possibile rispondere a una violazione di dati in aziende di ogni dimensione e budget? È la domanda su cui ha riflettuto Paul Baird, Chief Technical Security Officer UK di Qualys, prendendo spunto dalla recente ammissione di data breach biennale da parte di Newscorp, che costituisce l’esempio concreto e lampante dell’obiettivo della maggior parte dei cyber criminali: cercare in tutti i modi di eludere un’eventuale azione di rilevamento e mantenere connessioni e/o accesso persistenti all’infrastruttura target.

I mezzi per raggiungere l’obiettivo

Baird spiega che uno dei metodi più utilizzati è il living off the land, in cui gli attaccanti utilizzano strumenti e software legittimi, già presenti su un sistema o una rete target, per nascondere le proprie tracce o ottenere l'accesso ad altri sistemi che potrebbero contenere dati preziosi o dettagli finanziari.

Un approccio tipico prevede la ricerca di credenziali con accesso amministrativo o comunque privilegiato, che possano poi essere utilizzate per modificare o eliminare i dati dei file di registro o altri record per nascondere le proprie tracce. Più a lungo un aggressore rimane inosservato nell'ambiente, più sistemi compromessi e vie di ingresso/uscita possono creare, rendendone più difficile l’eliminazione – commenta Baird.

Paul Baird, Chief Technical Security Office UK di Qualys

Una volta scoperta una violazione, è fondamentale non allertare l’attaccante che è stato individuato. Bisogna invece svolgere un lavoro di ricognizione per comprendere i dettagli dell'attacco, compresi il come, il cosa, il perché e il quando, per costruire un quadro chiaro dell'attacco riuscito. Quando si è acquisita una comprensione completa dell'attacco e delle sue attività successive, è possibile avviare un processo per rimuovere l'attaccante dall'ambiente con una mossa rapida. Non è il caso di impegnarsi in un'estenuante partita al gatto e al topo, che può richiede molto tempo e può causare ulteriori danni.

È essenziale essere preparati alla perdita di servizi o infrastrutture quando l'attaccante viene rimosso dalla rete. Una volta che gli aggressori si rendono conto di essere stati scoperti, possono diventare distruttivi, causando ulteriori danni perché non sono più costretti a essere furtivi.

Come smascherare gli attacchi e quali errori possono far passare inosservate le violazioni?

Gli attacchi possono essere scoperti in molti modi, a seconda dell'età della violazione, tra cui il monitoraggio della sicurezza e l'analisi dei registri di sistema, del traffico di rete e di altri tipi di attività digitali. I primi segnali tipici di una violazione sono rappresentati da modelli insoliti di traffico di rete o dall'accesso a dati sensibili da parte di utenti non autorizzati, nel caso in cui un aggressore stia cercando di prendere piede o di trovare oggetti di valore, normalmente definiti "gioielli della corona". Un altro segnale si ha quando i dati aziendali sotto forma di proprietà intellettuale, informazioni personali identificabili o login di rete vengono scambiati sul dark web.

Gli errori possono verificarsi quando manca la visibilità del traffico di rete o quando non sono stati configurati correttamente gli strumenti di sicurezza. Un altro problema è rappresentato dagli strumenti di sicurezza isolati che faticano a dialogare tra loro. Anche l'errore umano può contribuire alla mancata esecuzione degli attacchi. Inoltre, gli aggressori possono utilizzare tecniche avanzate per nascondere la propria attività ed eludere il rilevamento, ad esempio utilizzando credenziali legittime o crittografando le proprie comunicazioni.

Per ridurre al minimo il rischio di violazioni non rilevate, è opportuno investire in strumenti di monitoraggio e assicurarsi che siano configurati e mantenuti correttamente. Controlli regolari e valutazioni delle vulnerabilità possono aiutare a identificare i punti deboli che potrebbero essere sfruttati. Infine, le organizzazioni dovrebbero dare priorità ai programmi di formazione e sensibilizzazione dei dipendenti per evitare errori umani e migliorare l'igiene generale della sicurezza.

Come individuare gli attacchi e che cosa si può fare con un budget limitato?

Non è sempre possibile prevenire ogni attacco, quindi è fondamentale essere in grado di rilevare e rispondere rapidamente agli incidenti. L'utilizzo di un sistema di gestione delle informazioni e degli eventi di sicurezza (SIEM) può aiutare a raccogliere e analizzare i dati provenienti da tutta la rete dell'organizzazione, consentendo di identificare potenziali incidenti di sicurezza e di reagire in tempo reale.

Un'altra tecnica utile per rilevare gli attacchi è l'implementazione di sistemi di rilevamento e prevenzione delle intrusioni (IDPS). Queste soluzioni sono progettate per monitorare il traffico di rete alla ricerca di segni di attività dannose e possono avvisare i gruppi di sicurezza di potenziali minacce. Esistono poi alcune altre buone pratiche che possono aiutare a rilevare le minacce quando si dispone di un budget limitato da spendere in strumenti.

In primo luogo, assicurarsi che il proprio team sia ben addestrato e che abbia le competenze necessarie: anche se si è piccoli, è possibile impegnarsi per essere il più efficienti possibile. Un'altra considerazione fondamentale è quella di disporre di un chiaro piano di incident response prima dell'insorgere di qualsiasi problema, che includa le fasi di identificazione e contenimento delle potenziali minacce, nonché le procedure di notifica agli stakeholder interessati e di comunicazione con l'intera organizzazione.

Infine, tenersi aggiornati sulle ultime minacce e tecniche di attacco. Questo può essere fatto monitorando le notizie sulla sicurezza e partecipando a forum e conferenze del settore. Si può imparare molto dai colleghi per stare al passo con i tempi.