In guerra chi deve pagare il prezzo più alto è di solito chi attacca. In uno scenario cyber la prospettiva si rovescia per la natura stessa delle armi e del terreno di scontro. Il compito del difensore è molto arduo perché dovrà sfruttare al massimo i pochi vantaggi su cui può costruire la sua strategia.
Premessa essenziale per comprendere il senso di questo scritto è tenere ben presente che lo scenario non è quello di un atto criminale o di una operazione cyber isolata con obiettivi puntuali, ma di una vera e propria guerra il cui scopo sarà quello di sopraffare e sottomettere un nemico che abbia le dimensioni e le caratteristiche di uno Stato.
Cyberwar: i nuovi attacchi informatici sponsorizzati dagli Stati
Partendo da questo presupposto ripropongo, con qualche aggiornamento, una teoria che ho sviluppato alcuni anni orsono ed esposto in uno dei miei libri.
La definizione del campo di battaglia
Salvo poche regole di base il campo di battaglia può essere disegnato a completa discrezione di chi difende. Si tratta probabilmente dell’unico vero vantaggio di chi attende l’attacco del nemico. Hardware, software, reti e tutti i sistemi di supporto possono essere combinati e disposti con grande libertà. Per fare un paragone con il mondo reale e come se uno Stato potesse disegnare la carta geografica del proprio paese scegliendo dove posizionare montagne, mari, colline, laghi, fiumi e pianure, oltre a qualsiasi struttura normalmente costruita dall’uomo. In aggiunta è possibile modificarne la fisionomia nel tempo. Questo rispettando le non moltissime regole base dei protocolli di comunicazione. Evidentemente per chi si difende si tratta di un’opportunità da sfruttare per costringere il nemico a un faticoso lavoro di ricognizione, peraltro costellato da incertezze. Il costante aggiornamento dei sistemi può diventare dunque fondamentale sia per porre rimedio a eventuali debolezze sia per modificare lo scenario del futuro scontro.
I tre rischi del costante aggiornamento dei sistemi
Tuttavia, il difensore dovrà prestare grande attenzione perché mantenere la continua modifica presenta tre rischi. Il primo è legato ai disservizi che si potrebbero determinare per i legittimi utenti e qui entra in gioco il concetto di “resilienza al cambiamento”, un aspetto troppo spesso nemmeno preso in considerazione perché “difficile e costoso”. Il secondo rischio è l’eventualità di introdurre nuove vulnerabilità, il terzo è legato alla possibilità di perdere informazioni preziose rispetto a infiltrazioni individuate e già sorvegliate. In una situazione del genere le modifiche potrebbero portare il nemico a riposizionarsi con il problema di individuarlo nuovamente. Nel definire il campo di battaglia sarà utile prevedere falsi bersagli e vicoli ciechi offerte da quegli strumenti che rientrano nelle deception technology. Essenzialmente sono trappole che hanno lo scopo di ingannare l’attaccante facendogli credere di essere riuscito a infiltrarsi nell’obiettivo, quando invece si trova all’interno di un ambiente sotto il controllo del difensore. Oltre a indurre in errore, questo tipo di soluzioni consentono di osservare e tracciare il comportamento del nemico in un contesto controllato e non soggetto a cambiamenti.
La segregazione dei sistemi
Ulteriore tema è la segregazione dei sistemi in cui riveste molta importanza la separazione delle reti sia logicamente sia fisicamente. Ovviamente dovrà anche essere valutata la possibilità di ricorrere alle “airgapped” laddove si trattasse di ambiti critici, soprattutto se industriali o logistici, spesso deboli perché obsoleti. Ultimo aspetto, ma non meno importante riguarda la scelta dei componenti hardware e software e il loro disegno complessivo e di dettaglio. Facendo una trasposizione nella realtà fisica si tratta della scelta dei materiali, del loro utilizzo e della progettazione delle strutture. Come è noto, le armi cyber sono efficaci in relazione alle debolezze dei loro obiettivi. Le vulnerabilità possono emergere in una qualsiasi delle fasi attraverso le quali nasce l’intero sistema tecnologico. Il venire meno di un severo controllo potrebbe determinare la perdita del vantaggio costituito dalla possibilità di disegnare il campo di battaglia.
