Uno specialista di incident response, che stava indagando su una violazione subita di recente da una societĂ di servizi governativi, era convinto che lâattacco che stava esaminando fosse opera di un gruppo di hacker cinesi. La tipologia di malware rilevata, infatti, era comunemente associata a quella tipologia di aggressori, cosĂŹ lo specialista ha concentrato i suoi sforzi sulla rimozione e sullâanalisi del malware, perdendo però di vista il vero pericolo: gli attaccanti, nel frattempo, avevano abbandonato lâuso del malware ed erano passati allâinvio di comandi agli strumenti di amministrazione dellâazienda vittima dellâattacco.
Quello è stato un classico caso di risposta agli incidenti con âvisione a tunnelâ che ha lasciato lâazienda vittima alla mercĂŠ degli aggressori mentre il team di incident response era distratto. âSfortunatamente, lâanalista aveva adottato una visione a tunnel e, a causa di ciò, non ha valutato lâincidente secondo uno spettro piĂš ampio rispetto a quello che credeva rappresentato dal malware di questi aggressori cinesiâ, dice Shane Shook, global consulting VP di Cylance, societĂ che ha scoperto il problema dopo essere stata ingaggiata dallâazienda vittima per effettuare una revisione delle indagini sullâattacco subito.
à facile trarre conclusioni premature in merito agli attaccanti e alla tipologia di attacco nelle fasi iniziali della scoperta, ma giungere troppo presto ad un giudizio o rivelare le tue intenzioni agli aggressori può comportare serie conseguenze, affermano esperti di incident response e analisi forense. Attaccanti sofisticati, come quelli moderni, possono modificare rapidamente il malware utilizzato e mascherare con astuzia i propri movimenti qualora comprendano di essere stati scoperti.
âCiò che la maggior parte delle aziende fanno è reagire in modo eccessivo, indirizzando tutti i loro sforzi su un aspetto dellâincidente senza guardare a ciò cui dovrebbero realmente guardareâ â dice David Amsler, presidente e CIO di Foreground Security â âe, peggio ancora, non hanno un manuale di istruzioni per la risposta. Molto avviene in maniera pressochĂŠ casuale ed è lĂŹ che nasce il problemaâ. Amsler, Shook e altri esperti di sicurezza affermano che ci sono cose che non si dovrebbe mai fare a fronte di un attacco cibernetico.
Allora, ecco uno sguardo ai tre principali errori che le aziende commettono a fronte di un attacco informatico.
Â
Uno: assumere che si tratti di un APT
Con la Cina e il fenomeno APT (Advanced Persistent Threat) ormai fissi nellâinconscio delle aziende al giorno dâoggi, non sorprende affatto che molte di queste siano portate a classificare un attacco come APT quando scoprono di essere state infiltrate. Purtroppo non è cosĂŹ semplice identificare lâaggressore in caso di attacco informatico e, in ogni caso, lâincident response non è focalizzato sullâidentificazione dei singoli attaccanti, afferma Shook. âLo vedo accadere spessoâ â dice Shook in merito alle aziende che classificano erroneamente un attacco come cyber spionaggio â âun messaggio email di phishing diretto allâindirizzo di segnalazione di un sistema di command-and-control (C&C) non è certo tipico di un attacco persistente a lungo termine, bensĂŹ è molto piĂš attribuibile ad un attaccante spinto da motivazioni di tipo finanziarioâ. Continua Shook: âBisogna esaminare le evidenze disponibili attraverso una visione piĂš obiettivaâ.
