Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

STRATEGIE DI CYBER SECURITY

Kill Chain, per contrastare gli attacchi informatici: un modello di difesa per le aziende

La Kill Chain aiuta a capire le azioni di un hacker per cogliere i segnali di un attacco e utilizzare gli strumenti di sicurezza necessari per difendere i perimetri aziendali. Ecco come utilizzare al meglio questa infrastruttura di sicurezza

07 Nov 2018
Z

Nadia Zabbeo

Consulente Privacy & Cybersecurity, Data Breach Protection Advisor, Founder Digysit


Tra i modelli di difesa progettati per aiutare le aziende e le grandi organizzazioni a mitigare gli attacchi informatici più avanzati c’è la Kill Chain, utile a capire le varie azioni che l’hacker potrebbe realizzare consentendo di coglierne i segnali e utilizzare gli strumenti di sicurezza necessari per difendere i perimetri aziendali.

D’altronde, così come un antivirus si comporta per alcuni aspetti come un virus, per combattere un hacker è indispensabile capire come agisce e prevedere le sue mosse. In poche parole, che ci piaccia o meno, dobbiamo usare empatia, calarci nella mentalità dell’hacker, pensare come lui cercando di immaginare le fasi di un potenziale attacco che potrebbe sferrare a danno della nostra organizzazione.

Dopo aver risposto ad alcune domande teoriche, entreremo nel dettaglio di questo particolare modello di difesa ed esamineremo alcuni risvolti di natura tecnologica.

Kill Chain: cos’è e come funziona

Possiamo definire la Kill Chain come un modello di infrastruttura di sicurezza, uno strumento di cyber difesa implementato inizialmente in ambito militare per identificare e prevedere le fasi di difesa dal nemico o di attacco di un bersaglio. In seguito, la Lockheed Martin Corporation, un’azienda attiva nei settori dell’ingegneria aerospaziale e della difesa, lo utilizzò come metodo antintrusione sulle sue reti interne.

La Kill Chain serve anche a chi già fa un regolare monitoraggio di Vulnerability Assessment o valutazione d’impatto sulla protezione dei dati (DPIA). A differenza di una procedura con parametri predeterminati che effettua misure e controlli di tipo tecnologico stabilendo le misura del rischio e le azioni correttive, la Kill Chain identifica infatti i passaggi necessari per implementare un attacco e consente di stilare una procedura previsionale per i vari step, tenendo in debito conto anche del modus operandi degli attaccanti. Può essere considerata anche come uno schema mentale da tenere sempre presente quando si adottano strategie di difesa.

In merito alla validità della Kill Chain, infine, molto dipende dalla capacità di entrare nello specifico degli step aggiornando costantemente le competenze in cyber security nonché dalla capacità di integrare, se in futuro si rivelerà necessario, nuove sotto-fasi in grado di identificare le più recenti tipologie di minacce (sempre più sofisticate e di natura eterogenea) e nuove tecniche di intrusione. La capacità di “prevedere l’imprevedibile” è senz’altro un vantaggio competitivo per la sicurezza delle reti e il modello della Kill Chain può aiutarci. È un valido riferimento su cui basare le strategie di difesa.

Il modello difensivo della Kill Chain è composto di sette diverse fasi:

  1. ricognizione;
  2. adescamento;
  3. dirottamento;
  4. exploit;
  5. installazione;
  6. comando e controllo;
  7. azione.

Vediamole in dettaglio.

Kill Chain, fase 1: ricognizione

Fase molto importante in quanto è dedicata alla raccolta delle informazioni sull’obiettivo. Necessita di una descrizione più articolata perché determina il successo (o l’insuccesso) delle fasi successive e quindi del risultato finale. Questo processo, detto anche “footprinting” serve agli hacker per inquadrare il bersaglio e farsi un’idea delle azioni più appropriate per colpire il target di riferimento. Navigando in anonimo e con gli strumenti che possiede, spesso reperiti sul Dark Web, l’attaccante tenterà di capire il livello di sicurezza legato ad un’organizzazione. Al temine, potrà avere a disposizione una “fotografia” dettagliata del target: connessioni Internet, accesso remoto, intranet/extranet, social e via dicendo. Maggiori le informazioni a sua disposizione, maggiori saranno le possibilità di ottenere il risultato malevolo prestabilito.

