Threat hunting: una ricetta per la sicurezza difensiva basata sulle persone

C’è una persona dietro ogni minaccia, anche altamente automatizzata. E gli attaccanti di oggi stanno alzando sempre più l’asticella. Mentre la sicurezza informatica è una preoccupazione relativamente nuova per le organizzazioni, i difensori hanno molto da imparare dalla massima di Stanley Baldwin del 1932 “l’attentatore ce la farà sempre”. Arran Purewal, Senior Threat Hunter di F-Secure, esprime pensieri simili su come gli attaccanti umani battano costantemente le soluzioni altamente automatizzate su cui fanno affidamento troppe aziende.

“Le attuali difese informatiche spesso si basano su elevati livelli di automazione. Ma gli attaccanti umani sono nati pronti a innovare e ad affrontare le sfide in modo creativo, motivo per cui possono e continueranno a battere le difese automatizzate”, afferma. “Il più grande fallimento della prevenzione è che è diventato troppo dipendente dall’automazione: questo è un insegnamento importante per il nostro settore nel momento in cui incoraggiamo l’organizzazione ad adottare capacità di rilevamento e risposta”.

Basare le difese interamente su precauzioni di sicurezza automatizzate presenta diverse carenze. Molti team fanno troppo affidamento sul rispondere a ciò che è “cattivo” e ignorano ciò che è “sconosciuto”. Sconosciuto è come appare inizialmente una TTP (tattica, tecnica e procedura) nuova o innovativa. La compiacenza di rispondere solo a ciò che è notoriamente cattivo piuttosto che investigare in modo proattivo incognite e anomalie consente agli attaccanti che utilizzano nuove TTP di volare sotto i radar dei difensori.

“Lo sviluppo di nuove funzionalità di sicurezza che riproducono questo approccio non aggiungerà molto valore ai prodotti di protezione degli endpoint convenzionali, che già sappiamo non possono fermare gli attacchi mirati”, afferma Arran.

Il valore della sicurezza offensiva viene dai suoi professionisti

L’automazione si basa spesso su regole che determinano quando qualcosa non va e cosa fare al riguardo. Ma le minacce non giocano secondo queste regole. Per le organizzazioni questa è una lezione dolorosa da imparare da un attaccante. Ed è per questo che i servizi di sicurezza offensivi come il red teaming offrono alle organizzazioni informazioni preziose.

Il confronto tra la fornitura di difese informatiche e i servizi di sicurezza offensivi (come i test dei red team) fornisce un netto contrasto. I professionisti del red team useranno l’automazione come parte di ciò che fanno, ma i risultati reali non vengono prodotti automaticamente. Una scansione di vulnerabilità potrebbe essere utile durante un esercizio di red teaming. Ma spetta ai red teamer portare le cose al livello successivo.

“Il valore di un test di red teaming non deriva dal fare una scansione. Viene da un professionista con esperienza che usa le proprie capacità e intuizioni per simulare il modo in cui un attaccante esperto sfrutterà i punti deboli della sicurezza di un’organizzazione – tecnici o meno”, spiega Arran. “La sicurezza difensiva non ha sfruttato allo stesso modo i punti di forza dell’ingegno umano. Ma il threat hunting offre ai difensori un modo efficace per affrontare questa carenza.”

In termini generali, il threat hunting è la capacità di impegnarsi attivamente nella difesa degli asset delle persone nelle loro proprietà e reti attraverso una costante evoluzione nella comprensione e mitigazione delle capacità offensive. In pratica, queste capacità possono fornire un vantaggio cruciale nell’affrontare alcuni degli attacchi che stanno guadagnando popolarità tra gli advanced threat actor.

Trend in ambito APT e altri advanced threat actor

Gli attacchi alla catena di approvvigionamento hanno acquisito importanza negli ultimi anni. In un attacco alla supply chain, gli avversari compromettono un fornitore o un’azienda di dimensioni inferiori che lavora con o fornisce servizi per l’organizzazione più grande, che è l’obiettivo. Le aziende più piccole non hanno le capacità di sicurezza delle aziende più grandi. Questa debolezza li rende ottimi punti di partenza che gli attaccanti possono sfruttare per entrare nei sistemi del loro bersaglio.