Scelta e posizionamento delle tecnologie di difesa
Nel corso della fase di costruzione si muovono i primi passi nella scelta e posizionamento delle tecnologie di difesa che dovranno essere integrate nell’ambiente con estrema cura e in modo da creare linee a bassa e alta resistenza, nel tentativo di indirizzare gli attacchi del nemico. Anche in questo caso l’idea è quella di ingannarlo e in aggiunta renderlo prevedibile. Si tratta di un lavoro arduo perché non esiste un vero e proprio fronte e quindi vale la regola secondo cui si deve partire dal presupposto che il nemico sia già all’interno. In questo possono essere ancora utili le deception technology e la predisposizione mentale all’eventualità di essere costretti a “cedere” parte del proprio “territorio virtuale” e quindi a sapere sin da principio quale sarà. L’arsenale destinato alla difesa offre una pluralità di strumenti. Indipendentemente dalle scelte sussistono alcune regole di base che devono essere tenute in considerazione.
In primo luogo, la risposta a qualsiasi minaccia non può essere solo ed esclusivamente tecnologica soprattutto in termini di prevenzione.
Il fattore umano nella efficace gestione dei mezzi di difesa
Come abbiamo già scritto le vulnerabilità “umane” sono alla base della maggior parte delle strategie di attacco utilizzate e qualsiasi sistema alla fine deve piegarsi al “clic” dell’utente, pena il rischio di rendere difficile o impossibile il lavoro di un’organizzazione. Questo inevitabile compromesso deve essere sempre tenuto in considerazione nelle scelte delle tecnologie da mettere in campo. La presenza di un sistema di sicurezza è necessaria, ma non sarà mai sufficiente a garantire il risultato. Tutti richiedono di essere configurati e la maggior parte devono essere gestiti. Un SIEM, per esempio, i cui output non siano costantemente analizzati e inutile, un firewall le cui regole non siano sotto controllo potrebbe trasformarsi in una micidiale vulnerabilità, sistemi di autorizzazione non aggiornati potrebbero rendere facili escalation in termini di privilegi. In buona sostanza i mezzi di difesa non gestiti non soltanto sono inefficaci, ma peggio possono diventare estremamente pericolosi. Proprio per questo motivo sarà essenziale tenere presente che le tecnologie di sicurezza vanno selezionate con cura e se non utilizzate devono essere rimosse perché in caso contrario potrebbero influenzare in modo imprevedibile le operazioni sul campo di battaglia. Ultimo aspetto disporre di piani di contingenza che prevedano, come risposta estrema, di escludere i sistemi e assicurino la gestione dei servizi essenziali in modo manuale.
Monitoraggio e individuazione
Dal punto di vista del difensore si tratta probabilmente della fase più critica, in cui sarà indispensabile investire la maggior parte delle proprie energie. Individuare sin da principio le eventuali infiltrazioni fornirà un vantaggio determinante. Una buona threat intelligence sarà indispensabile e nello specifico un contributo sostanziale potrebbero fornirlo in futuro le intelligenze artificiali specializzate. Esse potrebbero analizzare le grandi basi dati per aiutare il presidio umano a individuare le potenziali minacce che successivamente dovrebbero essere indirizzate verso le appropriate linee a bassa resistenza e le deception technology. Per ogni singola infiltrazione scoperta si porrà immediatamente la questione di come trattarla: rimuoverla oppure limitarsi a controllarla? La prima soluzione produce un immediato danno all’attaccante e potrebbe rallentarne o addirittura comprometterne la strategia. Tuttavia, limitarsi a tenere l’infiltrazione sotto controllo presenta alcuni interessanti vantaggi. In primo luogo, si ingannerebbe il nemico illudendolo che il suo piano proceda come previsto, in secondo, osservandone il comportamento si potrebbero acquisire informazioni sul suo modus operandi e forse avere elementi utili per comprendere i suoi obiettivi. A definire quale possa essere la scelta corretta saranno le specifiche circostanze. In tema di monitoraggio e individuazione possono risultare utili delle vere e proprie “honeypot umane”. Considerando l’importanza che in qualsiasi strategia d’attacco rivestono le vulnerabilità legate ai comportamenti delle persone, creare dei falsi bersagli in questo ambito potrebbe permettere di raggiungere risultati interessanti. Per esempio, rivelare quali tecniche di social engineering utilizza il nemico, spingerlo verso vicoli ciechi all’interno dei quali analizzarne il comportamento, carpire informazioni rispetto alla strategia nemica. Inutile dire che si tratta di un’operazione molto rischiosa in cui oltre alla competenza e alla preparazione del personale coinvolto, sarà la precisione con cui è stato costruito il campo di battaglia a fare la differenza. Per esempio, una singola falla nella configurazione dei sistemi dell’esca umana potrebbe aprire le porte a un’infiltrazione imprevista e molto in profondità.
