cyber security

Una piramide per valutare e gestire il cyber risk, ecco i vantaggi

Una strategia per aumentare la resistenza agli attacchi di un sistema informatico a partire da una classificazione “a piramide” del sistema basata sui possibili attacchi ed al rischio che essi generano. Obiettivo: individuare quali strumenti utilizzare per valutare e gestire il cyber risk

03 Mag 2019
Fabrizio Baiardi

Università di Pisa


Una struttura a piramide per classificare i sistemi Ict di una organizzazione e scegliere lo strumento migliore per minimizzare i rischi.

Partendo dalla valutazione del rischio che un sistema genera, la soluzione utilizza una classificazione dei sistemi visualizzata, appunto, come una piramide con più livelli che prende in considerazione tre aspetti:

  • quello puramente tecnico del tipo di attacco e dell’attaccante,
  • quello puramente economico sui costi e benefici economici dell’organizzazione proprietaria,
  • i possibili costi sociali.

Fig. 1. La piramide dei sistemi informatici

Sistemi ICT ai livelli più alti richiedono una valutazione ed una gestione più sofisticata per meglio resistere ai cyberattacchi che li coinvolgono [1, 2]. L’adozione di una piramide evidenzia che il numero di sistemi che richiedono soluzioni più sofisticate diminuisce all’aumentare del livello della piramide. Tuttavia, la crescente diffusione di sistemi informatici nell’industria 4.0 sta erodendo la base della piramide.

Individuare i possibili attaccanti e le loro strategie è fondamentale per valutare e gestire il rischio. In particolare, la valutazione deve scoprire non solo le vulnerabilità del sistema ma soprattutto i percorsi degli attaccanti. Un percorso è una sequenza di attacchi che permette ad un attaccante di ampliare i propri privilegi e controllare un numero crescente di risorse fino a quelle che sono il suo obiettivo. La gestione del rischio deve individuare un insieme di contromisure che modificano il sistema, in modo permanente o temporaneo, e bloccano uno o più percorsi eliminando le vulnerabilità che abilitano gli attacchi nei percorsi. Bloccare percorsi diversi con le stesse contromisure è una strategia fondamentale per minimizzare i costi della sicurezza.

La necessità di predire e bloccare i percorsi di attacco rende la valutazione e gestione del rischio un processo diverso dalle soluzioni attualmente più diffuse e che coprono solo alcuni passi dell’intero processo. Questo processo è diverso dall’analisi delle vulnerabilità, che deve scoprire le vulnerabilità di un sistema ma non i percorsi che esse permettono [3]. È anche diverso da un penetration test che non può garantire la scoperta di tutti i percorsi. Esistono attualmente sul mercato numerosi strumenti che supportano alcuni passi del processo. Un numero ridotto di strumenti più innovativi permette l’automazione completa della scoperta dei percorsi e la scelta delle contromisure da adottare.

La piramide della cybersecurity

Consideriamo inizialmente i soli benefici ed impatti economici per il proprietario del sistema. Se usiamo questa metrica possiamo classificare i sistemi utilizzando due metriche tra loro ortogonali.

La prima metrica la più semplice, classifica un sistema in base all’impatto sui processi dell’organizzazione del controllo illegale del sistema da parte di terzi. Questa metrica dovrebbe essere una percentuale ma, per semplicità, useremo una classificazione binaria. Di conseguenza, i processi dell’organizzazione possono continuare o dover essere interrotti in base al controllo dell’attaccante sul sistema target. Assumiamo che abbiano un impatto sui processi di un’organizzazione anche quei sistemi per cui esistono vincoli legali verso terzi. Ad esempio, il GDPR introduce dei vincoli sulla protezione delle informazioni personali e sulla gestione di eventuali perdite di dati. Un attacco a sistemi che trattano informazioni di questo tipo si ripercuote sempre sui processi dell’organizzazione.

La seconda metrica distingue i sistemi che meritano un attacco di tipo mirato (vedi box in basso) per il ritorno economico da quelli che verranno invece coinvolti solo in attacchi di massa. Ciò che caratterizza questi ultimi sistemi è che le loro risorse più preziose sono quelle informatiche, mentre le informazioni che custodiscono sono magari critiche per il proprietario ma di ridotto valore se offerte a terzi. Questa classificazione evidenzia che mentre tutti i sistemi ICT possono il bersaglio di attacchi di massa solo alcuni saranno attaccati per il valore delle risorse che gestiscono o di quelle che pilotano.

