Le 5 fasi di un cyber attacco: il punto di vista dell’attaccante

cybersecurity, Minacce e Attacchi, Red team

La cyber security non è qualcosa che fai una volta e poi sei a posto. È un processo continuo che dovrebbe essere parte di tutto ciò che fai. Tuttavia, nessuno ha le risorse per fare tutto in modo perfetto. Dunque, il tuo obiettivo dovrebbe essere il miglioramento costante.

Il miglioramento comincia con il comprendere i rischi e il panorama delle minacce. Questo significa comprendere i tuoi avversari, i loro obiettivi e come portano avanti i loro attacchi.

Immaginiamo un caso in cui un’azienda sia stata colpita da un attacco ransomware. L’azienda ha a che fare con un attacco mirato mosso da motivi finanziari, ma il ransomware viene usato come copertura per nascondere le attività più in target. E il vero target sono i dati sensibili dei clienti.

Quindi, cosa succede in ogni fase dell’attacco?

data-breach-attackers-view

Fase 1: Ricognizione

Timeline: alcuni mesi prima del rilevamento

Il primo obiettivo dell’attaccante è quello di identificare potenziali target per la sua missione. Gli attaccanti sono spesso motivati dal guadagno economico, dall’accesso a informazioni sensibili o dal danno al brand.

L’attaccante può raccogliere informazioni sull’azienda da LinkedIn e dal sito web aziendale, mappare la filiera, ottenere il progetto dell’edificio, informazioni sui sistemi di sicurezza e i punti di ingresso disponibili. Può anche visitare l’edificio aziendale, partecipare a un evento o chiamare la segretaria. L’attaccante potrebbe aprire una società falsa, registrare domini e creare falsi profili per finalità di social engineering.

Una volta che l’attaccante determina quali difese siano in atto, sceglie l’arma. Il vettore selezionato spesso è impossibile da prevenire o rilevare. Può essere un exploit zero-day, una campagna di spear-phishing o la corruzione di un impiegato. Di solito c’è un impatto minimo sul business.

Alla fine, l’attaccante è pronto per pianificare un percorso di attacco.

attackers-view-3

Fase 2: Intrusione e presenza

Timeline: alcuni mesi prima del rilevamento

Nella seconda fase del cyber attacco, l’attaccante cerca di violare il perimetro azienale e guadagnare un appoggio persistente nell’ambiente.

Può aver usato tecniche di spear-phishing per ottenere le credenziali dell’azienda, utilizzato le credenziali valide per accedere all’infrastruttura aziendale e scaricato vari strumenti per accedere all’ambiente. Questo praticamente non è rintracciabile.

È abbastanza comune che l’azienda in target non sia in grado di rilevare o rispondere all’attacco. Anche se rilevato, è impossibile dedurre che la nostra azienda fosse il target ultimo. In pratica, l’attaccante ha sempre successo.

L’intrusione iniziale si espande fino a diventare un accesso remoto, persistente e a lungo termine all’ambiente aziendale.

attackers-view-2

Fase 3: movimento laterale

Timeline: mesi o settimane prima del rilevamento

Una volta che l’attaccante ha stabilito una connessione alla rete interna, cerca di compromettere sistemi aggiuntivi e gli account degli utenti. Il suo obiettivo è di espandere i punti di appoggio e identificare i sistemi che ospitano i dati in target.

L’attaccante cerca i file server per localizzare i file di password e altri dati sensibili, e mappa la rete per identificare l’ambiente target.

L’attaccante spesso impersonifica un utente autorizzato. Di conseguenza è molto difficile individuare l’intruso in questa fase.

attackers-view-4

Fase 4: privilege escalation

Timeline: settimane o giorni prima del rilevamento

L’attaccante cerca di identificare e guadagnare i necessari livelli di privilegi per raggiungere il suo obiettivo. Ha il controllo dei diversi canali di accesso e credenziali acquisiti nelle fasi precedenti.

Infine l’attaccante guadagna l’accesso ai dati in target. Mail server, sistemi di gestione dei documenti e dati dei clienti sono compromessi.

attackers-view-5

Fase 5: missione compiuta

Timeline: giorno 0

L’attaccante raggiunge l’ultimo stadio della sua missione. Estrae i dati dei clienti che stava cercando, corrompe i sistemi critici e interrompe le operazioni di business. Poi distrugge tutte le prove con il ransomware.

Il costo per l’azienda sale esponenzialmente se l’attacco non viene sconfitto.

In questo esempio il target è stato raggiunto prima del rilevamento. È usuale. I data breach sono estremamente difficili da rilevare, perchè gli attaccanti usano strumenti comuni e credenziali legittime.

Ecco perchè devi stare sempre all’erta. Con la cyber security, non finisci mai.

Questo esempio immaginario si basa su esperienza di casi reali e dei nostri “ethical hackers”. Il test di red teaming F-Secure è un’esercitazione illuminante, in cui le capacità difensive delle aziende vengono testate usando lo stesso modello impiegato dagli hacker reali.

Guarda il video sul red teaming:

 

Articolo tratto da “5 phases of a cyber attack”, di Taija Merisalo, Content Marketing Manager, F-Secure Corporation.

0 Commenti

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

Potrebbe anche interessarti

%d blogger hanno fatto clic su Mi Piace per questo: