TECHTARGET

Network security: come utilizzare il ciclo OODA per proteggere la rete

Secondo il ciclo militare OODA, “Observe, orient, decide and act” vince lo scontro aeronautico chi ha avuto più tempo di studiare lo spazio dove avverrà la battaglia. In ambito network security lo stesso principio può offrire un vantaggio fondamentale alle aziende: predisponendo la rete correttamente, l’IT può trarre in inganno i cybercriminali, studiarne le mosse, proteggere meglio la rete stessa.

Pubblicato il 02 Ott 2018

Ooda, concept di il buco nella rete

John Boyd , colonnello dell’aeronautica statunitense, ha teorizzato il cosiddetto “OODA loop”, acronimo che sta per “Observe, orient, decide and act”, tradotto “osservare, orientare, decidere e agire”; si tratta di un ciclo decisionale in grado di determinare tra due avversari un vantaggio importante per l’esito di un combattimento aereo: secondo Boyd i piloti che riescono a osservare la situazione, orientarsi, prendere una decisione e agire per primi (che hanno cioè il ciclo OODA a loro favore) sono quelli che tendenzialmente tornano a casa sani e salvi.

Questa teoria, pensata per l’ambito militare, è applicabile anche ad altri contesti, per esempio quello della network security: un vantaggio nel ciclo OODA è un vantaggio nella protezione della rete. Prima di spiegare perché, per rendere più chiara la spiegazione, facciamo però un altro esempio che chiarisce il principio definito dal ciclo OODA. Immaginiamo che un temporale abbia fatto saltare l’elettricità in casa di un inquilino X e un ladro improvvisato abbia deciso di entrare nella proprietà. Il ladro rispetto al ciclo OODA ha un netto svantaggio: non ha familiarità con la casa, quindi inciampa mentre cerca di guardarsi intorno e orientarsi. Sfortunatamente, fa cadere una lampada e calpesta dei giocattoli rumorosi che non sapeva fossero sul passaggio. L’inquilino sente dei rumori e capisce immediatamente dov’è il ladro. Mentre questo sta ancora cercando di osservare e orientarsi, l’inquilino può già prendere delle decisioni e agire di conseguenza: poiché che si trova in un ambiente a lui familiare, ha il ciclo OODA a suo vantaggio.

OODA applicato al network IT

Torniamo quindi alle reti IT. Così come nell’esempio precedente il padrone di casa è in vantaggio sul ladro improvvisato, le aziende dovrebbero poter esserlo nelle loro reti nei confronti dei cybercriminali, dovrebbero cioè avere il ciclo OODA a loro favore. Tuttavia questo spesso non accade. La maggior parte delle organizzazioni scopre di essere stata compromessa grazie a una notifica di terze parti. Perché questo accade? Il problema risiede nel fatto che le reti aziendali non sono “rumorose”: la maggior parte degli sforzi delle imprese si concentrano su patching, hardening, firewalling e altri strumenti che hanno come obiettivo tenere lontani gli aggressori, non rilevare la loro presenza nella rete, e quando i sistemi vengono configurati per registrare attività sospette nel network, la maggior parte dei registri non viene frequentemente sottoposta a revisione e può essere difficile distinguere le informazioni rilevanti da quelle che non lo sono, rendendo di fatto inutile l’attività nel suo complesso.

In altre parole, ad oggi, in molte aziende gli hacker più abili hanno una possibilità reale di muoversi attraverso le reti aziendali senza generare sufficiente “rumore”: in metafora, nelle reti mancano “lampade che possono cadere” e “giocattoli rumorosi”.

Cambiare strategia per recuperare il vantaggio OODA

Per riguadagnare il vantaggio del ciclo OODA le aziende devono quindi creare degli “ostacoli” per gli aggressori che attivino degli alert.

  • Le reti possono essere suddivise in reti virtuali (VLAN) business-focused con delle liste di controllo degli accessi tra le diverse reti VLAN, così da consentire il traffico legittimo e bloccare il resto. Se un aggressore riesce a compromettere un host sulla rete, è probabile che esegua una scansione del network alla ricerca di altri target, attivando quindi i comandi di blocco inter-VLAN e generando degli alert. Questi alert consentono all’IT aziendale di iniziare a prendere decisioni e agire, mentre l’aggressore sta ancora “guardandosi in giro”.
  • Le applicazioni Web e i target più comuni possono essere difficili da proteggere, poiché gli hacker utilizzano web crawler (software che analizza i contenuti di una rete, o di un database, in un modo metodico e automatizzato) per mappare i siti; qui può entrare in gioco il tool “WebLabyrinth”, uno strumento gratuito che crea una falsa pagina web contenente vari fake-link. Quando un utente fa clic su uno dei link, viene generata un’altra pagina falsa con ancora più fake-link. I web crawler entrano così in un loop infinito, sviando il tentativo di attacco. Se l’accesso alle pagine false genera un allarme, ecco che nuovamente si stanno creando le condizioni per sfruttare il vantaggio OODA.
  • Lo stesso “effetto smarrimento” lo si può generare inserendo sulla rete risorse (account utenti, record di database, porte aperte, indirizzi IP, host e vulnerabilità) che sembrano interessanti, ma che sono in realtà prive di valore o utilità per l’hacker e che dunque svolgono solo un’ulteriore funzione di depistaggio. Creare un ambiente che apparentemente soddisfa tutte le aspettative dell’aggressore, ma che in realtà lo spinge a comportarsi come vuole il difensore, è un modo incredibilmente potente per ottenere il vantaggio OODA.

Ne “L’arte della guerra” Sun Tzu ha scritto: “Tutta la guerra è basata sull’inganno. Quando siamo vicini, dobbiamo far credere al nemico di essere lontani. Quando siamo lontani, dobbiamo far credere che siamo vicini.” È a partire da questo principio che l’IT aziendale deve progettare la sua campagna di “cyber inganno”. Ben applicata, può essere anche un modo per ribaltare i ruoli attaccante-attaccato: l’azienda può fare apparire determinate risorse più deboli o di maggior valore, e spingere quindi l’aggressore a esplorarle; monitorandole con la massima attenzione diverrà quindi possibile raccogliere informazioni sull’aggressore “caduto nella trappola”; l’azienda inizia a studiare l’hacker e non viceversa.

Per ingannare i cybercriminali, fingere bene

Questa “filosofia dell’inganno” fu usata con grande successo quando le potenze alleate attuarono la cosiddetta “Operazione Bodyguard” per convincere le potenze dell’Asse che l’invasione D-Day avrebbe sfruttato il Canale della Manica sbarcando a Calais, il punto della costa francese più vicino a quella inglese. L’inganno funzionò [per contrastare questa “finta minaccia”, i tedeschi schierarono svariate unità di difesa che sarebbero potute risultare molto più utili in Normandia-ndr] grazie alla credibilità con cui fu portato avanti. La stessa cura nel pianificare gli elementi di inganno è necessaria nel mondo del cyber. L’ambiente deve sembrare reale perché se un aggressore riconosce la “trappole”, può cambiare il suo comportamento in modo imprevisto.

Se ben congeniata, questa strategia di sicurezza si rivela fortemente efficace: l’aggressore può anche eludere la maggior parte degli “ostacoli rumorosi” messi sul suo cammino, ma è sufficiente che ne sfiori uno per dare all’azienda il vantaggio OODA; per evitare il rilevamento l’hacker dovrebbe agire correttamente il 100% delle volte, mentre ai difensori basta rilevare un solo allarme per potersi attrezzare di conseguenza.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 4