Threat intelligence

Analisi delle minacce nel caso degli umani: come cambiano i processi di threat intelligence e threat hunter



Indirizzo copiato

La threat intelligence è una disciplina che si occupa di raccogliere, analizzare e interpretare informazioni sulle minacce informatiche per prevenire attacchi futuri. Ma cosa accade se ad essere analizzata è una persona, o un gruppo di persone? È qui che entra in campo il threat hunting

Pubblicato il 24 mag 2023

Enrico Frumento

Cybersecurity Research Lead



shutterstock_1721868430_1.jpg

La Social Engineering, o meglio e più in generale, lo sfruttamento ai fini dell’attacco alle organizzazioni degli errori dell’elemento umano, è da tempo la migliore strategia a disposizione dei cybercriminali.

Esaminiamo allora il problema della threat intelligence e del threat hunting nel momento in cui il sistema sotto analisi sono gli umani.

Partiamo dal presupposto che la fonte del rischio cyber non è un sistema informatico, ma una persona o un gruppo di persone in carne ed ossa. Occorre ripensare quindi la sicurezza partendo dall’elemento umano.

Occorre pertanto introdurre una nuova dimensione della sicurezza informatica, che a differenza di quella classica, che si occupa dei sistemi tecnologici, si concentri sull’elemento umano. Per farlo è necessario però riformulare una serie di attività perché l’ipotesi alla base è radicalmente differente: il soggetto dei sistemi di difesa sono le persone e non le macchine. Le persone non sono tutte uguali, non sono sistemi informatici, il loro comportamento cambia nel tempo e le scienze coinvolte sono quelle umanistiche e non quelle informatiche o elettroniche.

Questa riflessione passa per 7 temi, secondo la vision del Cefriel.

A picture containing text, screenshot, diagram, skeletonDescription automatically generated

Threat intelligence dell’elemento umano

La threat intelligence è, in sintesi, una disciplina che si occupa di raccogliere, analizzare e interpretare informazioni sulle minacce informatiche per prevenire attacchi futuri. Tuttavia, non si limita solo ai sistemi informatici ma può essere applicata anche alle persone. In questo caso, la threat intelligence si concentra sull’analisi del comportamento umano per identificare eventuali minacce o rischi per l’organizzazione. Ad esempio, può essere utilizzata per identificare i dipendenti che potrebbero essere vulnerabili a un attacco di phishing o per individuare i comportamenti anomali dei dipendenti (in generale anche al di fuori del perimetro aziendale, come ad esempio sui social media), che potrebbero indicare un possibile attacco interno. In questo senso potrebbe includere attività di profilazione psicologica per individuare i cosiddetti super-target, cioè quelle persone che potrebbero essere più facilmente oggetto di attacchi, per predisposizione personale, culturale, esposizione in rete o portfolio e ruolo aziendale (e qui mi ricollego al discorso della People Analytics, già affrontato qui).

Kaspersky definisce la (o il) threat intelligence come il processo di identificazione e analisi delle minacce cyber. Il termine “threat intelligence” si riferisce sia ai dati raccolti su una potenziale minaccia sia ai processi di aggregazione, interpretazione e analisi di quei dati per una migliore comprensione delle minacce. Questo è vero nel momento in cui il sistema sotto analisi è un sistema informatico, ma deve essere vero anche quanto il sistema sotto analisi sono gli umani (il layer 8).

Cosa accade quindi se ad essere analizzata è una persona, o un gruppo di persone? Come evidenziato più volte, le persone possono essere, da un certo punto di vista, assimilate a “sistemi” che gestiscono informazioni ed asset di valore per l’azienda, oltre ad essere esse stesse “asset” di valore. L’estremizzazione di quanto scritto è utile per render conto dell’importanza di trattare le persone, non come potenziali vittime, o come l’ennesima fonte di rischi cyber per l’azienda, ma come una risorsa ed un sistema “delicato” che è costantemente esposto a minacce informatiche fra le più raffinate. Ad avvalorare la mia posizione, ricordo che il cybercrime spende ingenti risorse per colpire proprio gli umani.

