SICUREZZA INFORMATICA

Indicatori di attacco (IoA): cosa sono e come usarli per prevenire attacchi informatici

A differenza degli indicatori di compromissione (IoC) utili per determinare se si è verificato un incidente di sicurezza, gli indicatori di attacco (IoA) consentono di sviluppare un approccio proattivo alle investigazioni. Ecco un’analisi delle tecniche di incident response basate su IoC e IoA

10 Nov 2021
N
Luca Nilo Livrieri

Senior Manager, Sales Engineering for Southern Europe, CrowdStrike

La dura realtà per molte aziende è che nel momento in cui si è vittime di un attacco, è già troppo tardi per reagire. Per rilevare le minacce informatiche, gli esperti in cybersecurity si sono tradizionalmente affidati a indicatori di compromissione (IoC) che rilevano firme, exploit, vulnerabilità e indirizzi IP al fine di determinare se si è verificato un incidente di sicurezza.

In tal modo, però, piuttosto che concentrarsi sul prevenire una violazione, i team di sicurezza si sono storicamente dedicati ad andare a fondo per scoprire ciò che è successo. Negli ultimi anni, però, sono nate soluzioni di sicurezza di nuova generazione che, anche grazie agli indicatori di attacco (IoA), consentono di avere una visione più ampia e di comprendere l’intento finale del criminale informatico, ciò che sta tentando di fare e quindi come agire per contrastarlo.

Quali sono gli indicatori di attacco (IoA)

Gli indicatori di attacco (IoA) consentono ai team di sicurezza di sviluppare un approccio più proattivo alle investigazioni, aiutandoli ad identificare e comprendere in modo rapido quali sono le azioni più comuni che un criminale informatico deve condurre se desidera avere successo.

WEBINAR
12 Ottobre 2022 - 11:00
Massimizza l’investimento in cloud in 5 step
Cloud
Datacenter

Queste includono l’esecuzione di codice malevolo, meccanismi di persistenza, tattiche stealth, “command & control” e movimenti laterali all’interno di una rete. I vantaggi chiave dell’approccio basato su IoA riguardano principalmente la possibilità, per gli addetti alla sicurezza informatica, di bloccare gli avversari prima che questi possano compromettere le difese di un’organizzazione.

Ad esempio, una campagna di spear phishing, progettata per sondare le difese di un sistema informatico, può agire come vero e proprio precursore di un attacco cyber.

Tipicamente, il tutto ha inizio con una e-mail progettata per persuadere il bersaglio convincendolo ad aprire un file che poi infetterà il dispositivo. Una volta che questo sarà compromesso, il criminale informatico eseguirà un altro processo, nascondendosi nella memoria o sul disco, per mantenere la persistence tramite riavvi del sistema.

I team di sicurezza che monitorano proattivamente gli indicatori di attacco (IoA) saranno in grado di rilevare l’esecuzione in qualsiasi fase e di identificare quindi la presenza di un nemico informatico deducendo ciò che quest’ultimo sta tentando di ottenere tramite specifiche azioni.

Alla luce di questo, gli addetti alla sicurezza dell’infrastruttura IT hanno maggiori probabilità di scoprire attori criminali prima che questi possano compromettere la rete.

Un’analogia con il mondo reale

Contestualizziamo. Sotto molti punti di vista, una violazione dei dati può essere paragonata ad una rapina in banca: in entrambi i casi gli aggressori devono superare i sistemi di sicurezza, infiltrarsi e raggiungere l’obiettivo – che si tratti di rubare dati sensibili o lingotti d’oro.

Nel contesto di una rapina in banca, le autorità sono solite arrivare quando il crimine è già stato commesso per raccogliere le prove tramite le telecamere di sicurezza e rilevare dettagli utili sui soggetti coinvolti, come il colore del vestiario, eventuali sostanze utilizzate, elementi di riconoscimento e via dicendo.

Tali prove vengono scoperte soltanto a seguito del fatto, un po’ come avviene con l’approccio basato sugli indicatori di compromissione (IoC), che mostra che appunto ci sia stato un attacco.

Tuttavia, tali prove possono essere usate per individuare i rapinatori soltanto se questi non cambiano i loro modi di agire e gli elementi di riconoscimento utilizzati in precedenza.

Basandosi su un approccio di questo genere, il team di sicurezza non sarà sufficientemente preparato ad individuare nuove prove.

Al contrario, se una banca è attrezzata per monitorare gli indicatori di attacco (IoA) può essere in grado di prevenire completamente anche una rapina.

Proprio come una violazione dei dati è spesso preceduta da un attacco di phishing, il rapinatore tende a “studiare” la banca prima di mettere in atto la rapina.

Esattamente come avviene con una campagna di phishing questo processo comprende diverse fasi che un team di sicurezza proattiva è in grado di rilevare. Nel momento in cui un ladro dovesse tentare di disattivare il sistema, entrare nella cassaforte o provare a forzarla, il reparto IT sarebbe in grado di rilevare che quest’ultimo sta cercando di effettuare il furto.

Usando questo tipo di informazioni, i team di sicurezza hanno la possibilità di bloccare il tentativo fraudolento prima che il criminale rubi qualsiasi cosa.

Gli indicatori di attacco nella pratica

Durante un attacco informatico questi elementi di prova possono rivelarsi meno ovvi rispetto a quanto avviene nel contesto di un furto in banca, ma il principio non varia.

Nel momento in cui il team di sicurezza è in grado di individuare IoC come un hash MD5, un dominio C2 o un indirizzo IP hard-coded, questi stessi indicatori possono funzionare da strumento per prevenire futuri attacchi informatici.

Tuttavia, se si considera che gli indicatori IoC non sono variabili costanti, capita che i team di sicurezza tendano a non considerarli nell’emergenza di stare al passo con l’evolversi delle minacce informatiche.

D’altra parte, gli indicatori di attacco permettono, invece, ai team di sicurezza di monitorare comportamenti sospetti aiutandoli ad adattarsi rapidamente e ad agire per prevenire una violazione.

Concentrarsi sulle tattiche, tecniche e procedure dei criminali informatici, consente ai team di sicurezza di determinare chi è il nemico, ciò a cui sta tentando di accedere e per quale motivo, basandosi quindi su un approccio proattivo per affrontare minacce avanzate.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati
@RIPRODUZIONE RISERVATA