Tra i sistemi coinvolti anche in attacchi mirati distinguiamo quelli che gestiscono infrastrutture critiche come, ad esempio, la distribuzione di gas, luce ed acqua. Il controllo illegale di questi sistemi provoca perdite non solo economiche ma anche di vite umane con forti ripercussioni e costi sociali.

Infine, l’ultima classe che consideriamo comprende un sottoinsieme delle infrastrutture critiche ed in particolare i sistemi da cui dipende la sicurezza dello Stato. Tipico esempio è quello di un sistema per il voto elettronico o per il controllo di sistemi di arma o di difesa. In questo caso, il controllo, soprattutto se persistente, da parte di terzi ha ripercussioni non solo sociali ma anche strategiche a livello nazionale ed internazionale.

Se applichiamo simultaneamente le due metriche, è ovvio che solo i sistemi che non meritano un attacco mirato possono non influenzare i processi dell’organizzazione. Di conseguenza, l’uso simultaneo delle due metriche genera la seguente classificazione dei sistemi target:

  • sistemi soggetti unicamente ad attacchi di massa e che non hanno un impatto critico sui processi aziendali,
  • sistemi soggetti unicamente ad attacchi di massa ma con un impatto critico sui processi,
  • sistemi soggetti anche ad attacchi mirati per il ritorno economico,
  • sistemi per il controllo di infrastrutture critiche,
  • sistemi da cui dipende la sicurezza dello Stato.

Il tutto è riassunto nella piramide in fig. 1. La piramide, che indicheremo come economica, sottolinea che il numero di sistemi in una classe è sempre inferiore a quella della classe. Esaminiamo ora in dettaglio le classi e le strategie da adottare per difendere i sistemi associati.

Classe 1

Un tipico sistema target in questa classe è quello per la gestione amministrativa di un’azienda. È ovvio che le informazioni che esso gestisce sono fondamentali ma l’azienda può continuare le sue attività anche in assenza dell’amministrazione. Ciò riduce l’impatto di un attacco al sistema ICT e, di conseguenza, anche gli investimenti in sicurezza ICT previsti per il sistema target. Vista la costante riduzione degli attacchi di tipo ransomware, gli attacchi di massa tendono sempre più alla creazione di botnet. Questi attacchi hanno un impatto spesso molto ridotto per l’organizzazione proprietaria poiché la botnet usa le risorse nei sistemi dell’organizzazione per tempi ridotti e, in generale, senza significativi danni economici. Ad esempio, la botnet creata dalla prima versione di Mirai comprende dispositivi di tipo IoT e sfrutta un dispositivo infetto per cercare altri dispositivi da compromettere. I dispositivi infettati continuano a funzionare normalmente ma aumenta il loro utilizzo della banda di comunicazione. Inoltre, Mirai non attacca sistemi dove potrebbe essere scoperto. Ad esempio, non attacca sistemi del DoD o di industrie collegate.

Evitare di danneggiare significativamente il sistema target è una regola fondamentale per una botnet che voglia continuare a controllare le sue risorse. Questo è quello che avviene in natura dove i parassiti con più elevata diffusione e successo stabiliscono un equilibrio con gli organismi che li ospitano.

Come detto, anche investimenti in sicurezza molto ridotti possono essere convenienti per sistemi target in questa classe. Ad esempio, quasi tutti i ransomware possono essere sconfitti semplicemente aumentando la frequenza con cui si creano copie di backup. Di conseguenza, può non essere conveniente per l’organizzazione proprietaria del sistema disporre di competenze proprie su valutazione e gestione del cyber risk ICT. In questo contesto, la reazione più economicamente conveniente ad un attacco di tipo ransomware può essere quella di pagare quanto chiesto. Ovviamente, questa strategia può diventare non utilizzabile in base alla frequenza degli attacchi, ma questo è al di fuori del controllo dell’organizzazione.