In caso contrario, le evidenze chiave e lâattivitĂ realmente malevola possono passare inosservate e causare ulteriori danni. In merito allâincidente subito dallâazienda di servizi governativi sopra citata, nel quale nessuno si era accorto dellâuso fraudolento degli strumenti di amministrazione, Shook racconta che la sua azienda, nel corso dellâinvestigazione, ha trovato ben tre campagne di analoghi gruppi di aggressori che avevano infiltrato lâazienda vittima. âEssi appartenevano generalmente allo stesso modello di azione, ma avevano finestre temporali sovrapposteâ â racconta. Gli aggressori avevano preso il controllo di comuni strumenti di amministrazione per agevolare il prelievo delle informazioni e, racconta ancora Shook, âgli altri gruppi di aggressori erano piĂš persistenti e il team di incident response non li ha rilevati. Essi avevano ottenuto il controllo e lâuso delle infrastrutture del clienteâ.
In aggiunta, agenti di minaccia provenienti da Russia, Brasile, Messico, Pakistan e Stati Uniti stanno imitando sempre piĂš alcuni dei metodi di attacco e di cyber spionaggio tipici dei cinesi. âIn qualitĂ di aggressore con intento malevolo, lâimitazione delle TTP (Tactics, Techniques and Procedures) di qualcun altro è senzâaltro una forma di offuscamento della mia identitĂ â â dice Shook. Trent Healy, senior security consultant di Foreground Security, afferma che oggi non si può fare affidamento solo sugli indicatori di attacco. âI sistemi C&C diventano sempre piĂš complessi⌠gli aggressori utilizzeranno probabilmente un set di comandi C&C per attuare alcune campagne, mentre ASN (Autonomous System Numbers) limitrofi potrebbero rappresentare attivitĂ malevole del medesimo attore. Il primo C&C è la testa di ponte, lâaltro è quello che non vogliono che tu vedaâ â dice Healy.
Â
Due: non monitorare il traffico di rete
Nessuno può completamente evitare di subire una violazione da parte di un aggressore sufficientemente determinato e preparato, questa è la realtĂ nuda e cruda di oggi, ma la reazione comune di unâazienda violata è quella di chiedere quale patch o quale strumento mancante ha consentito lâattacco, osserva Tom Cross, direttore della ricerca di sicurezza in Lancope. âLa domanda che pongono è ÂŤcome posso investire in misure preventive migliori affinchĂŠ questo tipo di violazione non ci accada nuovamente in futuro?Âť. Beh, questo processo ha un senso, ma fino ad un certo puntoâ â spiega Cross â ânessun processo nĂŠ alcuna patch possono davvero impedire un attacco zero-day, lo sfruttamento di una vulnerabilitĂ per la quale non esiste ancora una patch o qualcosa che è stato studiato per eludere il sistema antivirus e i dispositivi IPS e IDSâ.
Cross ritiene che un atteggiamento mentale di sola prevenzione è limitativo. âDevi essere in grado di guardare allâinterno del perimetro, a cosa sta succedendo dentro la tua rete. Ci sono incidenti che le aziende vittima stanno rilevando e che non possono prevenire attraverso il vulnerability managementâ â dice â âIl modo per bloccare questi attacchi sofisticati e mirati, o addirittura interromperli nelle prime fasi del processo, è costituito dallâincident response nonchĂŠ dallâanalisi e dalla comprensione di quanto è piĂš possibile sugli attacchiâ. Questo richiede un certo bagaglio di competenza e capacitĂ di incident response, ma anche lâadozione di precisi metodi come il ricorso a NetFlow per monitorare le comunicazioni di rete. âIl traffico NetFlow è molto meno oneroso da memorizzare, cosĂŹ è possibile archiviare uno storico maggiore dei pacchetti di rete catturati a paritĂ di spazio di archiviazioneâ â dice â âIn modalitĂ Full Packet Capture, NetFlow archivia ogni singola cosa che accade sulla rete, anche il traffico lecitoâ.