Recentemente Mandiant ha rilasciato un comunicato stampa[1] che condivido: il malware prolifera ma le difese tecniche sono più forti. Nello stesso comunicato viene però anche sottolineato che il phishing è il secondo vettore di attacco più comune. L’anno scorso, il phishing ha rappresentato il 22% delle intrusioni in cui è stato identificato il vettore di infezione iniziale, rendendolo il secondo vettore più utilizzato, in aumento rispetto al 12% delle intrusioni nel 2021. Un altro report recentemente pubblicato da DarkTrace[2] riporta una crescita pari al 135% nel solo 2023, degli attacchi di Social Engineering che utilizzano AI “generativa”. L’82% degli intervistati da Darktrace ritiene che le e-mail generate tramite le AI generative siano virtualmente indistinguibili dalle email reali.

Il punto è che le AI generative, come gli attacchi condotti da persone vere, utilizzano i dati liberamente scaricabili in rete. In pratica una mail di phishing, generata o meno da un sistema di AI, è tanto più simile ad una mail vera tante più informazioni sulle mail vere e sulle persone da attaccare si trovano in rete. Questo è un assunto importante perché, in una logica proattiva tali informazioni andrebbero cercate e identificate dalle aziende prima degli attaccanti, tramite threat intelligence ad esempio. Da qui l’importanza di effettuare operazioni di threat intelligence sull’elemento umano delle proprie aziende.

Si tratta di estendere, in altre parole, la threat intelligence al layer 8 della sicurezza informatica, proprio per beneficiare dei vantaggi riconosciuti (riduzione rischi, comprensione delle minacce) anche rispetto all’elemento umano.

Le fasi della threat intelligence

Secondo letteratura la threat intelligence viene in genere suddivisa in tre fasi: strategica, tattica e operativa.

  • La fase strategica consiste in un’analisi di alto livello pensata per un target non tecnico, come ad esempio il consiglio di amministrazione.
  • La fase tattica si concentra sull’analisi delle minacce specifiche e dei loro effetti, per prevedere possibili scenari di attacco.
  • La fase operativa consiste nell’analisi dei dati raccolti per identificare le minacce in tempo reale e fornire informazioni utili per la prevenzione e la risposta alle minacce

Nel momento in cui occorre analizzare gli umani queste fasi si traducono in larga parte con le operazioni di OSINT e misurazione della Digital Shadow di una azienda.

La fase strategica

Normalmente la fase strategica è delicata perché occorre riportare informazioni adeguate al livello operativo e di governance. Questo vuole dire non troppo tecniche ma neanche troppo generiche. Quando si ha a che fare con gli umani entrano in gioco considerazioni legate al GDPR, ma anche al rapporto etico con i lavoratori. Come sappiamo le attività di OSINT, quanto vengono compiute da una azienda sui propri dipendenti, confliggono con il diritto alla privacy e con l’accesso ad informazioni personali. La legge GDPR in merito è decisamente chiara, una azienda non può eccedere nel controllo delle informazioni pubblicate a titolo personale ad esempio sui social media. È una questione spinosa che limita spesso questo tipo di indagini di intelligence. C’è poi la dimensione etica, occorre trovare un equilibrio evitando di colpevolizzazione le singole persone e ragionando sempre per categorie anonimizzate in modo tale da rendere impossibile la deanonimizzazione (intesa come il processo di associare dati anonimi a un soggetto identificato o identificabile).