Visti i ridotti investimenti possibili e la carenza di competenze, non conviene utilizzare strumenti personalizzati per la difesa di questi sistemi. Le contromisure saranno quindi delegate a strumenti standard sia per la rilevazione di malware che per la gestione delle patch. Meccanismi di filtraggio del traffico sono definiti configurando moduli già presenti nel sistema. Ad esempio, è possibile creare access control list per il routing di frontiera o per altri moduli del sistema. L’efficacia di queste soluzioni è comunque limitata dalla struttura piatta e non segmentata di molti di questi sistemi e che permette al malware di raggiungere tutti i nodi del sistema qualunque sia il nodo infettato inizialmente.

WEBINAR
Intelligenza Artificiale, Data Analysis e Image Recognition: i vantaggi concreti per l’azienda
Big Data
Intelligenza Artificiale

In generale, visto il ridotto investimento in sicurezza ICT, la valutazione e la gestione del rischio di un sistema in questa classe è possibile solo automatizzando il processo corrispondente. Solo una soluzione automatizzata può offrire un servizio di qualità elevata ed adeguato alla crescente complessità e sofisticazione dei malware. L’automazione permette da un lato di ridurre il costo delle attività e dall’altro di rimediare alla carenza di personale interno in grado di valutare il cber risk ed implementare le contromisure. La ridotta complessità del sistema e delle contromisure semplifica il compito degli strumenti.

Come detto nel seguito, questa classe di sistemi viene costantemente erosa a favore di quelli della classe successiva.

Classe 2

Un sistema target in classe 2 gestisce risorse o informazioni che non hanno valore al di fuori dell’organizzazione proprietaria ma la mancata o la ridotta disponibilità del sistema può avere un serio impatto sulla produzione o provocare ripercussioni legali che l’organizzazione deve comunque gestire. Tipico esempio è quello di un sistema per il controllo industriale o di un sistema target che gestisca informazioni personali protette dal GDPR. Anche se le informazioni che il sistema di controllo gestisce non hanno valore sul mercato, una ridotta disponibilità del sistema provoca il blocco di una o più linee produttive con danni potenzialmente elevati. Un attacco al sistema con dati personali provoca sicuramente i costi per la notifica alle persone i cui dati sono stati acceduti. Di conseguenza, i sistemi in questa classe devono essere adeguatamente protetti. Visto il potenziale impatto economico degli attacchi, è necessario valutare e gestire il cyber risk individuando contromisure efficaci ed economiche. L’ impatto elevato permette anche di aumentare l’investimento in sicurezza. È quindi possibile adottare strumenti di difesa personalizzati come firewall e sistemi per la rilevazione di intrusioni. È compito della valutazione e gestione del rischio coordinare e dirigere gli strumenti in modo da bloccare tutti i percorsi di attacco.

La diffusione dell’industria 4.0 con la conseguente adozione di linee di produzione ad alta automazione sotto il controllo di algoritmi di intelligenza artificiale aumenta in maniera continua il rapporto tra il numero di sistemi in classe 1 e quelli in classe 2 a favore di questi ultimi. Uno svantaggio ineliminabile dell’automazione della produzione è la possibilità di attacchi cyber.

Anche in sistemi in questa classe, l’automazione della valutazione e della gestione del rischio supera le carenze di dipendenti esperti ed ottimizza costo e numero delle contromisure utilizzate. La criticità di un sistema in questa classe richiede un insieme completo di contromisure ovvero in grado di bloccare tutti i percorsi d’attacco. Approcci parziali alla valutazione del rischio come un penetration test o un vulnerability assessment non sono quindi adeguati perché non possono scoprire tutti i percorsi di attacco e non garantiscono di restituire delle contromisure che blocchino completamente tali percorsi.

Classe 3

Un sistema in classe 3 può essere il target di attacchi di massa e mirati ed un attacco con successo ha sicuramente un impatto sui processi aziendali [4, 5]. La scelta delle contromisure deve tener conto sia dei processi dell’organizzazione su cui il sistema va ad incidere sia dell’esistenza di attaccanti in grado di personalizzare l’attacco. Questi attaccanti possono essere anche di tipo APT nel caso di impatti rilevanti, ad esempio quando il sistema target è gestito da organizzazioni bancarie o finanziarie, o quando l’organizzazione appartiene ad una supply chain per componenti di sistemi in classi più elevate, ad esempio una SME che fornisca componenti per infrastrutture critiche. Complessivamente, i due fattori aumentano sia il potenziale impatto di un attacco che la sua probabilità di successo. Questo aumenta sia il cyber risk che gli investimenti necessari per valutarlo e gestirlo.

