Costruire la resilienza attraverso Threat Intelligence (TI)

Questo articolo fornisce una panoramica dettagliata della costruzione della resilienza attraverso l’intelligence sulle minacce. I dati e le informazioni discussi qui sono stati forniti da Cristina Vatamanu , responsabile del team forense e investigativo del Cyber ​​Threat Intelligence Lab di Bitdefender.

L’articolo delinea come l’intelligence sulle minacce si è evoluta negli ultimi anni, come può essere contestualizzata e come gli attacchi possono essere attribuiti a specifici attori delle minacce.

L’evoluzione della Threat Intelligence

L’intelligence sulle minacce come concetto è diventata molto più complessa ed efficace nel tempo. All’inizio, l’intelligence sulle minacce si concentrava sull’identificazione di semplici indicatori di potenziale compromissione, ma da allora sono stati inclusi molti altri preziosi insight, framework e modelli.

Uno di questi modelli è la piramide del dolore. Questo modello concettuale viene seguito per utilizzare efficacemente l’intelligence sulle minacce informatiche per rilevare le minacce, con importanza attribuita all’aumento dei costi operativi dell’autore della minaccia.

Oltre ai nuovi modelli, le informazioni operative e tattiche sono diventate molto più approfondite, concentrandosi sulle tendenze attuali e mappando interi attacchi utilizzando tattiche, tecniche e procedure (TTP) da framework come MITRE . In questo modo, i team di sicurezza informatica possono identificare la struttura di un attacco, altrimenti nota come Kill Chain.

Mettere TI nel contesto

Ottenere informazioni sulle minacce va benissimo, ma è necessario un contesto, sia interno che esterno, affinché i team di sicurezza possano comprendere il quadro molto più ampio.

Il processo di raccolta e sviluppo di informazioni sulle minacce può essere suddiviso in sei fasi:

1. Raccolta dei dati
2. Ordinamento dei dati per pertinenza
3. Organizzare i dati in forme utilizzabili
4. Presentare visivamente i dati
5. Spiegare i dati con una storia (ad esempio, un case study)
6. Usare l’intelligenza ritenuta utile

Tutti i passaggi sono ugualmente importanti, ma gli ultimi due passaggi forniscono il contesto e lo scopo dell’intelligence sulle minacce. Gli indicatori iniziali di compromissione consentono di identificare e monitorare potenziali minacce, ma il contesto consente ai team IT di prevedere un attacco, consentendo loro di adottare misure preventive.

Il passaggio finale si riferisce alla consapevolezza situazionale, aiutando le organizzazioni ad adattare l’intelligence sulle minacce alle loro esigenze. Sfortunatamente, molte indagini forensi mostrano che le organizzazioni spesso intraprendono azioni sbagliate, contribuendo a violazioni della sicurezza o alla distruzione di prove.

Pertanto, il passaggio finale è fondamentale per garantire alle organizzazioni:

• Segui le procedure corrette
• Prendere le misure necessarie
• Migliora le loro operazioni
• Dai la priorità agli incidenti giusti
• Identificare i rischi
• Proteggi e costruisci la resilienza

Successivamente, diamo un’occhiata a due esempi di contesto fornito all’intelligence sulle minacce.

Threat Intelligence – casi di studio

Malware a tema Covid-19

Il Covid-19 ha innescato lo sfruttamento delle vulnerabilità nel settore sanitario, che è diventato l’obiettivo più popolare per i criminali informatici. In Bitdefender, l’attenzione del team si è spostata sul monitoraggio della salute verticale nel marzo 2020. Era chiaro fin dall’inizio che c’era stato un aumento significativo delle segnalazioni dannose relative al coronavirus, oltre cinque volte di più rispetto al mese precedente.

Ospedali, farmacie, laboratori e cliniche hanno tutti subito attacchi ransomware, e a causa della loro necessità di funzionare 24 ore su 24, 7 giorni su 7, c’era poco tempo per pensare se pagare il riscatto. Le istituzioni pubbliche erano particolarmente vulnerabili in quanto la sicurezza informatica era un obiettivo a bassa priorità in quel momento.

La maggior parte delle campagne aggressive sono state lanciate in Europa, in particolare in Italia, che è stato il primo paese ad essere fortemente colpito dal virus nel continente. Gli attori delle minacce hanno sfruttato la paura e la confusione diffondendo propaganda spam per alimentare l’isteria.

Una volta che la pandemia è diventata globale ad aprile, gli attacchi informatici si sono diffusi in tutti i continenti. Negli Stati Uniti, gli attacchi sono stati più importanti negli stati che erano nella Top 3 per infezioni e decessi noti, New York, Florida e California.

Sulla base delle tendenze europee, è stato più facile identificare dove si sarebbe verificata la maggior parte degli attacchi negli Stati Uniti, aiutando i team di sicurezza informatica ad agire e comunicare rapidamente per rilasciare indicatori, aumentare la consapevolezza e rilevare gli attacchi. Ciò ha aiutato tutti a intraprendere prontamente le azioni giuste per prevenire gli attacchi ransomware.