Ecco alcuni elementi che l ’accattante può riuscire ad individuare, anche se l’elenco descritto non può ovviamente essere esaustivo:

  • INTERNET
  1. Nomi di dominio
  2. Indirizzi IP
  • INTRANET
  1. Servizi TCP in esecuzione
  2. Architettura di sistema
  3. Meccanismi di controllo di accesso
  4. IDS (intrusion-Detection System)
  5. Nomi di host
  • ACCESSO REMOTO
  1. Tipologia di accesso remoto
  2. Meccanismi di autenticazione
  3. VPN e relativi protocolli
  • EXTRANET
  1. Nomi di dominio
  2. Origine e tipologia della connessione
  3. Meccanismo di controllo di accesso

Raccolte queste informazioni, l’hacker passa allo step successivo: quello dell’enumerazione, avvalendosi spesso di strumenti automatizzati. Questa tecnica è ancora più intrusiva del footprinting in quanto l’attaccante comincia a fare interrogazioni dirette utilizzando le connessioni attive. In questa fase l’hacker potrebbe riuscire a individuare nomi di account degli utenti (che utilizzerà in seguito con modalità di tipo “brute force” per scoprire le password), risorse condivise di file privi di protezione e vecchie versioni di software che presentano vulnerabilità (circa il 10% delle aziende utilizza ancor oggi sistemi operativi obsoleti e rischiosi).

Le vulnerabilità di server e sistemi operativi “datati” potrebbero, per esempio, consentire agli attaccanti di sferrare un attacco in modalità Buffer overflow: una modalità che consiste nello scrivere dati oltre i limiti delle aree di memoria delle applicazioni (buffer): quando questo si verifica il sistema può arrestarsi e l’hacker può compromettere i dati o impossessarsi dei privilegi di sistema. Servizi di rete usati soprattutto in passato come Telnet, che consentiva l’accesso remoto e trasmetteva dati in chiaro, sono tuttora usati dalle organizzazioni in forma originale-nativa, senza alcuna correzione o protezione, con tutti i rischi che questo comporta.

Un’altra nota tecnica della procedura di enumerazione denominata “cattura di banner”, consente agli hacker di connettersi ad un’applicazione remota e osservare l’output.

Oltre all’obsolescenza di sistemi e servizi, spesso chi fornisce all’hacker informazioni interessanti sono gli utenti: ogni informazione diffusa sulla rete, sui social, può essere preziosa per un hacker che usa tecniche di social engineering per farsi un quadro quanto più possibile completo.

I messaggi di errore restituiti dal sistema meritano un’attenta analisi perché potrebbero consentire di individuare il sistema operativo in uso. Anche quelli restituiti in fase AAA (Authentication, Authorization and Accounting) sono importanti perché danno delle indicazioni a conferma della validità o meno di un account.

Un esempio semplificato e facilmente comprensibile: l’hacker si immagina un account e un indirizzo e-mail, manda un messaggio di prova (certo non è difficile individuare un indirizzo e-mail, specie se aziendale, in quanto spesso è così composto: nome.cognome@nomeazienda. Il nominativo spesso è già in possesso degli hacker in quanto lo hanno visto sui social), e dopo l’invio e osserva il risultato delle sue azioni malevoli.

In particolare, il sistema può restituire uno di questi messaggi di errore in fase autenticazione:

  • password non valida;
  • nome di account non valido;
  • account o password non validi.

Quali dei tre è più sicuro? Il terzo ovviamente. Nel primo caso l’hacker ha conferma che l’account è attivo, deve solo individuare la password: quando il caso lo richiede, attiva sistemi di brute force: vale a dire proverà tutte le soluzioni possibili finché non trova la password. Sicuramente è una modalità molto lunga, ma se è intenzionato ad arrivare fino in fondo, riuscirà a trovare innanzitutto le password di livello “debole” e a seguire quelle con un livello di sicurezza “medio”.

Tra i nominativi e gli account “più appetibili” figurano quelli dei responsabili delle risorse umane in quanto trattano dati riservati e sensibili e dei responsabili amministrativi in quanto autorizzano i pagamenti.

Kill Chain, fasi 2 e 3: adescamento e dirottamento

Queste fasi riguardano rispettivamente la preparazione e l’invio di payload dannosi, di programmi scaricati all’insaputa degli utenti che compiono azioni dannose e/o preparano il terreno per la successiva fase.

Kill Chain, fase 4: exploit

In questa fase l’attaccante utilizza un software inviando comandi per far compiere azioni malevole.

Kill Chain, fase 5: installazione

Dopo aver compromesso il sistema, l’hacker installa il malware e le backdoor necessarie a compiere azioni malevoli.

Kill Chain, fase 6: comando e controllo

Giunto a questa fase, l’attaccante assume il controllo da remoto del sistema compromesso.

Kill Chain, fase 7: azione

Gli hacker eseguono le operazioni a loro utili per rubare informazioni sensibili o di valore e sferrano attacchi ad altri dispositivi di rete.

Considerazioni sull’efficacia della Kill Chain

Da quanto visto finora, si evince che il modello difensivo della Kill Chain dovrebbe prevedere tutte le possibili varianti d’attacco e può essere integrato con le risultanze della valutazione d’impatto sulla protezione dei dati (DPIA). Tale modello è dunque efficace solo se si hanno le capacità e gli strumenti giusti per cogliere i segnali dell’attaccante e per prepararsi ad agire con la massima tempestività.