La diffusione dell’industria 4.0 provoca una significativa crescita del numero di sistemi che gestiscono informazioni critiche per la produzione industriale e che hanno grande valore per la concorrenza. Di conseguenza, aumenta la probabilità che un sistema tipico di industria 4.0 possa diventare il bersaglio di un attacco mirato.

Una organizzazione che utilizzi un sistema target in questa classe deve poter disporre di competenze informatiche in grado di applicare le contromisure selezionate. Il punto critico per la valutazione e la gestione del rischio è l’esistenza di attaccante che utilizza una strategia adattiva e non fissa come un malware. Di conseguenza, l’attaccante può modificare la sua strategia ed il suo percorso anche in base alle contromisure adottate. Di conseguenza, l’attaccante sceglierà alcuni percorsi contro il sistema originale, i percorsi iniziali, e percorsi diversi se alcune contromisure bloccano i percorsi iniziali. Poter conoscere in anticipo e bloccare tutti i percorsi, compresi quelli che l’attaccante sceglie quando reagisce alle contromisure sui percorsi iniziali, è quindi fondamentale per una difesa completa. Ciò può essere garantito solo adottando, anche in questa classe, strumenti che automatizzino in modo completo la valutazione del rischio e la selezione di contromisure. Infatti, solo un approccio automatico è in grado di scoprire sia tutti i percorsi d’attacco iniziali che quelli che un attaccante sceglierà reagendo alle contromisure adottate.

Classe 4

Un attacco ad un sistema target in classe 4 ha un impatto non solo economico perché può mettere in pericolo la vita delle persone. Un possibile esempio è un attacco ad una rete di distribuzione di luce e/o gas. Gli impatti di attacchi a questi sistemi possono comprendere, ad esempio il mancato riscaldamento delle abitazioni, la sicurezza dei trasporti e la cura degli ammalati. Riadattando una definizione di Bruce Schneier possiamo dire che se un attacco ai sistemi delle classi precedenti produce dei danni, qui può provocare delle catastrofi. Quindi, la difesa di questi sistemi non solo deve valutare e gestire il cyber risk ma anche applicare contromisure che possono non essere convenienti ma evitano impatti agli utenti finali delle infrastrutture. Sistemi in questa classe possono richiedere non solo robustezza rispetto a cyber attacchi ma anche una resilienza rispetto a guasti o fallimenti dei singoli componenti.

Gli attacchi possono essere mirati ma anche di massa. Ad esempio, attacchi ai sistemi per la produzione e distribuzione di prodotti petroliferi sono stati eseguiti tramite alcune varianti dei malware Disttrack e Shamoon.

La legislazione europea con la direttiva NIS richiede per questi sistemi l’applicazione di una valutazione del rischio sia rispetto a minacce intelligenti che a guasti e fallimenti. Visto l’impatto non solo economico, i sistemi in questa classe possono essere il bersaglio di attacchi mirati provenienti da APT che possono essere supportati da Stati interessati a creare e manipolare movimenti di opinione o manifestazioni più o meno violente. Quindi questi sistemi sono bersaglio non solo di attaccanti sofisticati ma anche di tipo ibrido che integrano, ad esempio, attacchi tecnologici con la manipolazione di mezzi di comunicazione. Questi attaccanti possono conoscere vulnerabilità non ancora pubbliche e quindi sistemi in questa classe devono poter resistere agli attacchi di questo tipo. Una valutazione del rischio adeguata deve quindi utilizzare analisi di tipo what-if. Questo approccio è l’unico che può di valutare come eventuali vulnerabilità non ancora pubbliche possono aumentare il cyber risk. Lo stesso approccio permette di scoprire se è possibile bloccare un percorso di un attaccante prima che possa sfruttare queste vulnerabilità. Per evitare costose modifiche ad un sistema già funzionante è opportuno adottare anche metodologie di tipo security-by-design,. La necessità di dover utilizzare simultaneamente what-if e security by design limita ulteriormente l’adozione di penetration test o di strumenti di breach simulation che devono lavorare sul sistema esistente e non su un suo modello.