La fase tattica

Logicamente parlando questa fase si posiziona prima dei test Vulnerability Assessment già discussi in un mio precedente articolo (i.e. le simulazioni di phishing). Molto spesso si compiono simulazioni di phishing a tappeto, su tutto il personale. Questo approccio ha il vantaggio di valutare l’efficacia di eventuali campagne di phishing rivolte a tutto il personale aziendale, ma hanno il difetto di coprire solo un aspetto del problema. Seppure ogni tanto capitino, sempre più raramente le campagne di phishing vengono rivolte a tutto il personale indistintamente. Più spesso accade che l’attacco prenda di mira singole persone e ruoli aziendali, selezionati in base alla loro esposizione in rete, ma soprattutto al valore delle informazioni che gestiscono o il ruolo aziendale. Si vedano gli attacchi basati sulla personalità in un mio precedente articolo. Quindi la fase tattica consiste nell’analisi delle minacce specifiche al proprio capitale umano, in relazione ad esempio a: (i) le misure di riduzione del rischio (i.e. svolte tramite campagne di formazione specifiche, come spiegato qui), (ii) il valore per l’azienda, (ii) la predisposizione generica a livello statistico (e.g., i millennial o il personale anziano in rapporto alla confidenza nell’uso di email o sistemi mobili o social network).

La fase operativa

In questo caso la definizione riportata poco sopra per la threat intelligence dei sistemi informatici si applica ancora, se viene garantito l’anonimato delle singole persone. Si può ragionare per macrocategorie (es. neoassunti, millennials, gente con formazione umanistica vs tecnica o anzianità di servizio oppure corsi erogati), ma non sui singoli individui. La fase operativa normalmente viene svolta dal personale SOC, ma in questo caso il coinvolgimento della funzione HR è fondamentale, per fornire le informazioni che la unità di security spesso non ha, ed interpretarle nel modo corretto. Di questo argomento ho anche parlato a proposito di People Analytics, qui.

Threat hunting dell’elemento umano

Il (o la) threat hunting è la pratica di ricerca proattiva di minacce informatiche che possono essere presenti in una rete prima di essere individuate. Questo vuole dire ricercare eventuali attori malintenzionati nell’ambiente che sono sfuggiti alle difese iniziali di sicurezza, ad esempio degli endpoint. Si tratta di un’attività prevalentemente umana, che è supportata da strumenti automatizzati, ma richiede l’intervento di personale tecnico esperto nella valutazione di indici ed evidenze: i Threat Hunter.

Mentre le tecnologie di sicurezza analizzano i dati grezzi per generare avvisi, il Threat Hunting lavora in parallelo – utilizzando query e automazione – per estrarre indizi ed evidenze dagli stessi dati. I Threat Hunter compiono una vera e propria investigazione per identificare i segni di attività offensive o di intrusione partendo da ipotesi di attacco (es. tipiche del Red Teaming). Il Threat Hunting è altamente complementare al processo di incident detection, response e remediation ed è coordinato e consecutivo alla threat intelligence. In figura sotto riporto le fasi di cui è composto.

IBM ha pubblicato un video intitolato “Threat Hunting: The human element” che spiega come il threat hunting sia un processo che combina l’automazione e l’analisi umana per la rilevazione e la rimozione precoce degli attacchi informatici[3]. Tipicamente il threat hunter identifica gli attori della minaccia in base all’ambiente, al dominio e ai comportamenti di attacco impiegati per creare un’ipotesi allineata con il framework MITRE. Questo non esclude quindi in linea teorica il layer 8.

Ma cosa cambia nel momento in cui ai sistemi informatici si sostituiscono le persone (layer 8)? Come cambia il lavoro del threat hunter?

Parafrasando, nel caso dello human-element, il Threat hunting è una disciplina di proactive security che consiste nel cercare attività sospette contro il personale aziendale. L’obiettivo dei threat hunter è quello di cercare e indagare in modo proattivo su qualsiasi comportamento sospetto che possa colpire le persone.