Ma la maggior parte della aziende non attua un monitoraggio adeguato: âMolte aziende non sono preparate perchĂŠ non hanno la capacitĂ di rispondere rapidamente e adeguatamenteâ â dice Amsler. Il mantenimento di un log di audit aiuta nellâanalisi e nella soluzione dei problemi quando lâattacco viene scoperto. âLa domanda successiva è: che cosa è successo fra il momento della compromissione del sistema e il momento del suo spegnimento? Che cosâaltro è successo? Queste sono domande basilari alle quali molte aziende non hanno alcun modo di dare rispostaâ senza il monitoraggio del traffico di rete, dice Cross. Il monitoraggio del traffico NetFlow può aiutare nella tracciatura delle minacce interne e della propagazione di infezioni da malware, dice â âDisponi di una registrazione delle comunicazioni di rete del tuo ambiente che possono essere messe in correlazione con dati di IP intelligence e per identificare i sistemi infettiâ.
Amsler sostiene che anche alcune delle piĂš grandi aziende non controllano adeguatamente il proprio traffico di rete affinchĂŠ le possa aiutare nei loro processi di incident response. âStiamo assistendo ad una maggioranza di casi in cui i clienti non dispongono della cattura dei pacchetti NetFlow. Forse stanno inviando log al proprio sistema SIEM, ma non dispongono del tempo e della preparazione necessari per archiviare le informazioni ed utilizzarleâ â sostiene in ogni caso â âAbbiamo ricevuto la chiamata di due diversi clienti piuttosto grossi perchĂŠ erano stati violati e non sapevano cosa fareâ â dice â âIl piĂš grande e fondamentale ostacolo era costituito dalla loro scarsa preparazione, perchĂŠ non attuavano un monitoraggioâ.
Â
Tre: concentrarsi solo sul malware
Le aziende violate spendono un sacco di tempo e risorse per la pulizia dal malware invece che sulla mitigazione delle minacce primarie. Secondo Shook, virus e malware sono un fastidio e rappresentano un rischio, ma hanno certamente una prioritĂ inferiore rispetto allâesigenza di determinare se si è verificato un sabotaggio, un furto di informazioni o un altro tipo di danneggiamento a piĂš lungo termine. âIn secondo luogo, è stato manipolato il profilo utente? E terzo, è consentito o attuato il movimento laterale per gli utenti?â â dice Shook, che posiziona in fondo alla lista lâindividuazione di eventuali strumenti malevoli.
Amsler consiglia di non inviare immediatamente il campione di malware rilevato su VirusTotal o altri servizi gratuiti di scansione antivirus perchĂŠ alcuni attaccanti tengono sotto controllo queste attivitĂ e potrebbero quindi riorganizzarsi e variare i propri modelli dâazione. âE non spegnere i sistemi infetti, altrimenti il team di incident response perderĂ tutti i piĂš importanti dati a disposizioneâ â aggiunge. Gli aggressori piĂš avanzati stanno sicuramente monitorando le operazioni per verificare se sono stati rilevati, quindi lâultima cosa che devi fare è comunicare loro che sono sotto osservazione: âgli aggressori stanno a guardare, aspettano e sanno quando tu ti accorgi che esistono, quindi cambiano i loro modelliâ â dice Amsler.
Concentrarsi principalmente sul malware in un attacco informatico equivale ad un medico che si preoccupa di curare i sintomi e non la malattia vera e propria, dice Amsler â âSe ci si preoccupa solo di trattare lâinfezione da malware e non si guarda alla causa principale, a come essa si muove lateralmente e infetta altre parti del corpo, allora non puoi determinare quanto grave sia la malattia per il tuo ambienteâ.
Non dare per scontato che, solo perchĂŠ hai ripulito lâambiente da unâinfezione, allora sei al sicuro da qualsiasi ricaduta: gli aggressori avanzati hanno spesso piĂš di una strada per introdursi nellâazienda obiettivo, non solo il malware. âPurtroppo, a causa della scarsa esperienza, molte persone ritengono che una volta identificato il malware, non vi siano rischi residui,â â dice Shook â âma il malware è solo una delle attivitĂ iniziali per ottenere lâaccesso. Non puoi limitarti solo allâidentificazione e alla rimozione del malwareâ.
Tratto da: 3 Big Mistakes in Incident Response â Dark Reading
Â
Ettore Guarnaccia
Â