Classe 5

Un attacco ad un sistema in classe 5 ha ripercussioni sulla sicurezza dello Stato. In questo caso l’organizzazione è di tipo statale o è un fornitore di una organizzazione statale. Sistemi tipici in questa classe possono essere, ad esempio, quelli per votazioni nazionali elettroniche, sistemi per la gestione di informazioni coperte dal segreto di stato o sistemi d’arma. Un attacco con successo a questi sistemi ha ripercussioni strategiche di lungo termine. Le minacce sono in generale supportate e finanziate da altri stati e, molto più raramente, da organizzazioni criminali. In generale, gli attaccanti sono estremamente sofisticati e dispongono di un arsenale di vulnerabilità non pubbliche. Diventa ancor di più fondamentale per sistemi in questa classe l’adozione simultanea di metodologie security by design e what-if. L’uso di modelli formali e rigorosi è un supporto fondamentale per migliorare la cybersecurity di questi sistemi.

Aspetti tecnici, economici e sociali

È evidente come ai livelli bassi della piramide gli aspetti preponderanti siano quelli tecnici ed economici, salendo verso i livelli alti gli aspetti sociali e strategici diventano predominanti. Ai livelli alti cresce anche la competenza degli attaccanti, le risorse di cui dispongono e la loro persistenza, ovvero la volontà di ripetere attacchi fino al loro successo. Altra caratteristica è l’uso di tecniche stealth per minimizzare la probabilità di essere scoperti e massimizzare la permanenza nel sistema. Per impedire l’attribuzione dell’attacco, questi attaccanti usano catene sempre più lunghe di nodi intermedi, stepping stones, per mascherare la sorgente reale dell’attacco. Questo non implica che ai livelli bassi gli attacchi siano banali perché anche gli attacchi automatici hanno raggiunto un livello di sofisticazione elevato. Le principali carenze degli attacchi automatici sono legate alla adattività ovvero alla capacità di reagire al fallimento di un attacco non eseguendo il successivo in un ordine fisso, ma di sfruttare le informazioni raccolte per scegliere quello con maggiore probabilità di condurre all’obiettivo. Un ultimo aspetto da considerare è che la diffusione di robotica e di tecnologie tipo industria 4.0 provoca la “promozione” del sistema informativo di molte organizzazioni dalla prima classe alla seconda.

In un attacco a sistemi di fascia alta, il tempo non è un problema critico in quanto l’attacco viene pianificato in modo da disporre di tutto il tempo necessario, in particolare per la raccolta di informazioni. Se un attaccante può scegliere il tempo da investire nella raccolta di informazioni sul target prima dell’attacco, quando l’attacco inizia è conveniente minimizzare il tempo per eseguire gli attacchi o per installare software sul sistema target.

Utilizzo di cloud

Nel caso di sistemi ai livelli bassi della piramide la migrazione ad un cloud pubblico può permettere ad una organizzazione di ridurre il cyber risk e disporre di personale con migliori competenze. Questo miglioramento va bilanciato con l’aumento del rischio dovuto alla condivisione di risorse tipica di un cloud pubblico. Inoltre, l’utilizzo di cloud può non essere possibile per vincoli in tempo reale o di connettività. Nel caso di sistemi dei livelli alti della piramide, l’utilizzo di sistemi cloud è limitato a cloud privati o a partizioni fisiche di cloud pubblici come già avvenuto negli USA.

Piramide e igiene pubblica

Questa sezione descrive brevemente le possibili strategie di difesa del sistema target da parte della organizzazione proprietaria. Nel seguito, considereremo solo sistemi di classe inferiore alle infrastrutture critiche poiché a partire da questa classe i sistemi devono rispettare specifici vincoli di legge che l’organizzazione proprietaria deve conoscere.

Sono due le domande che l’organizzazione proprietaria di un sistema nelle prime tre classi deve porsi:

  • influenza del sistema target sui processi dell’organizzazione
  • possibilità di un attacco mirato.