Le attività di threat hunting non sono del tutto riconducibili a questo contesto ma c’è una cosa che ci si avvicina: il Threat Hunting è costruito «sopra» le attività di Red Teaming e Anomaly Detection. Il Red Teaming nel caso dello human-element consiste nel cercare di compromettere il perimetro aziendale tramite attacchi di social engineering mirati ed in condizioni operative quasi identiche ad un attacco vero (i.e. black-box testing) l’anomaly detection consiste nel caso dello human-element nell’individuare deviazioni comportamentali dalle policy stabilite o dai comportamenti abituali: deviazioni dei pattern comportamentali come ad esempio navigazione anomale di determinate utenze -verso siti di phishing- oppure deviazioni comportamentali degli utenti, secondo quanto prescritto anche dai modelli zero-trust applicati all’elemento umano[4].

Come discusso nei precedenti articoli, trattando l’elemento umano vengono in aiuto altre discipline. A tal proposito, segnalo un’interessante contaminazione dalla criminologia, con la Routine Activity Theory. Questa teoria, sviluppata alla fine degli anni ’70, descrive come il crimine possa essere influenzato dall’esposizione dello stile di vita della vittima. Un articolo pubblicato dalla IEEE nel 2017 ne racconta l’applicazione alla cybersecurity[5]. L’articolo analizza le associazioni tra le attività quotidiane degli utenti, le caratteristiche socio-economiche e la vittimizzazione di cybercrime, in particolare frodi online, accesso negato ai servizi online e attacchi DDoS.

Un altro esempio di attività di hunting, in alcuni tipi di campagne di social engineering gli aggressori fingono di essere un dipendente per infiltrarsi nella rete. In questi casi il Threat Hunter raccoglie nel tempo le attività dei dipendenti ordinari per determinare una baseline da confrontare per il rilevamento di situazioni anomale.

Conclusioni

Le attività di threat intelligence e threat hunting sono oggigiorno best-practices assodate nel contesto della difesa dei sistemi IT. Nel caso della difesa degli umani sono meno consolidate. Tuttavia, se si guardano le definizioni di alto livello di questo tipo di attività si vede quanto sia fondamentale connettere le informazioni o le anomalie con la tassonomia MITRE. Il MITRE comprende anche l’elemento umano.

In questo caso intervengono però problematiche di natura giuridica ed etica che limitano la raccolta dei dati necessari al completamento delle due attività suddette. Questo comporta una forte riduzione dell’efficacia di questo tipo di attività, ma non è un problema impossibile da risolvere. Difatti, sia nel caso della threat intelligence, sia in quello del threat hunting, con le opportune attenzioni e con un adeguato collegamento con la funzione di HR, si riescono a raccogliere gli elementi necessari allo svolgimento dei processi.

I tool sono quasi del tutto assenti in questa particolare branca della cybersecurity e quindi spesso ci si affida a best practices non del tutto consolidate. In Cefriel lavoriamo sul tema della sicurezza dell’elemento umano sia in progetti di innovazione che in attività di ricerca proprio per cercare di identificare quali siano le migliori soluzioni a questo tipo di problemi (es. qui e qui). Il cybercrime ha posto gli umani e le loro debolezze al centro delle loro attività già da qualche anno, mentre la sicurezza informatica, nonostante la miriade di articoli in proposito, sta ancora cercando una via per risolvere le ambiguità ed i problemi discussi.

Note

*Qui, qui e qui primi tre argomenti trattati.

  1. Malware is proliferating, but defenses are stronger: Mandiant,”
  2. I. Barker, “Novel social engineering attacks surge by 135 percent driven by generative AI,” Betanews
  3. Threat Hunting: The human element,” Mediacenter
  4. P. Danhieux, “Why You Need The Human Element In Zero-Trust Security.” (2022)
  5. M. Junger, L. Montoya, P. Hartel and M. Heydari, “Towards the normalization of cybercrime victimization: A routine activities analysis of cybercrime in europe,” 2017 International Conference On Cyber Situational Awareness, Data Analytics And Assessment (Cyber SA), London, UK, 2017, pp. 1-8, doi: 10.1109/CyberSA.2017.8073391

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Video
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati