Individuare (e prevenire) le minacce informatiche: i consigli di Vito Lucatorto al WMF! 2022

Quella della cyber threat intelligence è una triade, come ha spiegato Vito Lucatorto al We Make Future WMF! 2022, fatta dal «contestualizzare la minaccia nel proprio panorama di riferimento, capire le tattiche utilizzate dall’attaccante e individuare le risorse che lo stesso ha a disposizione». Al contrario di quanto si possa pensare, riuscire a individuare i rischi digitali serve alle aziende tanto quanto ai singoli individui nella vita di tutti i giorni per prendere «decisioni informate e prevenire attacchi» informatici che si sono fatti sempre più frequenti – e insidiosi – negli ultimi anni.

Non a caso chi, soprattutto in ambito aziendale, ha investito in cyber threat intelligence è riuscito nell’obiettivo di ridurre il tempo necessario per scovare l’attaccante: in media verrebbero impiegati oggi 21 giorni contro i 54 di qualche anno fa, ma l’obiettivo è far in modo che si impieghi sempre meno tempo perché prima viene individuato una minaccia informatica e più facile è limitarne i danni ed eventualmente ripristinare la funzionalità dei propri sistemi.

Da dove vengono oggi le minacce informatiche e come scovarle in tempo

Avere dati a disposizione, ma anche riuscire a processarli e disseminarli correttamente, ha sottolineato Vito Lucatorto, è molto importante in vista di questo obiettivo, anche in considerazione del fatto che i possibili threat actor sono oggi più numerosi di un tempo e diversamente da un tempo interessati non solo alle infrastrutture critiche di un paese ma anche alle PMI.

Basti pensare che spesso un’azienda si trova a fronteggiare possibili attaccanti che vanno dall’hacker al (cyber)crimine organizzato, che agisce soprattutto per interessi economici, fino ai cosiddetti advanced persistent threat (o APT) che provano soprattutto a sfruttare la vulnerabilità dei sistemi informatici, senza escludere dipendenti delusi o malintenzionati o semplicemente inconsapevoli dei rischi informatici insiti nelle più quotidiane delle task.

La buona notizia è che, nonostante il panorama sia ricco di possibili minacce e attaccanti, le modalità di azione che gli APT hanno sono in genere molto simili ed è questo che rende più facile – almeno in teoria – la cyber threat intelligence, soprattutto se chi se ne occupa in azienda conosce “casi” e precedenti storici in materia e se c’è «una condivisione delle conoscenze più aggiornate in materia», ha sottolineato l’esperto.

Come “uccidere” la cyber kill chain: i consigli di Vito Lucatorto

Una simile conoscenza condivisa è quella che ha già portato a definire la cyber kill chain, ossia come si muovono in genere gli autori di un attacco informatico:  questi individuano il bersaglio o i bersagli; comprano o sviluppano tool utili all’attacco; eseguono test; provano a effettuare l’intrusione nel sistema informatico aziendale, con un malware o inviando una email di phishing ai dipendenti; mentre lo fanno si preoccupano di rimanere sotto traccia in maniera da eventualmente poter utilizzare lo stesso path anche nel caso in cui il primo tentativo venga scovato; avviano l’attacco; se ben riuscito prendono il controllo dei sistemi aziendali.

Conoscere nel dettaglio ogni fase della cyber kill chain è fondamentale per la cybersecurity in azienda perché «se si riesce a individuare anche solo uno dei passaggi, è più facile riuscire a interrompere l’attacco», ha concluso Vito Lucatorto.