Una risposta positiva almeno alla prima domanda implica la necessità di valutare il cyber risk e di adottare delle contromisure adeguate. La seconda risposta determina la complessità delle contromisure da adottare.

Mentre l’organizzazione possiede le informazioni per rispondere alla prima domanda, la risposta alla seconda può essere più difficile perché dipende dal valore delle informazioni possedute e dall’interesse che queste possono suscitare. Si consideri, ad esempio, come la risposta cambia se una azienda diventa fornitore di una organizzazione bancaria o finanziaria o di una che operi nel settore della difesa nazionale. Ciò è indipendente dalla dimensione dell’azienda e dalle sue competenze informatiche. Vi può essere inoltre la spiacevole tendenza a dare una risposta negativa perlomeno alla seconda domanda per limitare i costi della sicurezza. Questo può però ripercuotersi su tutta la supply chain cui l’organizzazione appartiene.

In buona parte degli attacchi discussi in precedenza, le botnet hanno un ruolo fondamentale per nascondere la sorgente reale di un attacco e per fornire risorse agli attaccanti. Da questo punto di vista, solo l’esistenza delle botnet permette agli APT di agire e di nascondere le tracce delle loro azioni. È quindi ovvio che la ridotta convenienza al livello basso della piramide di aumentare la robustezza dei loro sistemi provochi un aumento degli investimenti in sicurezza necessari ai livelli alti della piramide. A questa asimmetria può rimediare da un lato l’automazione del processo di valutazione e gestione del rischio dall’altro un supporto agli investimenti.

L’automazione di valutazione e gestione del rischio provoca non solo una forte riduzione del costo di queste procedure ma supera la carenza di personale esperto in cyber security. Una valutazione automatizzata e di qualità è strutturalmente ripetibile e trasparente. Quindi, essa permette ad un’organizzazione di affrontare al meglio eventuali vulnerabilità del proprio sistema informatico e fornisce una valutazione realistica del cyber risk che il sistema genera, qualunque sia la posizione nella piramide. Non solo la valutazione può essere opposta a terzi, ma evita all’organizzazione il falso senso di sicurezza generato da una valutazione non oggettiva svolta da personale non qualificato. Una gestione del rischio automatizzata individua le contromisure più efficaci ed economiche mediante strumenti di ottimizzazione ben consolidati. Questo fornisce un solido supporto alle scelte degli investimenti in sicurezza.

Il principale problema da affrontare per una automazione completa della valutazione e gestione del rischio è la raccolta di informazioni sul sistema. La raccolta è di particolare complessità soprattutto nei due casi estremi di sistemi di aziende micro o piccole oppure molto grandi. Aziende micro o piccole, infatti, non dispongono di personale in grado di raccogliere e fornire tutte le informazioni necessarie. Aziende molto grandi hanno sicuramente personale competente ma i loro sistemi informativi sono talmente estesi e crescono ad una velocità tale da impedire la raccolta di informazioni complete. Recenti risultati di ricerca permettono però di risolvere il problema e sono attualmente disponibili prototipi in grado di ricostruire con elevata accuratezza la topologia di un sistema e di produrre un inventario dei suoi moduli.

Anche la sofisticazione crescente di attacchi di massa dimostra che solo una valutazione automatica del rischio possa valutare e gestire il cyber rischio perché tutti i sistemi dovranno a breve poter resistere ad attacchi di massa e sofisticati. In altri termini, solo l’automazione della valutazione e gestione del rischio permette di fronteggiare l’automazione e la sofisticazione degli attacchi.

Il finanziamento pubblico applica alla gestione del cyber risk una strategia pienamente validata dalla sanità pubblica. Nel momento in cui si decide che è interesse pubblico limitare la diffusione di alcune malattie è compito dello stato intervenire e coprire costi di vaccinazioni di massa o di altre soluzioni. Una strategia simile può essere adottata e sovvenzionare sia l’esecuzione della valutazione del rischio che l’adozione di contromisure per migliorare la resistenza agli attacchi di sistemi il cui unico valore è di essere usato come stepping stone di attacchi mirati. Questa strategia assume che nessun sistema abbia un valore trascurabile e ne garantisce la robustezza ad attacchi quando viene connesso in rete.

