I criminali e aggressori sono intelligenti e si adattano facilmente a tutto. Se le difese migliorano, gli attaccanti cambieranno la loro tattica per rispondere alla nuova sfida. Allo stesso tempo, gli attacchi diventano sempre più semplici cone i nuovi strumenti che si trovano in rete tools come Metasploit, Nmap, cobaltstrike, mimikatz. Questo sviluppo di strumenti davvero eccezionali, ha espanso esponenzialmente il numero di aggressori e le piattaforme di attacco.

Il risultato è una vasta gamma di Threat Actors, alcuni altamente ingegnosi a fianco di molti che possono e sfrutteranno queste vulnerabilità ben note se rimaste senza rimedio per molti mesi. In molti casi per processi scarsi come patch secutity release e tenere i sistemi senza aggiornamenti pianificati. Questo implica processi come stare dietro a bulletin di vulnerabilità e fare release prima possibile.

La possibilità di un tentativo di attacco di un tipo o dell’altro, è quasi certo, tra gli exploits che sono pubblici, i sistemi vengono attaccati e verranno attaccati regolarmente e continuamente. La maggior parte di quegli attacchi sarà un “tocco alla vostra porta”: come scanner o connessioni che cercano di passare sotto il radar…per capire cosa usate e come lo usate.

Un server Web che ascolta le connessioni da Internet deve rimanere aperto a tutti,  il traffico internet a meno che non vengano applicate restrizioni agli indirizzi IP tali che solo alcune reti o addirittura host possono accedere al server Web, il che significa che qualsiasi utente malintenzionato può sondare il vostro webserver, almeno a livello di protocollo di rete, se non più in profondità come scovare i processi dietro il vostro webserver!

Una volta che un utente malintenzionato interessato trova e cataloga la porta HTTP aperta esempio 80 o 8080, allora il divertimento comincia. Come gli scanner di vulnerabilità del web, l’attaccante sonderà ogni porta per capire quale servizio ci sta dietro. Questa tipica metodologia di raccolta di informazioni prima di un attacco. Saranno questi scanner (e possibilmente download di porzioni del sito) presagire ad attacchi futuri dopo aver effettuato information gathering.

Alcuni avversari intendono causare danni, altri non causano danni e altri non se ne curano su quale danno può derivarne, purché venga raggiunto un obiettivo. Ci sono altre dimensioni da considerare. Le ho raccolto in cinque aree:

1. Obiettivo finale dell’attaccante
2. Abilità tecnica
3. Tolleranza al rischio
4. Fattore di difficoltà

 

Obbiettivo. Molti attacchi di successo dipendono dalla corretta esecuzione di una serie di exploit, uno dopo l’altro. Quelli che alcuni chiamano exploit chain. Dalla ricognizione, alla persistenza, alla scalata dei privilegi, attraverso l’instaurazione di comando e controllo e persistenza assoluta nel network. Questo è in genere l’obiettivo finale di un avversario ad eccezione di chi cerca bugs e ricercatori di sicurezza, che potrebbero essere soddisfatti di stabilire prove che uno sfruttabile condizione esiste. Per gli aggressori del mondo reale, l’avversario è alla ricerca di qualcosa;
forse rubare credenziali o controllare l’host in modo che possa essere impiegato come parte di una botnet, rubare informazioni, interrompere operazioni con attacchi ddos o semplicemente un furto di denaro o altri beni: gli attaccanti hanno molti obiettivi.

Abilità tecnica. Non tutte le classi di aggressori desiderano impiegare strumenti altamente sofisticati, tecniche ad alta intensità di risorse come soldi, exploit, personale. Per un momento, ignora il potenziale per qualsiasi attaccante altamente sofisticato e avere accesso a potenti risorse di calcolo; ci sono classi di attaccanti che, anche se avessero a disposizione tali risorse, potrebbero non portarli a sopportare semplicemente perché è troppo costoso. Per questo motivo, è utile capirne il tipo di capacità tecniche, il tipo di exploit, che probabilmente una particolare classe di avversari utilizzerà o no a seconda del rango.

Tolleranza al rischio. Quello che intendo con questo attributo è quanto sia disposto o non disposto un particolare
attaccante ad essere scoperto. Il risultato migliore è se l’attività non viene mai scoperta o, se scoperta,
che è difficile attribuire a un particolare gruppo o stato. L’obiettivo dovrebbe certamente essere oscurata il più possibile. I criminali informatici senza dubbio sanno che una volta che il tuo account è stato svuotato, lo noterai. Al criminale non importa che lo hai scoperto, solo che il ladro non viene catturato, o almeno, solo partecipanti di basso livello in un’organizzazione criminale essere perseguiti; la gestione di livello superiore deve essere protetta, di solito a tutti i costi. D’altra parte, i ricercatori di sicurezza generalmente non infrangono alcuna legge, quindi si limitano a pubblicare i risultati senza rischi. I ricercatori di sicurezza possono quindi essere pensati di avere tolleranza al rischio zero.

• Fattore di difficoltà. Questo attributo è una stima di quanto sia difficile una particolare classe di avversari, quanto lavorerà per raggiungere il loro obiettivo. Ad esempio, la sicurezza nazionale degli Stati Uniti. L’agenzia aveva, una volta, un cosiddetto “budget nero” di $ 60 miliardi. A me sembra essere un enorme quantità di risorse da applicare a qualsiasi particolare azione informatica. Presumo che anche le maggiori potenze hanno budget simili. Contrastare questo con un business del crimine informatico che deve massimizzare la quantità di profitti da ciascuna operazione.