Conoscere tattiche, tecniche e procedure permette ai responsabili della sicurezza di essere un passo avanti rispetto ai cybercriminali.

Cybercriminali

Marco Rottigni, Technical Director per l’Italia di SentinelOne, sottolinea l’importanza della conoscenza delle tattiche, tecniche e procedure (TTP), per prevedere e anticipare i cybercriminali.

Iniziare a capire il perché – Esaminare motivazioni e obiettivi dei cybercriminali

Conoscere le motivazioni che sono alla base di un attacco informatico da parte dei cybercriminali contribuisce a migliorare notevolmente la capacità di proteggere efficacemente l’organizzazione. Scomporre il “chi”, il “perché” e il “come” dell’attacco può aiutare i difensori a realizzare un profilo degli aggressori, individuare i vantaggi che deriverebbero dal successo dell’attacco, il modo in cui verrebbero monetizzati questi vantaggi e la probabilità di un eventuale attacco successivo.

In base a motivazioni e capacità, sono sei le principali ragioni alla base dei cyberattacchi:

  1. Ritorno economico
  2. Spionaggio
  3. Interruzione del servizio
  4. Cyber-terrorismo
  5. Motivazioni personali
  6. Attenzione e notorietà

Come le TTP aiutano i difensori

Le TTP svolgono un ruolo essenziale per consentire ai difensori della sicurezza di contrastare efficacemente le minacce informatiche. Analizzando e comprendendo le TTP, i si ottengono informazioni preziose sui comportamenti e sulle metodologie utilizzate dai cybercriminali velocizzando il processo di identificazione dei potenziali attacchi, lo sviluppo di strategie di difesa proattive e l’implementazione di misure di sicurezza specifiche per i rischi aziendali e di settore.

Organizzazioni come il NIST e il MITRE classificano e catalogano i comportamenti dei cybercriminali in tattiche, tecniche e procedure, note collettivamente come TTP:

  • Tattiche – Si riferiscono alle strategie e agli obiettivi generali di un attacco. Possono essere considerate il “perché” degli obiettivi tattici e illustrano le ragioni dei cybercriminali. Le tattiche sono importanti per i difensori informatici perché possono essere utilizzate per costruire il profilo dell’attore oggetto di indagine. Molti attori e gruppi di minacce sono riconoscibili proprio dall’uso di tattiche specifiche impiegate.
  • Tecniche – Sono le modalità a cui l’attore della minaccia ricorre per lanciare e sferrare l’attacco per raggiungere il proprio obiettivo. I cybercriminali spesso utilizzano molte tecniche durante la loro campagna per facilitare la compromissione iniziale, muoversi trasversalmente all’interno dell’ambiente compromesso, trafugare i dati e altro ancora. Le tecniche possono essere analizzate in ogni fase dell’attacco informatico, lasciando dietro di sé un’impronta digitale che rende identificabile l’attore della minaccia.
  • Procedure – Si tratta della sequenza di azioni che compongono l’attacco, compresi gli strumenti e i kit utilizzati dall’attore della minaccia. Durante le indagini forensi, ad esempio, gli analisti della sicurezza possono eseguire l’analisi del file system per ricostruire una procedura al fine di creare una cronologia dell’attacco. Gli analisti cercheranno anche modifiche ai file di sistema, troveranno indizi negli event log e cercheranno di ottenere un quadro di ciò che è accaduto in ogni fase dell’attacco.

La capacità di individuare schemi e indicatori di compromissione attraverso le TTP è fondamentale per aiutare i professionisti della sicurezza a rispondere prontamente alle minacce. È anche il fattore abilitante di miglioramenti critici necessari nelle policy e nei workflow che possono fermare minacce simili in futuro. Le TTP servono come base per l’intelligence delle minacce che porta a una migliore mitigazione del rischio e facilita un approccio più collettivo alla sicurezza informatica.

Capire come funzionano le TTP negli attacchi del mondo reale

Sia la frequenza dei crimini informatici sia la loro costante evoluzione continuano ad aumentare a ritmi impressionanti. Questa sezione esplora alcune delle TTP più comuni utilizzate nelle campagne di minacce e come vengono sfruttate nel mondo reale.

