Cosa succede dietro le quinte quando viene identificato un attacco informatico? Quali sono i primi passi degli analisti? Quali sono le loro prime reazioni, le prime azioni che intraprendono con chi ha appena subito un impatto? Come vengono formati i team incaricati della risposta? In un momento in cui gli attacchi informatici si moltiplicano, può essere interessante dare un po’ di visibilità alla natura degli interventi che vengono effettuati quotidianamente dai team tecnici incaricati di difendere le aziende. L’obiettivo è offrire alle organizzazioni alcune idee a cui attingere per affrontare al meglio questa fase critica, nel caso in cui un attacco informatico dovesse colpirle.
Stabilire una valutazione il più rapidamente possibile
Il primo passo che viene compiuto dagli esperti è determinare in quale fase si trovano gli eventi e i rilevamenti osservati, all’inizio, nel mezzo o alla fine dell’attacco. È il concetto di ‘Kill Chain’, la rappresentazione dello svolgimento di un attacco. Questo può essere in corso, ma può anche avere delle premesse. È quindi caratterizzato da molti parametri che devono essere adeguatamente identificati. Quali sono le metodologie di attacco utilizzate? Qual è lo stato dell’attacco? L’attacco ha avuto successo o è ancora in corso? Quali asset e persone sono interessati? A che punto siamo? Quali sono le presunte intenzioni dell’attaccante? Cosa stanno cercando di ottenere? Quali sono i loro obiettivi?
Di fronte a questo tipo di aggressione, gli esperti devono tener conto di molteplici fattori, contestualizzare, cercare di definire il modus operandi e la strategia adottata dai cyber-attaccanti. In poche parole, deve formulare una visione globale, tenendo conto, insieme al cliente, delle sue esigenze di business, delle persone e dei ruoli, degli asset, delle metodologie degli attaccanti e dei loro metodi operativi.
Un’analisi guidata dall’uomo
Segue poi la fase di analisi avanzata. Questa viene svolto dagli esseri umani, con la consapevolezza che l’Intelligenza Artificiale (AI) e il Machine learning (ML) attualmente utilizzati negli strumenti di rilevamento hanno già fatto il loro lavoro. La piattaforma aiuta molto, ma il cervello umano è più che necessario per approfondire l’analisi, che è fondamentale. Occorre anche muoversi molto rapidamente, perché più tardi si risponde, più l’attacco sarà riuscito a diffondersi. È in questa fase che entrano in gioco la contestualizzazione, l’intelligenza collettiva e la condivisione delle informazioni.
A tal fine, gli esperti di cybersecurity agiscono insieme e sono disponibili 24 ore al giorno, 7 giorni alla settimana. In questo modo, un cliente sotto attacco può essere aiutato in ogni momento. Ogni giorno vengono infatti identificate decine di eventi sospetti sui siti delle
organizzazioni e ognuno di essi richiede conferma, attenzione e una pronta risposta. Con le tecnologie di oggi e la proliferazione delle applicazioni, gli esperti analisti devono gestire anche un “rumore di fondo”, derivante dai continui alert di sicurezza. I prodotti utilizzati dalle aziende non sono tutti ugualmente sicuri e per individuare un attacco in un contesto così “rumoroso” è necessario combinare i contributi di una tecnologia molto raffinata con le capacità di discernimento che solo l’occhio umano consente.
Due categorie di aziende
L’analisi di queste segnalazioni è in realtà suddivisa in due fasi. Il primo è il rilevamento, il secondo un’indagine approfondita che si avvale di uno strumento che fa perno sulle informazioni relative all’attività di rete dell’azienda. I metadati del cliente vengono utilizzati per arricchire, approfondire e contestualizzare gli avvisi. Questa fase di risposta può durare poche ore, ma anche qualche giorno o addirittura qualche settimana. Alcune aziende hanno un Security Operation Center (SOC) con un team interno dedicato alla sicurezza dell’organizzazione, altre hanno esternalizzato l’analisi e hanno bisogno di una terza parte che se ne occupi.
La sicurezza richiede senso di adattamento, riflessione e azioni ben definite. Identificazione, contestualizzazione, comprensione: le azioni intraprese sono molteplici e arrivano fino al reporting post-compromesso. In tutti i casi, è importante capire che gli esperti di cybersecurity lavorano al centro dei pilastri della sorveglianza, del controllo, della minimizzazione della superficie di esposizione dell’infrastruttura e degli aggiornamenti. Tutto questo in un ecosistema in cui sono dispiegate modalità operative diverse e in cui spesso sono attivi più attaccanti. È la missione centrale dei Cyber Security Analyst, che, al di là delle azioni strettamente tecniche, sono costantemente impegnati a rassicurare i propri clienti di fronte a una realtà difficile da comprendere.
di Massimiliano Galvagna, Country Manager Italia di Vectra AI