Ricordiamoci, inoltre, che se è vero che gli esperti di cyber security hanno a disposizione degli strumenti potenti (per esempio il virtuoso NMAP, tanto per citare il più noto, che consente tra altre funzionalità di effettuare il port scanning per individuare le porte aperte su un computer), gli attaccanti hanno i loro e spesso sono gli stessi usati per la difesa dei sistemi, in quanto non sono di per sé illegali: è la finalità con cui vengono utilizzati a determinarne la liceità.

Qualcuno sta facendo il port scanning e non è un amministratore di sistema o un esperto di pen test che sta facendo un controllo autorizzato legalmente? È il segnale di un attacco imminente, vuol dire che l’organizzazione è già nel mirino dell’hacker. Occorre agire immediatamente e mettere in atto le azioni necessarie per impedirgli di violare il sistema. Non bisogna esitare un solo secondo: in casi come questi, agendo tempestivamente, si può impedire un eventuale data breach ed evitare che i dati dei clienti vengano violati

Prevenire le nuove tipologie di attacco informatico con la Kill Chain

La tecnologia, lo sappiamo bene, si evolve costantemente: gli attacchi sono sempre più sofisticati e purtroppo gli hacker sono sempre al lavoro per implementare malware che non sempre si manifestano subito, rimangono silenti senza insospettire gli antivirus che non sempre riescono a identificarli.

Si pensi, ad esempio, ai pericolosissimi malware fileless in grado di infettare un sistema senza lasciar traccia in nessun file. Una tipologia di malware sicuramente di difficile individuazione in quanto non fa uso di file per infettare i dispositivi: i codici maligni vengono ubicati nella memoria RAM. Visto che la RAM è una memoria volatile che si svuota allo spegnimento del sistema, allora questi attacchi possono essere fermati con il riavvio del sistema? Almeno fosse così semplice! I cyber attaccanti sanno come mantenere attivo il virus anche a seguito di un riavvio. I codici malevoli possono altresì trovarsi nel registro di sistema, o a livello di terminale in quanto gli attaccanti sono in grado di sfruttare alcune funzionalità come Windows Management Instrumentation e Windows PowerShell sferrando attacchi senza salvare alcun file. Si pensi ad un impiegato di banca che, in presenza di un malware di tipo fileless (introdotto con un phishing ben architettato) lavora al suo terminale accedendo a numeri di conto, intestazioni e dati anagrafici o dati sensibili economico-finanziari degli utenti. Per l’antivirus nulla da rilevare mentre il software malevolo registra tutte le informazioni “appetibili”: un effetto devastante! Ben sappiamo che data breach di questa portata si sono già verificati in passato.

Metodo di difesa di tipo Kill Chian: consigli per le aziende

Se è vero che ogni giorno vengono create e testate nuove modalità di attacco, è altrettanto vero che nella maggior parte dei casi i malware richiedono il consenso inconsapevole e non voluto degli utenti. Il phishing rimane lo strumento principe per aprire la porta al malware!

Dopo aver presentato il modello difensivo della Kill Chain ogni azienda dovrebbe essere in grado di osservare i segnali e dotarsi di tutti gli strumenti necessari per difendere il proprio perimetro, reale o virtuale che sia.

In estrema sintesi, ecco alcuni consigli per applicare al meglio la Kill Chain:

  • Abituiamoci a pensare come un hacker, chiedendoci costantemente “io cosa farei al suo posto se volessi violare i dati aziendali? Come farei a reperire le informazioni necessarie per colpire il bersaglio?
  • Ricordiamoci di un famoso proverbio “chi meno spende più spende”: abbiamo ancora Windows XP perché l’ERP ha problemi con le versioni successive del sistema operativo e chi poteva metter mano alla programmazione ora è in pensione o non lavora più nella tua azienda? Contatta una società di consulenza ERP e dai loro l’incarico di migrare ad un nuovo ERP che abbia il seme della security (e privacy) by design e by default.
  • Testiamo costantemente le competenze dei responsabili IT (sicuro che sappiamo configurare al meglio un sistema, un firewall ecc.) e dei consulenti esterni, soprattutto di chi si occupa di penetration test (un test mal eseguito può dare falsi negativi), etica compresa.
  • Poiché non tutte le minacce vengono identificate dai firewall e dagli antivirus, è opportuno prevedere un’attività periodica di Vulnerability Assessment. Limitiamo le informazioni sul nostro sistema, testiamo i messaggi di errore, minimizziamo i dati che buttiamo in rete e teniamo conto dei parametri e dei contenuti della DPIA.
  • Formiamo i dipendenti: è opportuno ricordare che il phishing si nutre con l’ingenuità degli utenti spesso dovuta alla mancanza di competenze in cyber security!

Un’ultima nota: gli ultimi due punti di questo elenco rappresentano degli adempimenti obbligatori per ottenere la compliance con il GDPR, a sottolineare qualora ce ne fosse bisogno l’importanza di approntare un corretto piano di difesa della propria azienda da tutte le minacce informatiche.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5