Anche le piccole imprese sono state vittime del ransomware Covid-19, a dimostrazione del fatto che qualsiasi organizzazione può essere un bersaglio. Con gli attacchi alle piccole e medie imprese in aumento del 150% negli ultimi due anni, la protezione del flusso di cassa e la sicurezza delle operazioni monetarie dovrebbero essere in prima linea in qualsiasi strategia di sicurezza informatica.

Spionaggio industriale

Quando si considerano attacchi più mirati, lo spionaggio industriale ha sempre interessato il team di Bitdefender, che ha recentemente condotto un’indagine forense in quest’area. Nel caso di spionaggio industriale, la vittima era un’organizzazione del settore tecnologico che di recente ha rilasciato un importante prodotto.

L’indagine ha mostrato che l’organizzazione era stata compromessa per diversi mesi prima del rilascio del prodotto e lo scopo dell’attacco era l’esfiltrazione di informazioni. Per eseguire l’attacco, l’autore della minaccia aveva bisogno di chiavi SSH, certificati VPN, e credenziali, e hanno anche preso di mira l’esfiltrazione del codice sorgente. Questo attacco ibrido ha utilizzato sia processi automatizzati che comandi eseguiti manualmente.

Gli investigatori hanno scoperto che il vettore iniziale dell’infezione era un’istanza Internet del server Web ZOHO ManageEngine ADSelfService Plus che gli hacker hanno utilizzato per sfruttare una vulnerabilità nota senza patch. È una delle vulnerabilità più sfruttate, poiché consente agli aggressori di aggirare l’autenticazione di sicurezza ed eseguire codice dannoso.

Dopo aver ottenuto l’accesso al sistema, gli hacker hanno distribuito una combinazione di web shell in una directory accessibile da Internet, ottenendo l’accesso remoto al server dell’azienda. Una volta individuate le aree di interesse del sistema, l’aggressore ha compresso e clonato i file, estratto gli archivi e spinto i dati in una cartella di esfiltrazione centrale. Quindi, l’esfiltrazione è stata avviata utilizzando le normali richieste HTTP GET tramite Internet.

Sono stati utilizzati oltre 650 IP per esfiltrare questi dati e la maggior parte di essi può essere fatta risalire alla Cina .

Processi forensi

Lo scopo dell’analisi è quello di ottenere quante più informazioni possibili su una minaccia. Ciò può essere ottenuto in due modi:

• Statisticamente , ad esempio, decifrando un file di configurazione incorporato da cui possiamo estrarre gli indirizzi dei server di comando e controllo, decodificando il protocollo di comunicazione e così via.
• In modo dinamico , cercando di riprodurre i protocolli di comunicazione per scaricare nuovi payload, comandi o altri file di configurazione.

I processi forensi contribuiscono a trovare payload simili che possono essere automaticamente attribuiti all’autore della minaccia indagato, mappando una rete botnet o ottenendo informazioni su obiettivi o dettagli specifici della minaccia.

Oltre al livello commerciale, l’analisi forense viene utilizzata per identificare le minacce che prendono di mira gli individui, in particolare gli attacchi che prendono di mira le finanze personali. Un conto bancario online sicuro , combinato con l’autenticazione a più fattori o biometrica, è essenziale per prevenire tali minacce.

Attribuzione della minaccia

In termini di attribuzione delle minacce, è necessario comprendere che i creatori di malware sono programmatori e ogni malware creato necessita di un’ampia gamma di funzioni, dal download del payload alla crittografia dei file.

Poiché è molto probabile che i creatori di malware lavorino su numerosi progetti, è molto probabile che riutilizzino il codice di progetti precedenti. La chiave è identificare le funzioni che sono rilevanti per specifici attori delle minacce, lasciando effettivamente un’impronta digitale.

Anche l’analisi di questi file è molto più semplice utilizzando i framework ML di machine learning insieme alle regole di Yara.

Conclusione

L’intelligence sulle minacce è uno strumento indispensabile nella sicurezza informatica ed è una componente essenziale per costruire la resilienza all’interno di un’organizzazione. Può essere utilizzato per identificare le tendenze per aiutare a prevenire attacchi simili in futuro e, utilizzando l’analisi forense, può anche attribuire attacchi a specifici attori delle minacce. Senza informazioni sulle minacce, è molto più difficile per i team di sicurezza informatica comprendere il quadro generale.

FONTE: https://businessinsights.bitdefender.com/building-resilience-through-threat-intelligence-ti?_gl=1oimnbb_gaODA0NzU2NzQyLjE2NjY5NDQyNTQ._ga_6M0GWNLLWFMTY3NDcyNDMyNi4xLjEuMTY3NDcyNDU0NC41MC4wLjA._ga_R43EZ9XF5Y*MTY3NDcyNDMyNi4xLjEuMTY3NDcyNDU0NC41MC4wLjA.