Cos’è la threat detection e perché serve alla tua azienda
La sicurezza digitale ha assunto, negli ultimi anni, un ruolo di crescente importanza nel mondo del lavoro; il costante processo di digitalizzazione che ha investito numerosi settori dell’economia e aziende di ogni genere – operanti nei segmenti di mercato più disparati – ha, da un lato, snellito numerosi aspetti dell’esercizio dell’attività (come ad esempio la gestione di una vasta gamma di dati, ordini e pratiche) e, dall’altro, posto un grosso problema in termini di sicurezza. I dati e le informazioni, specie se destinati ad essere riservati, che transitano su una rete interna o attraverso i dispositivi in dotazione al personale dell’azienda, devono essere protetti da possibili attacchi da parte di soggetti esterni che potrebbero farne un uso fraudolento. Per questo, si è sviluppata una scienza forense chiamata computer forensics (“Informatica forense”), all’interno della quale trovano posto diverse procedure investigative; tra queste, la più importante è la cosiddetta threat detection, ossia “individuazione delle minacce”: vediamo di seguito di cosa si tratta e come viene implementata.
Threat detection, cos’è
Come detto, “threat detection” vuol dire “individuazione (o rilevamento) delle minacce”; per capire bene di cosa si tratti, è necessario anzitutto definire cosa sia una “minaccia” nell’ambito di procedure di indagini di informatica forense. Nel gergo tecnico della computer forensics – e di tutte le sue branches – il termine “threat” identifica qualsiasi elemento in grado, potenzialmente, di arrecare danno ad un sistema di computer o ad un network. In tal senso, una “minaccia” di questo tipo non va confusa con un attacco esterno ad una struttura informatica o di rete, in quanto la prima rappresenta la potenziale eventualità che si verifichi un’azione di attacco nei confronti di un determinato obiettivo.
Da alcuni anni è emerso un nuovo tipo di minaccia, denominata ATP (acronimo di Advanced Persistent Threat, ossia “minaccia avanzata persistente”) che, come suggerisce il nome stesso, è in grado di stazionare per un lungo periodo di tempo all’interno di un network senza essere individuata, mettendo così a disposizione dell’hacker una finestra temporale molto maggiore per condurre il proprio attacco nei confronti del target. I tipi di threat più diffusi sono:
- Malware: si tratta di software “maligni”, come ad esempio virus, worms, spyware (software spia) e adware;
- Phishing: finte comunicazioni via e-mail che hanno l’aspetto di una comunicazione di carattere ufficiale o legittima inviate ad un indirizzo con il solo scopo di acquisire dati sensibili del destinatario;
- Ransomware: un file in grado di criptare dati o file su un server per poi inviare un messaggio con una richiesta di riscatto (“ransom”, in inglese) al soggetto che detiene i diritti sul materiale criptato;
- Trojan horse (letteralmente “cavallo di Troia”): un file eseguibile su computer che funge da back door e può essere attivato a distanza per attuare un qualche tipo di minaccia al dispositivo sul quale si trova.
Sulla base di questa premessa necessaria, è possibile quindi definire la threat detection come la procedura finalizzata ad individuare le potenziali minacce che incombono su di un sistema di rete e qualsiasi tipo di attività sospetta che potrebbe compromettere la sicurezza o l’integrità del network; lo scopo principale di questa procedura investigativa è quello di individuare le minacce prima che possano essere sfruttate per attaccare un sistema di rete.
Quali sono i rischi che può correre la tua azienda
Le procedure di threat detection si rendono necessarie per neutralizzare tutti i fattori di rischio che possono materializzarsi ed avere un impatto negativo sulla sicurezza di un network o di una struttura digitale e informatica di altro tipo. In tal senso, come spiega Salvatore Piccinni – Managing Director Head of Southern Europe di Inside Intelligence & Security Investigations, il rischio principale è quello di una violazione dei sistemi di sicurezza e di una conseguente minaccia alla riservatezza. In particolare, tramite un attacco hacker, un soggetto esterno potrebbe venire in possesso in maniera fraudolenta di informazioni sensibili e dati destinati a rimanere confidenziali; ciò non implica soltanto una chiara violazione della privacy ma espone il detentore dei diritti esclusivi su quelle informazioni a conseguenze ben peggiori.
La circolazione incontrollata di informazioni destinata a rimanere private (o accessibili solo ad un ristretto novero di figure all’interno dell’organigramma aziendale) può avere enormi ripercussioni sull’economia delle attività di un’azienda. La violazione del segreto industriale, infatti, può essere direttamente connesso ad altri reati, come ad esempio la concorrenza sleale tramite lo storno della clientela o il discredito di un competitor. Il tutto si concretizza in un danno di natura economica, dal momento che il soggetto vittima di un attacco hacker vede compromesse le proprie capacità di competere sul mercato contando sui propri punti di forza.
Non va sottovaluto, inoltre, un altro aspetto. Un attacco hacker non punta soltanto ad acquisire dati sensibili ma può anche configurarsi come un’azione distruttiva; in altre parole, il soggetto che penetra i sistemi di sicurezza può alterare o distruggere dati di grande importanza, provocando un danno di entità non dissimile dall’appropriazione fraudolenta di informazioni sensibili. I principali obiettivi di un attacco hacker sono:
- Le credenziali utente;
- Informazioni identificative personali (“personally identifiable information” o PII);
- Dati relativi a proprietà intellettuale e informazioni sensibili;
- Ricatto o vendetta.
Come viene svolta l’attività
L’attività di threat detection, o “threat hunting” (letteralmente, “ricerca delle minacce”) viene svolta da figure professionali qualificate ed esperte del settore. In generale, un’azienda può richiedere questo tipo di servizio ad un’agenzia di investigazione privata specializzata in cyber threat intelligence e indagini di threat detection & analysis. Il mandato viene, nella maggior parte dei casi, conferito da un legale rappresentante ma talvolta può essere affidato all’agenzia anche dal titolare dell’azienda in prima persona. Dopo aver stabilito un primo contatto, le parti si confrontano per individuare gli obiettivi della procedura di indagine, che vengono concordati e inseriti nel contratto.
Conclusa questa fase preliminare di contrattazione e determinazione degli obiettivi, i tecnici incaricati possono procedere a mettere in atto le procedure investigative vere e proprie. A seconda del tipo di verifica da effettuare, gli investigatori possono adoperare diverse tecnologie e metodi di ricerca. Quando si tratta di analizzare reti e strutture digitali, si può ricorrere a uno o più dei seguenti strumenti:
- CABS (Cloud access and security brokers) per individuare accessi forzosi e non autorizzati al cloud;
- SIEM (acronimo di “Security information and event management”), ossia un sistema di gestione di eventi ed informazioni;
- Rilevamento e gestione degli endpoint di comunicazione;
- Sistemi di individuazione di accesso al network;
- Firewalls di rete;
- Piattaforme di threat intelligence;
- Strumenti di analisi comportamentale.
Una volta completata la fase di analisi e “hunting”, se gli incaricati hanno rilevato delle minacce procedono alla loro eliminazione ed alla messa in sicurezza del sistema. I tecnici stilano poi una relazione finale illustrando il lavoro svolto ed i risultati ottenuti.