La threat intelligence è una metodologia di sicurezza che prevede l’invio di informazioni (sotto forma di feed) su attacchi in atto; la threat intelligence informa e fornisce descrizioni di malware che sono già stati identificati perché hanno già colpito almeno un cosiddetto “patient zero” (paziente zero). Al contrario, non è in grado di allertare circa le minacce sulle quali stanno lavorando in segreto gli sviluppatori di codice maligno. Per cercare di difendersi proattivamente da questi tipi di malware, le aziende che non vogliono diventare un “paziente zero” devono rivolgersi altrove.
Una categoria di aiutanti a cui rivolgersi per prevenire gli attacchi zero-day e le nuove minacce ancora sconosciute che potrebbero fare leva su vulnerabilità di sistemi hardware, network aziendali e software utilizzati è quella dei “white hat”, più conosciuti in Italia con la definizione di “hacker etici”. Di chi si tratta? Parliamo di professionisti IT, o a volte anche semplici appassionati di informatica, che conoscono perfettamente le tecniche, i tool e gli obiettivi dell’hacking malevolo, e che utilizzano le proprie capacità in modo rispettoso delle leggi. Per svolgere i propri compiti di white hat, spesso gli hacker etici si camuffano da hacker criminali, entrano in contatto con questi ultimi attraverso le community del dark web e ne guadagnano la fiducia. In questo modo i white hat riescono a scoprire nuovi tool per sviluppare malware, nuove tecniche di hacking e perfino credenziali rubate, informazioni su sistemi compromessi e altri dati sottratti, che sono in vendita sul mercato nero del crimine informatico.
I responsabili della cybersecurity delle aziende possono trarre molti benefici da ciò che gli hacker etici hanno da offrire e, a seconda della loro posizione manageriale e delle effettive esigenze dell’impresa, possono decidere di acquisire come collaboratori, o addirittura assumere, white hat prima che si verifichi un incidente di sicurezza pericoloso per il business aziendale.
Cosa la threat intelligence non vi dice
Come già scritto, le attività di threat intelligence si basano su threat feed (spesso inviati dai security vendor) e sul ricorso a fonti quali SANS Internet Storm Center e US-CERT, che registrano, si scambiano e analizzano prevalentemente incidenti di sicurezza che si sono già verificati. Questi feed possono essere sia informazioni che i responsabili dell’IT security delle aziende ricevono e analizzano, sia semi-actionable feed che possono essere direttamente elaborati dai sistemi di sicurezza per prendere autonomamente delle contromisure: un esempio di questo tipo di feed sono gli Indicators of Compromise (IOC), che includono malware hashes (stringhe di testo ottenute attraverso specifiche tecniche di crittografia e che identificano in modo univoco un malware), indirizzi Ip di server di comando e controllo (server installati e gestiti da hacker su internet per assumere il controllo di computer infettati da virus), hostname (nomi di host) di processi malevoli installati su un computer compromesso, con i path (percorsi) dei relativi file. Benché rappresentino un gran numero di informazioni, questi feed, come detto, si riferiscono ad attacchi e tool già scoperti. Sono di due tipi: il primo è quello relativo ai non-actor-specific threat (malware che stanno attaccando specifici settori, ma di cui non si può avere la certezza che non colpiranno altri mercati o singole aziende); il secondo è quello degli attacchi che hanno raggiunto o stanno raggiungendo un’organizzazione specifica (organization-specific threat intelligence). Entrambi i tipi di feed per la threat intelligence sono utili. Per esempio, analizzando le informazioni fornite da quella non-actor-specific, è possibile farsi un’idea delle minacce che potrebbero verificarsi per la propria aziende e di quali siano i software target degli hacker. Tuttavia, nessuno dei due tipi di intelligence è in grado di svelare se i sistemi di un’azienda sono minati da determinate vulnerabilità e rivelare quali tool, in fase di sviluppo nelle comunità di hacker, potrebbero sfruttarle.
Dove gli hacker etici hanno più chance di successo
Come abbiamo scritto all’inizio, la threat intelligence tradizionale inizia ad essere efficace solo dopo che si è già registrato un “paziente zero”. Quindi, giova ripeterlo, è del tutto (o quasi del tutto) inutile per prevenire attacchi zero-day non ancora diventati di dominio pubblico e vulnerabilità e tecniche di attacco del tutto nuove. Lo si è potuto toccare con mano quando hanno debuttato le tecniche di attacco weaponized AI (malware e metodi di attacco che utilizzano l’intelligenza artificiale per mimetizzarsi meglio e colpire in maniera personalizzata un bersaglio), Meltdown e Spectre (che sfruttano vulnerabilità dei processori) e Process Doppelganging (una nuova tecnica di code injection senza utilizzo di file, in grado di eludere i sistemi di detection).
Queste nuove tecniche di attacco suonano come molto sofisticate e quindi difficili da acquisire, ma in realtà sono facilmente alla portata degli hacker sul dark web. Una volta individuate e rese inefficaci dagli esperti di sicurezza, possono essere nuovamente riportate alla vita dagli hacker grazie a modifiche del codice sorgente effettuate con applicazioni quali packer e crypter che sul mercato nero di internet costano dai 25 dollari in giù, se non sono addirittura scaricabili gratis. Per di più gli hacker hanno a disposizione un sito – nodistribute.com – su cui possono caricare nuovo malware e verificare se può essere intercettato e neutralizzato dalle più importanti suite di security. Il sito in questo non diffonde i risultati di queste scansioni ma li rivela solo a chi le ha richieste. Di qui l’importanza di considerare, accanto all’adozione di piattaforme di security di comprovato valore, nonché di servizi di security intelligence, anche l’ingaggio di white hat.