Social Engineering

Il Social Engineering consiste nella manipolazione psicologica, da parte di cybercriminali, delle persone per indurle a divulgare informazioni sensibili o a compiere azioni che compromettono la sicurezza. Le campagne di social engineering utilizzano varie TTP per influenzare il comportamento umano e sfruttare le vulnerabilità. Oltre al phishing, le TTP comuni associate al social engineering includono:

  • Pretexting – I cybercriminali creano uno scenario plausibile o una falsa identità per ingannare l’obiettivo, ottenere la sua fiducia ed estorcere informazioni sensibili.
  • Impersonificazione – fingere di essere qualcun altro, come un collega fidato, una figura autoritaria o un fornitore di servizi, per manipolare l’obiettivo e indurlo a fornire dati sensibili o a eseguire determinate azioni.
  • Water-holing – Compromettere siti web legittimi frequentemente visitati dal target scelto e introdurre codici o link dannosi per corrompere i dispositivi dei visitatori.

Sfruttare le vulnerabilità

I cybercriminali sfruttano spesso le vulnerabilità note di software e hardware per ottenere un accesso non autorizzato ai sistemi o per aumentare i privilegi. Allo sfruttamento delle vulnerabilità vengono associate diverse TTP, tra cui:

  • Scansione
  • Zero Day Exploit
  • Privilege Escalation
  • Remote Code Execution (RCE)
  • Attacchi Denial-of-Service (DoS)

Living off the land

Il “Living off the land” (LotL) è una tattica attraverso la quale i cybercriminali utilizzano strumenti e processi legittimi e già presenti sul sistema della vittima per portare a termine i loro attacchi, rendendo così più difficile il rilevamento delle attività sospette da parte delle soluzioni di sicurezza. Gli attaccanti sono noti per l’utilizzo di queste TTP per portare a termine un’operazione LotL di successo:

  • Abuso di Windows Management Instrumentation (WMI)
  • Abuso di linguaggi di scripting
  • Fileless Malware
  • Masquerading

Movimento laterali dei cybercriminali

Una volta che i cybercriminali si sono insediati all’interno di una rete, spesso, utilizzano tecniche di movimenti laterali per spostarsi tra i sistemi e aumentare i propri privilegi. In tecniche come il pass-the-hash o il pass-the-ticket, un attaccante utilizza credenziali o token di autenticazione rubati per muoversi tra i sistemi.

Le seguenti TTP contribuiscono a questo modus operandi:

  • Hijacking del protocollo RDP (Remote Desktop Protocol)
  • Furto di credenziali e attacchi aggressivi
  • Attacchi Man-in-the-Middle (MiTM)
  • Sfruttamento di Active Directory

Esfiltrazione dei dati e copertura delle tracce

Dopo aver raggiunto i propri obiettivi, i cybercriminali spesso esfiltrano i dati rubati, utilizzando canali nascosti o comunicazioni criptate per evitare il rilevamento delle loro attività. Per eliminare le loro tracce gli aggressori ricorrono a una combinazione di queste TTP:

  • Compressione e crittografia
  • Tunneling del protocollo
  • Offuscamento dei dati
  • Esfiltrazione attraverso protocolli affidabili
  • Distruzione dei dati.

Misure proattive contro i cybercriminali per i professionisti della sicurezza

Sebbene la comprensione delle TTP sia parte integrante per ottenere informazioni aggiuntive sulle minacce e per accrescere i meccanismi di difesa, da sola non è sufficiente. Le aziende devono anche applicare eccellenti protocolli di igiene informatica e rafforzare la loro strategia di sicurezza in modo olistico:

  • Implementando un solido framework di sicurezza
  • Formando e sensibilizzando continuamente sulla sicurezza
  • Implementando un solido processo di gestione delle patch e scansione delle vulnerabilità
  • Incentivando la segmentazione della rete e il modello Zero Trust
  • Definendo una strategia di monitoraggio e risposta agli incidenti

Conclusioni

L’identificazione dei vettori di attacco e dei nuovi metodi è fondamentale per rimanere un passo avanti rispetto ai cybercriminali. Esempi reali e recenti campagne APT hanno dimostrato come l’analisi delle TTP arricchisca le informazioni a disposizione dei professionisti della sicurezza.

Anche se i cybercriminali continueranno ad aggiornare metodi e processi, oggi, sono disponibili molti modi grazie ai quali le aziende possono mitigare il rischio e rafforzare le loro difese. Stabilire una strategia di risposta efficace e un monitoraggio continuo e approfondito può incrementare le difese del team interno di un’azienda con solide capacità di rilevamento e risposta.

di Marco Rottigni, Technical Director di SentinelOne