I tempi in cui la cyber security prevedeva solo l’uso di antivirus e firewall sono finiti. Oggi, l’attività di sicurezza informatica è qualcosa di molto diverso e ben più “proattivo”. Per usare una metafora, gli esperti di security sono quotidianamente impegnati in una complessa partita a scacchi con i cyber criminali. In questo confronto a distanza, il ruolo dell’intelligence è fondamentale: più informazioni si hanno a disposizione, maggiori sono le probabilità di riuscire a contrastare gli attacchi. La cyber deception technology offre un’opportunità unica per garantirsi una notevole posizione di vantaggio.
Le strategie dei pirati informatici
Negli ultimi anni, i cyber criminali hanno affinato notevolmente i loro attacchi. Se nel primo decennio del 2000 si affidavano ancora a tecniche di attacco legate a campagne di diffusione dei malware che sfruttavano principalmente l’invio di email “a pioggia”, negli ultimi tempi hanno messo a punto strategie differenziate. In alcuni casi, le loro azioni prevedono un’attenta pianificazione e l’uso di tecniche di attacco mirate per colpire bersagli specifici. In pratica, i pirati scelgono l’obiettivo che vogliono compromettere e possono arrivare a investire molto tempo (e ingenti risorse economiche) per mettere a segno il loro attacco. In altri casi, invece, utilizzano una strategia più opportunistica, per esempio nel caso in cui sfruttino una nuova vulnerabilità come vettore iniziale di attacco. In questo caso, la scelta dell’obiettivo non avviene a priori, ma è semplicemente dovuta al fatto che i cyber criminali si trovano di fronte un’occasione particolarmente “ghiotta”. In entrambi i casi, l’uso di strumenti basati sulla cyber deception technology permette di migliorare il livello di resilienza ai loro attacchi.
Anatomia dell’attacco
Quale che sia la strategia di partenza, il modus operandi dei pirati informatici specializzati in attacchi alle aziende segue un canovaccio piuttosto consolidato, che parte dalla compromissione di un singolo dispositivo all’interno del network. Da qui iniziano quello che viene chiamato in gergo “movimento laterale”, cioè un’attività di spostamento all’interno del network aziendale che normalmente viene attuato utilizzando normali strumenti di amministrazione o addirittura tool usati dagli esperti di sicurity per verificare la sicurezza delle reti. Si tratta di uno stratagemma che consente ai pirati informatici di minimizzare il rischio di essere individuati. In sintesi, l’uso di malware o di tecniche di attacco facilmente riconoscibili è limitato al primo accesso, da quel momento in poi i cyber criminali usano tecniche di hacking molto difficili da rilevare. Ed è qui che entra in gioco la strategia legata all’uso della cyber deception technology.
Cyber deception technology: un’esca per i pirati
Il concetto di base della cyber deception technology è mutuato dai cosiddetti honeypot, i “barattoli di miele” utilizzati dalle società di sicurezza informatica per individuare e analizzare i malware. Si tratta di server esposti su Internet con impostazioni di sicurezza volutamente scadenti, che hanno lo scopo di attirare gli attacchi e consentire così ai ricercatori di “catturare” i nuovi malware e avere l’occasione di studiarli. In una logica orientata alla protezione della rete aziendale è possibile fare la stessa cosa, collocando una risorsa (un singolo dispositivo come un server) con uno scarso livello di protezione e dei contenuti particolarmente appetibili per i cyber criminali, come falsi documenti relativi all’attività finanziaria o alla gestione dell’infrastruttura IT. Se i pirati cadono nel tranello, la loro presenza verrà rilevata e i responsabili di sicurezza avranno modo di studiarne le mosse per comprendere quali tecniche stanno usando. Insomma: grazie all’uso della cyber deception technology, gli addetti alla cyber security hanno la possibilità di analizzare il comportamento degli avversari come un biologo può studiare il comportamento di un virus in un vetrino, per poi predisporre tutti gli strumenti che consentono di rilevare immediatamente ulteriori attività e contrastare, in questo modo, l’attacco.
