“Chi non si prepara è destinato a fallire“. Gli hacker lo sanno bene, come chiunque altro. Ecco perché dedicano un’intera fase di ogni attacco informatico alla sua preparazione. Questa fase è conosciuta come ricognizione.
Proprio perché gli attaccanti si preparano, le aziende dovrebbero essere altrettanto preparate per affrontarli.
Per ricognizione si intende la fase iniziale di un attacco, quando gli attaccanti acquisiscono familiarità con un’organizzazione, raccogliendo informazioni per scoprire le sue debolezze e per identificare dove concentrarsi per ottenere un punto di ingresso. Alcune delle domande che un malintenzionato si pone durante la ricognizione sono: Chi sono le persone chiave dell’azienda? Con chi lavora l’azienda? Quali informazioni posso trovare pubblicamente disponibili su questa realtà?
La preparazione dell’attacco consiste in un lavoro meticoloso, nell’andare a scavare nell’open-source intelligence (OSINT), ossia in fonti aperte e pubbliche, liberamente accessibili a chiunque. Più informazioni vengono scoperte, più è probabile che l’attacco avrà successo. Gli aggressori scandagliano siti di social media per familiarizzare con i dipendenti. Leggono articoli sull’azienda e i comunicati stampa. Cercheranno informazioni sui sistemi IT e OT. E non necessariamente limitano il loro campo d’azione all’azienda in questione: i vendor, i fornitori, chi si occupa della manutenzione, sono anch’essi possibili vettori di attacco.
Cercare le persone chiave è una parte importante della ricognizione – come si suol dire, gli umani sono l’anello più debole nella sicurezza. Ecco perché LinkedIn si rivela uno degli strumenti preferiti dagli hacker. Un dipendente target non deve necessariamente essere qualcuno in primo piano come il CEO. Gli attaccanti potrebbero concentrarsi su un nuovo assunto, ad esempio, che difficilmente conoscerà tutti i suoi colleghi e quindi sarà un buon bersaglio per le e-mail di phishing. O un obiettivo attraente può essere qualcuno che lavora su una tecnologia specifica.
La ricognizione è anche il periodo in cui gli attaccanti osservano la rete dell’azienda. Iniziano a sondare la rete per scoprire quali porte sono aperte, quali sistemi operativi, servizi e applicazioni vengono utilizzati e dove vengono rilevate le vulnerabilità.
Per un hacker prepararsi bene per un attacco è la chiave del suo successo e un attaccante motivato può impiegare molto tempo per farlo. Lo stesso vale per chi deve difendere. Essere preparati e avere un piano è la chiave per rimanere a galla quando viene rilevato un attacco.
La storia che F-Secure ha inventato di un attacco mirato a un’industria manifatturiera, The Hunt, contiene molti esempi di come gli aggressori preparano e pianificano meticolosamente ogni mossa e di come cercano di conoscere a fondo il loro bersaglio. Leggi questa storia su come viene pianificato un attacco mirato e in che modo gli hacker utilizzano le informazioni disponibili al pubblico per sfruttare le persone, i processi e la tecnologia di un’azienda.
Dopo tutto, se sai con chi ti devi confrontare, ti puoi preparare al meglio.
Categorie