Una strategia alternativa prevede l’obbligo della certificazione dei sistemi che si vogliano connettere ad una rete pubblica. Infine, l’obbligo si può accompagnare ad una assicurazione per coprire danni causati a terzi con facilitazioni e costi ridotti per chi valuta il cyber risk ed adotta le contromisure suggerite.

La strategia proposta e la classificazione su cui è basata evidenziano l’importanza strategica delle tecnologie per automatizzare in modo completo la valutazione e la gestione del rischio. Solo l’automazione può fronteggiare in modo adeguato il rischio crescente posto dall’automazione degli attacchi e dalla crescente adozione dei sistemi cyber fisici alla base dell’industria 4.0 e dalla robotica.

Definizioni

Attacco di massa

Un attacco non mirato o di massa non ha un obiettivo specifico ma vuole colpire il maggior numero di sistemi possibili. Attacchi di massa sono eseguiti da malware che comprendono un vettore di attacco ed un payload. Un vettore d’attacco è un frammento di codice che esegue sequenzialmente alcuni attacchi fino a quando uno ha successo. La sequenza è rigida e non specializzata in base al sistema attualmente attaccato. Se uno degli attacchi ha successo, il malware può replicarsi sul nodo attaccato, controllarlo ed usarlo come punto di partenza per attaccare altri nodi.

Il payload è un codice che sfrutta le risorse dei nodi attaccati con successo. Un tipico payload crea delle reti nascoste o botnet le cui risorse apparentemente restano sotto il controllo del legale proprietario. Chi crea una botnet ne affitta le risorse per l’invio di spam, il mining di criptovalute, l’esecuzione di DDOS o di altri attacchi.

Un RAT, remote access trojan, è un payload per il controllo di nodi ed il furto di informazioni sul nodo o prodotte dagli utenti. Discutiamo separatamente nel seguito un altro payload, il ransomware.

Un attacco di massa installa inizialmente il malware su alcuni nodi da dove lancia i suoi attacchi. Una strategia alternativa utilizza una campagna di phishing che invia e-mail con link per scaricare il malware. Il malware penetra così in sistemi ben protetti da cui si diffonde.

Tipico attacco di massa è quello realizzato dalle versioni di Mirai che attaccano non solo webcam ma anche router, sistemi di teleconferenza e dispositivi di memoria di rete. Alcune varianti eseguono fino a 27 attacchi, alcuni non noti in precedenza. Mirai usa le risorse controllate per eseguire DDOS:

Sono attacchi di massa anche quelli realizzati da attaccanti non sofisticati, gli script kiddies, che usano strumenti automatici e che non sanno personalizzare per adattarli al sistema target. Questi attaccanti si muovono in maniera casuale e scegliendo come bersaglio quei sistemi cosi fragili da cedere ai loro attacchi.

Attacco ransomware

In questo attacco di massa, il payload cifra i dati di ogni sistema attaccato. Successivamente, l’attaccante ricatta il proprietario del sistema che solo pagando può ricevere la chiave per decifrare i propri dati. Quest’attacco è possibile grazie alle criptovalute che permettono pagamenti in forma anonima. Sperimentalmente, la frequenza di questi attacchi è proporzionale al valore delle criptovalute.

Si sono avuti attacchi di massa simili ad un ransomware ma che non miravano a controllare risorse o al pagamento di un riscatto ma alla distruzione di informazioni. Ad esempio, NotPetya pur essendo classificato come ransomware non lo era, perché non poteva decriptare quanto criptato in precedenza. Un attacco di massa di questo tipo è meglio descritto come cyber vandalismo.

Attacco mirato

L’attacco mirato ha uno specifico sistema come target ed è personalizzato per questo sistema. Obiettivo dell’attacco è la persistenza, ovvero una presenza prolungata nel sistema target per rubare informazioni o per manipolare alcuni moduli del sistema. Un attacco mirato comprende più passi che raccolgono informazioni sul bersaglio, personalizzano degli attacchi, creano una struttura di command e control per gestire il furto di informazioni o altro. L’attaccante impiega la maggior parte del tempo nella raccolta di informazioni e spesso sfrutta tecniche di phishing ma specializzando i messaggi con le informazioni raccolte sull’organizzazione ed il suo organigramma.