Minimizzazione
Quando inizia l’attacco qualsiasi reazione dovrà puntare al contenimento e alla minimizzazione dei danni. Se l’affermazione è banale, molto meno lo sono le modalità attraverso cui è possibile raggiungere l’obiettivo. Tanto dipenderà da come è stata gestita la fase di monitoraggio e quali risultati ha portato, per cui ogni infiltrazione individuata preliminarmente sarà contenuta a priori, impendendo qualsiasi azione al nemico. Laddove, invece, l’attaccante sia riuscito a non essere rilevato il tempismo sarà essenziale con l’immediato isolamento dei sistemi compromessi. In questo sarà di grande aiuto il lavoro fatto nella fase di costruzione con un’adeguata segregazione dei sistemi. In particolare, i pericoli maggiori potrebbero arrivare da malware dotati di elevata autonomia che venissero attivate all’interno degli obiettivi.
La diffusione di oggetti con caratteristiche simili a quelle del ben noto Industroyer avrebbero effetti difficili da gestire. Nel frangente, soprattutto in caso di sistemi industriali, non si deve escludere la possibilità di attivare i piani di emergenza per il ritorno alla gestione manuale dei servizi. Per tutta la durata dell’attacco devono essere evitate le attività di bonifica e di rispristino di quanto è ormai stato colpito. Allo stesso modo potrebbe essere molto pericoloso attivare piani di continuità operativa che prevedono sistemi gemelli di quelli compromessi. Con ogni probabilità saranno afflitti dalle stesse vulnerabilità che il nemico ha sfruttato per accedere a quelli primari e quindi diventerebbero immediatamente oggetto di attacchi, peraltro destinati ad avere successo. La rimozione di malware, poi, potrebbe non essere semplice o immediata, dato che una delle caratteristiche di cui probabilmente saranno dotati sarà la persistenza. Proprio per questo anche le operazioni di “ripristino” dovranno essere gestite con cautela perché nulla assicura che all’interno dei backup non si nascondano copie silenti dei malware stessi o altre armi che si attiveranno automaticamente. In aggiunta lo svolgimento di queste attività potrebbe distogliere risorse importanti da quanto è necessario alla minimizzazione. Soltanto una volta che la situazione si sarà stabilizzata si potrà procedere alla conta dei danni e al progressivo recupero dei sistemi. Premesso che una aggressione proveniente da un’organizzazione di tipo statale o in qualche modo equiparabile sarà molto violenta, è facile immaginare come, anche in caso di una buona difesa, i danni saranno non trascurabili con diversi sistemi distrutti e altri compromessi in vario modo. Inoltre, una serie di servizi legati alle infrastrutture critiche saranno sospesi o funzioneranno manualmente e non si può escludere un certo numero di vittime. La situazione si sarà sostanzialmente stabilizzata quando qualsiasi tipo di intervento diretto da parte del nemico non risulterà più possibile e nel momento in cui la diffusione di eventuali malware sarà stata contenuta. Da questo momento in poi è possibile reagire.
Reazione e ripristino
Le due attività di reazione e ripristino potrebbero procedere in parallelo. Tuttavia, i problemi di un’eventuale ritorsione sono principalmente legati alla possibilità di sapere esattamente chi è l’autore dell’attacco. Escludendo l’ipotesi di una dichiarazione di guerra che risolverebbe qualsiasi dubbio, risalire all’identità dell’aggressore potrebbe essere difficilissimo. Vero che un’efficace azione di monitoraggio potrebbe avere fornito prove evidenti. Nel qual caso il difensore avrebbe dovuto in precedenza mettersi nella prospettiva dell’attacco, svolgere tutte le attività necessarie e quindi colpire immediatamente dopo l’inizio delle ostilità. In assenza di chiari indizi si procederà alle attività di analisi, non soltanto per cercare di comprendere chi sia il colpevole, ma perché indispensabili per il ripristino della normalità con un certo grado di sicurezza. Come già scritto il recupero dei sistemi attraverso copie di sicurezza o grazie all’attivazione di sistemi di continuità operativa presenta dei rischi. Per esempio, l’analisi del codice del malware utilizzato e l’individuazione delle utenze sfruttate per accedere abusivamente, aiuterebbero a ridurre il pericolo di recrudescenze. Di certo tutte le attività di ritorno alla normalità dovranno essere svolte con l’infrastruttura off-line e il ripristino della raggiungibilità da remoto così come la connessione ai sistemi superstiti dovranno essere progressivi e strettamente sorvegliati.
