L’eterno gioco del gatto e del topo negli attacchi mirati
Tom Van de Wiele, Principal Security Consultant di F-Secure, alla domanda sul perché gli hackers cinesi avrebbero usato tattiche russe nel recente attacco mirato contro un’azienda di engineering nel Regno Unito, ha dato questa semplice risposta:
“Alcuni Stati usano attacchi di altri Stati perché funzionano.”
Quasi tutto ciò che riguarda il riproporre gli attacchi funziona a vantaggio dei criminali online. Questo è vero se sono supportati da uno Stato oppure no.
“Se gli attaccanti possono rubare gli uni dagli altri per ridurre i costi ed essere più efficaci, allora è quello che faranno“, ha detto. “Aggiungete che ciò fornisce un modo per negare la paternità dell’attacco o almeno la capacità di infangare ancor più le acque quando si tratta di attribuzione; ecco allora che rubare attacchi e metodi è solo una parte del modus operandi degli aggressori”.
Se l’unico obiettivo è migliorare le probabilità di successo e diminuire le possibilità di essere catturati, si andrà alla ricerca di qualsiasi vantaggio pratico.
“Ovviamente, alcune tecniche saranno preferite rispetto ad altre,” ha spiegato Tom. “Per esempio, gli aggressori preferiranno mantenere le loro persone e le infrastrutture in Paesi che non estradano. Questo potrebbe renderli più facili da rilevare anche se l’attribuzione è sempre una sfida“.
Tom chiama questo costante passaggio dall’una all’altra parte di attacchi e tattiche “il gioco intramontabile del gatto e del topo”. Quindi, come difendersi da questi attacchi generati dagli Stati? La tua rete non sarà un topo docile che aspetta solo di essere divorato da un gatto astuto?
“L’approccio difensivo in questo caso non differisce da qualsiasi altro approccio contro gli attacchi mirati.”
Ecco tutti i passi che Tom raccomanda a qualsiasi organizzazione:
Crea un modello di minaccia (o almeno una lista degli scenari peggiori)
“Non puoi proteggere tutto e certe cose sono più importanti di altre“, spiega Tom. “Scopri qual è l’elenco delle priorità e inizia a parlare di ‘cosa accadrebbe se…’ con i giusti stakeholder quando guardi gli attacchi di oggi e in che modo potrebbero influenzare la tua attività.”
In questo video, Tom spiega che pensare e agire come un aggressore può aiutarti. Guardalo per avere un’idea dell’approccio difensivo necessario per sapere su quali minacce deve concentrarsi la tua organizzazione:
Rileva e rispondi agli attacchi mirati
“Gli attacchi mirati non possono essere fermati ma l’avversario può essere costretto a commettere errori che possono permettere di rilevarli. Assicurati che i punti di rilevamento siano impostati nelle aree corrette e che il livello dei dettagli dei log sia sufficiente per essere in grado di gestire un incidente. ”
La protezione endpoint è una necessità. Ma non è sempre sufficiente per proteggere contro gli attacchi mirati. Broad Context Detection™ di F-Secure è progettato per offrire la visibilità di cui hai bisogno su eventi rilevanti sulla tua rete.
Aspettati una violazione
Non è più una questione sul “quando” sarai colpito. La domanda è: sarai pronto quando accadrà?
“Assicurati di aver eseguito le necessarie simulazioni di gestione della crisi e di risposta agli incidenti per sapere cosa fare, quando, come, da chi e quando intraprendere le azioni giuste nel momento in cui si tratta di identificare, contenere e mettere in atto altre azioni o modifiche che potresti dover apportare,” ha precisato.
Prevenire
“La maggior parte del malware arriva attraverso e-mail. I tuoi dipendenti che ricevono e-mail devono restare connessi a reti mission critical che contengono importanti asset aziendali o proprietà intellettuale?”
L’Incident Response Report di F-Secure dall’inizio del 2018 ha rilevato che il 34% delle violazioni è stato il risultato di phishing e allegati di posta elettronica dannosi.
“Separa entrambi i domini – raccomanda Tom – e assicurati il rilevamento di tutti i punti importanti. Gli allegati sono stati realmente richiesti da sconosciuti su Internet? O è proprio necessario aprirli? È possibile impostare metodi di scambio di file utilizzando risorse controllate dall’azienda per garantire che i dipendenti possano scambiare file con persone esterne all’azienda dalle quali si aspettano allegati? ”
E poi: “Quanti allegati MS Office stanno ricevendo i tuoi dipendenti inaspettatamente da qualcuno non collegato ai domini dell’azienda? Molto pochi. Per alcuni reparti potrebbe anche essere eccessivo che tutti i servizi di condivisione file che sono oggi disponibili possano essere gestiti e monitorati in modo economicamente efficiente “.
Informa e spargi la voce
I criminali informatici utilizzano la loro conoscenza della psicologia degli utenti per rendere gli attacchi più efficaci. Educando i tuoi utenti sulle tattiche per le quali è più probabile che finiscano per cadere vittime, puoi togliere ai criminali parte di questo vantaggio.
“Informa i dipendenti della loro responsabilità e di ciò che devono o non devono fare con la tecnologia che stanno utilizzando come parte del loro lavoro quotidiano“, sottolinea Tom. “Utilizza gli esempi che derivano dall’esito di prove regolari sulle tue difese attraverso test standard ed esegui test di read-team e coinvolgi i tuoi dipendenti nelle discussioni“.
Queste strategie non sono originali ma le aziende meglio difese in tutto il mondo le usano. E visti tutti i vantaggi che hanno gli hacker, puoi prendere in prestito alcuni trucchi.
Categorie