Gli attori criminali
Possiamo generalizzare gli attori criminali del mondo cyber in:
Hacktivisti/defacer/skidioti:questi operatori di solito non cercano un lungo periodo di permanenza all’interno del target, ma cercano invece l’attenzione dei media (o il riconoscimento tra pari). La caratteristica distintiva di questi operatori è il loro intento – i loro piani per la fase operativa finale – sfruttamento. Tentano di promuovere rapidamente il successo del loro attacco informatico ed utilizzano tale attenzione per evidenziare la loro attività. Di conseguenza, gli attivisti informatici, sebbene possano essere sofisticati e persistenti, sono principalmente un problema di immagine. Non rappresentano una minaccia esistenziale per le loro vittime.
Penetrator Testers / Red Teams: questi operatori cercano un periodo di permanenza lungo all’interno del target ma hanno un intento benevolo. Sebbene la loro raffinatezza e capacità tendano ad inclinarsi verso l’alto, raramente presentano uno scenario di attacco realistico. L’intento dei pen tester è quello di ottenere l’accesso, o enumerare le vulnerabilità, entro i limiti dell’ambito (definito dal target) e scrivere un report – velocemente. Questo è raramente l’intento di un vero attore di minacce dannose. Di conseguenza, le azioni dei penetration tester non riflettono generalmente le azioni degli attori malintenzionati che operano realmente nel cybercrimine. I penetration tester in genere non mirano ad alti livelli di segretezza, sebbene siano raramente rilevati dai Silver Bullet Boxes, o dal SIEM, e rifiutano costantemente di utilizzare strumenti che dovrebbero essere rilevati dal flusso IOC (Indicators Of Compromise) della minaccie. I pen tester inoltre non utilizzano 0days contro Office, phishing contro il CFO o agenti informatici autonomi che effettuano il tunneling su reti di partner fidati. Infine, quei ragazzi sono veloci. Hanno due settimane per lavorare e creare il report. Solitamente poi il report consiglia vivamente di segmentare le reti e rafforzare i sistemi di amministrazione del dominio. Questo rapporto può essere posto in primo piano con tutti i rapporti precedenti che dicono la stessa cosa nessuno dei quali si preoccupa di menzionare dove ottenere il budget, l’organico, il tempo o l’approvazione dell’azienda per alterare drasticamente il punto di rottura di una infrastruttura aziendale critica. Il lato positivo è che il requisito dell’audit del test di penetrazione viene superato per un altro anno e forse un giorno ci saranno l’opportunità, le risorse e un mandato per correggere la intranet legacy. Quindi, i pen test non sono molto simili agli attacchi reali.
Cyber criminali: La caratteristica distintiva del criminale informatico è il modo in cui intendono sfruttare il successo operativo, traendo profitto da tutto quell’hacking. Potrebbe trattarsi di un lento processo di acquisizione e vendita di CC o di una richiesta di ransomware quasi istantanea. Il tempo necessario per monetizzare una violazione, il metodo di sfruttamento post sfruttamento, non è prevedibile, ma l’intento sì. Converti un compromesso in denaro. Un criminale informatico potrebbe aver bisogno di un tempo di permanenza significativo per il suo programma di estrazione di denaro preferito, oppure no. Hanno assolutamente bisogno della segretezza fino (e durante) l’esecuzione dell’operazione. Ciò significa che per un periodo di tempo arbitrario i criminali informatici sono nascosti, seduti in un’area di vulnerabilità che osservano e estorcono informazioni. Vale la pena notare che esiste un’altra problematica una volta che l’operazione ha raggiunto la fase di esecuzione: le forze dell’ordine e le regolamentazioni che obbligano la segnalazione del data breach. Questi criminali sono spesso opportunisti e difficilememte dissuasi quando le loro capacità esistenti si dimostrano insufficienti. Sfortunatamente, sono motivati, stranamente persistenti e le loro capacità sono generalmente sufficienti. Anche se le loro capacità potrebbero non essere particolarmente impressionanti, proveranno ogni singolo tentativo contro ogni bersaglio. E quando avranno una nuova capacità, torneranno indietro e proveranno di nuovo contro tutti.
Riflessioni
I penetration tester di oggi molto raramente operano o si comportano come i criminali informatici o addirittura come i team APT. Si comportano come tester. Non che ci sia qualcosa di sbagliato in questo, alcuni dei miei migliori amici sono pen tester. Ma le aziende che cercano il valore effettivo, non solo una casella di controllo per soddisfare un revisore, farebbero bene a parlare con il proprio fornitore informatico per assicurarsi che l’ambito e il TTP riflettano in modo più accurato le minacce che devono affrontare realmente.
In questo momento sul mercato vi è una grande richiesta di servizi di VA o PT. Tante volte I clienti ci chiedono di fornire loro questi servizi e raramente chiedono il nostro punto di vista. La nostra opinione è che oggi questi servizi dovrebbero essere il punto di partenza, dovrebbero essere addirittura automatizzati e frequenti, ma non reputati sufficienti a dormire sogni tranquilli.
I recenti accadimenti hanno dimostrato che i criminali informatici sono dotati di metodologie sofisticate in grandi di eludere tutti i sistemi informatici atti alla loro difesa.
Dal 2017 vi sono aziende criminali che hanno incominciato a lavorare per creare punti di accesso alle reti aziendali. Lavorano per far si che questi punti di ingresso siano persistenti e possano essere venduti o noleggiati nel mercato Dark. Poi vi sono altri che creano ransomware in grado di adattarsi e nascondersi, rimanendo all’interno delle reti al fine di carpire informazioni per le quali richiedere un riscatto. Tutto questo a noleggio su veri e propri marketplace dove operatori, senza neanche grandi conoscenze informatiche, attuano i loro intenti criminali in un mercato altamente lucrativo.
Gli esperti dovrebbero parlare di superfici di attacco, di vettori o veri e propri playbook di attacco che operano a tutti i livelli, su ogni asset tenendo conto del lato più debole ed imprevedibile: l’uomo.
Articolo by Simone Fratus
Comments