L’epidemia di NotPetya del 2017 è forse il miglior esempio di tutto ciò. L’attore responsabile dell’attacco ha compromesso i server utilizzati per distribuire gli aggiornamenti software a un programma fiscale ucraino, che ha poi utilizzato per diffondere il ransomware/wiper NotPetya. Gli obiettivi previsti erano ritenuti limitati alle società ucraine, ma il malware si diffuse alle organizzazioni di tutto il mondo. Molti ora considerano l’incidente come l’attacco informatico più costoso della storia.

Un’altra tendenza negli attacchi mirati sta compromettendo le piattaforme non Windows. Molte aziende fanno molto affidamento su Windows. E storicamente, Windows ha attirato la maggior parte delle minacce e anche la massima attenzione da parte delle società di sicurezza. Gli attaccanti hanno ora capito che l’industria della sicurezza ha in gran parte trascurato le minacce ad altre piattaforme, rendendole obiettivi ideali per nuove TTP. MacOS è diventato particolarmente attraente. Alla fine dell’anno scorso, infatti, un nuovo tipo di malware in-memory per Mac è stato attribuito al gruppo Lazarus con sede in Corea del Nord.

Queste due tendenze rappresentano una vera sfida per le organizzazioni. Entrambi possono facilmente passare attraverso le difese automatizzate. Ma entrambi esemplificano attacchi che il threat hunting può aiutare le organizzazioni a mitigare.

La stagione del threat hunting dura tutto l’anno

Gli attaccanti altamente qualificati e dotati di risorse si dedicano intensamente ai loro attacchi. Possono trascorrere mesi o addirittura anni a perseguire un singolo obiettivo. In alcuni casi, l’oggetto non è il denaro. Impiegheranno tutto il necessario per compromettere il loro obiettivo. I threat actor mettono in gioco tutto, da zero day, fino a social engineering o attacchi on-premise.

La motivazione è un altro fattore che influenza ciò che fanno gli attaccanti. Potrebbero non essere alla ricerca di soldi, anche se questo è sicuramente comune. Ma il difensore deve essere consapevole di come la geopolitica, la macroeconomia e altri sviluppi sociali/politici modellano le minacce.

Le aziende che lavorano in settori che fanno parte del piano quinquennale della Cina devono prepararsi allo spionaggio informatico. Molte aziende che lavorano a stretto contatto con il governo degli Stati Uniti stanno recuperando informazioni sulle minacce informatiche iraniane che sono diventate più attive sulla scia della morte di Soleimani.

I threat hunter sono essenzialmente ricercatori che studiano in modo proattivo le reti per capire come le minacce compromettono un sistema. E comprendere il panorama delle minacce in evoluzione, incluso il modo in cui è modellato dagli sviluppi di tecnologia, politica, economia e persino cultura, fa parte del loro lavoro. È per questo che sono in grado di individuare i segni di un attacco alla catena di approvvigionamento in corso, malware senza eseguibili, processi dirottati o account compromessi. Capiscono come usare l’automazione e la tecnologia senza diventare ciechi verso i suoi limiti.

I prodotti di protezione degli endpoint convenzionali (EPP) non sono più sufficienti per proteggere le aziende. Hanno ancora i loro scopi, ovviamente. Fanno un buon lavoro combattendo molte delle minacce opportunistiche che bombardano indiscriminatamente le imprese ogni singolo minuto di ogni singolo giorno. I difensori sarebbero sopraffatti se non fosse per le capacità preventive offerte da affidabili soluzioni EPP. E l’automazione è vitale per far funzionare questi prodotti. Ma nell’era della detection and response, le soluzioni di sicurezza devono trarre vantaggio dal meglio dei due mondi.