”. Questo richiede un certo bagaglio di competenza e capacità di incident response, ma anche l’adozione di precisi metodi come il ricorso a NetFlow per monitorare le comunicazioni di rete. “Il traffico NetFlow è molto meno oneroso da memorizzare, così è possibile archiviare uno storico maggiore dei pacchetti di rete catturati a parità di spazio di archiviazione” – dice – “In modalità Full Packet Capture, NetFlow archivia ogni singola cosa che accade sulla rete, anche il traffico lecito”.

Ma la maggior parte della aziende non attua un monitoraggio adeguato: “Molte aziende non sono preparate perché non hanno la capacità di rispondere rapidamente e adeguatamente” – dice Amsler. Il mantenimento di un log di audit aiuta nell’analisi e nella soluzione dei problemi quando l’attacco viene scoperto. “La domanda successiva è: che cosa è successo fra il momento della compromissione del sistema e il momento del suo spegnimento? Che cos’altro è successo? Queste sono domande basilari alle quali molte aziende non hanno alcun modo di dare risposta” senza il monitoraggio del traffico di rete, dice Cross. Il monitoraggio del traffico NetFlow può aiutare nella tracciatura delle minacce interne e della propagazione di infezioni da malware, dice – “Disponi di una registrazione delle comunicazioni di rete del tuo ambiente che possono essere messe in correlazione con dati di IP intelligence e per identificare i sistemi infetti”.

Amsler sostiene che anche alcune delle più grandi aziende non controllano adeguatamente il proprio traffico di rete affinché le possa aiutare nei loro processi di incident response. “Stiamo assistendo ad una maggioranza di casi in cui i clienti non dispongono della cattura dei pacchetti NetFlow. Forse stanno inviando log al proprio sistema SIEM, ma non dispongono del tempo e della preparazione necessari per archiviare le informazioni ed utilizzarle” – sostiene in ogni caso – “Abbiamo ricevuto la chiamata di due diversi clienti piuttosto grossi perché erano stati violati e non sapevano cosa fare” – dice – “Il più grande e fondamentale ostacolo era costituito dalla loro scarsa preparazione, perché non attuavano un monitoraggio”.

 

Tre: concentrarsi solo sul malware

Le aziende violate spendono un sacco di tempo e risorse per la pulizia dal malware invece che sulla mitigazione delle minacce primarie. Secondo Shook, virus e malware sono un fastidio e rappresentano un rischio, ma hanno certamente una priorità inferiore rispetto all’esigenza di determinare se si è verificato un sabotaggio, un furto di informazioni o un altro tipo di danneggiamento a più lungo termine. “In secondo luogo, è stato manipolato il profilo utente? E terzo, è consentito o attuato il movimento laterale per gli utenti?” – dice Shook, che posiziona in fondo alla lista l’individuazione di eventuali strumenti malevoli.

Amsler consiglia di non inviare immediatamente il campione di malware rilevato su VirusTotal o altri servizi gratuiti di scansione antivirus perché alcuni attaccanti tengono sotto controllo queste attività e potrebbero quindi riorganizzarsi e variare i propri modelli d’azione. “E non spegnere i sistemi infetti, altrimenti il team di incident response perderà tutti i più importanti dati a disposizione” – aggiunge. Gli aggressori più avanzati stanno sicuramente monitorando le operazioni per verificare se sono stati rilevati, quindi l’ultima cosa che devi fare è comunicare loro che sono sotto osservazione: “gli aggressori stanno a guardare, aspettano e sanno quando tu ti accorgi che esistono, quindi cambiano i loro modelli” – dice Amsler.

Concentrarsi principalmente sul malware in un attacco informatico equivale ad un medico che si preoccupa di curare i sintomi e non la malattia vera e propria, dice Amsler – “Se ci si preoccupa solo di trattare l’infezione da malware e non si guarda alla causa principale, a come essa si muove lateralmente e infetta altre parti del corpo, allora non puoi determinare quanto grave sia la malattia per il tuo ambiente”.

Non dare per scontato che, solo perché hai ripulito l’ambiente da un’infezione, allora sei al sicuro da qualsiasi ricaduta: gli aggressori avanzati hanno spesso più di una strada per introdursi nell’azienda obiettivo, non solo il malware. “Purtroppo, a causa della scarsa esperienza, molte persone ritengono che una volta identificato il malware, non vi siano rischi residui,” – dice Shook – “ma il malware è solo una delle attività iniziali per ottenere l’accesso. Non puoi limitarti solo all’identificazione e alla rimozione del malware”.

Tratto da: 3 Big Mistakes in Incident ResponseDark Reading

 

Ettore Guarnaccia

 


Print Friendly

Informazioni su Ettore Guarnaccia

Blogger indipendente, scrive di social media, information security, cyberwar e web, elaborando ed analizzando le informazioni del settore, fornendo la propria visione, la propria analisi e il proprio contributo all'aumento del livello generale di consapevolezza del pubblico. Si interessa e scrive anche di osservazione sociale, comunicazione e media, con un occhio particolare all'evoluzione interiore e spirituale dell'essere umano. Nella vita è un professionista di Information Security certificato dai più importanti istituti internazionali, consulente e formatore, specializzato in Information Security Governance, Risk Management e Compliance, esperto di tecnologie ed architetture informative e di comunicazione, opera da anni nel settore ICT ed è stato Information Security Officer di un importante gruppo bancario internazionale. Studia e coltiva da anni la conoscenza delle infrastrutture e dei servizi di Internet e del Web, l'uso avanzato di HTML, JavaScript, PHP, CSS e le più moderne tecniche di branding, web design e comunicazione efficace. Per ulteriori informazioni consultare la pagina del suo background oppure il suo profilo professionale su LinkedIn. Ciò che scrive rappresenta la sua personale visione del mondo che ci circonda, niente di più.

Lascia un Commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

È possibile utilizzare questi tag ed attributi XHTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>