Un attacco mirato viene in generale eseguito da un umano, ovviamente con il supporto di strumenti informatici, ma può però essere anche delegato ad un malware esteso con informazioni per riconoscere il bersaglio, se e quando sarà raggiunto. In questa soluzione, utilizzata ad esempio da Stuxnet [6, 7], il malware ha una diffusione di massa ma agisce, e colpisce, solo i sistemi che sono il suo bersaglio. Questa strategia richiede una raccolta delle informazioni che permetta di descrivere accuratamente il sistema target. Un attaccante utilizza un attacco mirato mediante malware quando non può raggiungere direttamente il sistema target e non è interessato ad un controllo remoto su tale sistema.

Se confrontiamo un attacco mirato ed uno di massa, è evidente che quello di massa non comprende le operazioni più complesse e cioè la raccolta di informazioni sul sistema target e la trasmissione stealth dei dati raccolti.

Advanced Persistent Threat

Un Advanced Persistent Threat è un attaccante con elevate competenze che opera in modo stealth per minimizzare la probabilità di essere scoperto. Ciò aumenta il tempo dedicato alla raccolta informazioni sul sistema target perchè rallenta le possibili interazioni tra l’attaccante ed il sistema per scoprire le informazioni di interesse. Un APT privilegia attacchi che generano poco rumore sempre per minimizzare la probabilità che essi siano rilevati. C’è un ovvio, forte legame tra APT ed attacchi mirati perché sicuramente un APT userà tutte le strategie e gli strumenti tipici di questi attacchi.

Security by design e what if

La metodologia security by design applica la valutazione e la gestione del rischio in tutte le fasi di sviluppo di un sistema target, a partire dal suo progetto. Anticipare in fase di progetto l’individuazione delle sorgenti di rischio e l’adozione di contromisure non solo minimizza il rischio al momento del deployment del sistema ma permette di utilizzare contromisure più efficaci e meno costose. Infatti, modificare una vulnerabilità di un progetto è sempre meno costoso che intervenire su un sistema già operativo. Il GDPR richiede un approccio security by design ma la metodologia non è supportata dalle soluzioni più popolari per scoprire il cyber risk come, ad esempio, il penetration test. Solo strumenti in grado di lavorare su modelli, esatti o approssimati, del sistema sono in grado di supportare strategie di questo tipo. Considerazioni simili valgono per l’analisi what-if che analizza e prevede come il sistema reagisce ad eventi quali la scoperta di vulnerabilità o il furto di identità. Anche questa analisi richiede la costruzione di un modello del sistema.

_________________________________________________________________

BIBLIOGRAFIA

  1. R. Derbyshire, B. Green, D. Prince, A. Mauthe and D. Hutchison, “An Analysis of Cyber Security Attack Taxonomies,” 2018 IEEE European Symposium on Security and Privacy Workshops (EuroS&PW), London, 2018, pp. 153-161.
  2. F.Baiardi, F.Tonelli, Metriche per la robustezza, La Comunicazione 2016, Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione.
  3. F. Baiardi, F. Coro, F. Tonelli, D., Sgandurra, Automating the assessment of ict risk. Journ. of Information Sec. and Applications 19(3), 182–193 (2014)
  4. E. M. Hutchins, M. J. Cloppert, R. M. Amin. “Intelligence-driven computer network defense informed by analysis of adversary campaigns and intrusion kill chains.” Leading Issues in Information Warfare & Security Research 1.1 (2011): 80.
  5. Mandiant. M-Trends: The Advanced Persistent Threat, January 2010. URL http://www.mandiant. com/products/services/m-trends.
  6. A. Matrosov, E.Rodionov, D. Harley, J. Malcho, (2010). Stuxnet under the microscope. ESET LLC (September 2010).
  7. J. P., Farwell, R. Rohozinski, Stuxnet and the future of cyber war. Survival53(1), 23-40, 2011.

  1. Devo la metafora della piramide a F.Sacconi
WHITEPAPER
Cloud: cogli tutte le opportunità! Meno costi, senza skill ad hoc e con dati in Italia
Cloud
Cloud Application

@RIPRODUZIONE RISERVATA

Articolo 1 di 2