HPE svela i meccanismi che regolano l’economia cybercriminale
Articolo pubblicato da CWI.it
Il nuovo report Business of Hacking di HPE analizza il meccanismo cybercriminale e offre indicazioni utili per rafforzare le difese delle aziende. Considerazioni di Andrzej Kawalec, CTO Enterprise Security Services.
Hewlett Packard Enterprise (HPE) ha pubblicato oggi The Business of Hacking, un report disponibile per il download a questo link che analizza nel dettaglio l’economia alla base del cybercrimine. Lo studio fornisce un’analisi approfondita delle motivazioni che si nascondono dietro agli attacchi lanciati dai cybercriminali, nonché della catena derl valore creata dalle organizzazioni illegali per estendere la propria portata e massimizzare i profitti. Sulla base di queste informazioni, il report offre anche suggerimenti utili per mitigare i rischi e ostacolare questi gruppi criminosi.
Ora, a parte la naturale curiosità sul funzionamento interno di organizzazioni criminali, quale utilità può avere per la sicurezza delle aziende il conoscere le logiche di business sottese? Per Andrzej Kawalec, Chief Technology Officer degli Enterprise Security Services di HPE, che abbiamo intervistato sul tema, è molto importante.
“Invece di combattere milioni di singole battaglie, le aziende possono cercare di capire come funziona il modello di business dei criminali e approcciare la sfida come farebbero con un competitor. Facendo una SWOT analysis, possono per esempio cercare di aumentare i rischi per i criminali, ridurre le opportunità di attacco e renderli sempre meno profittevoli”.
Le informazioni per la ricerca sono state raccolte dal Malware Research Team di HPE, che dispone di 10 centri operativi sparsi nel mondo attraverso i quali raccoglie informazioni sui nuovi malware e dall’Intelligence Team, che monitora il sottobosco della rete abitato dai cybercriminali.
Il profilo del cybercriminale e la natura interconnessa dell’economia sotterranea di cui fa parte si sono evoluti enormemente in questi ultimi anni. Sempre più spesso gli hacker adottano infatti sofisticati principi manageriali per creare e ampliare le proprie attività, incrementando impatto e profitti finanziari, ossia le principali motivazioni che guidano quasi tutti i cybercriminali.
Come funzionano le organizzazioni cybercriminali
I cybercriminali di oggi si avvalgono spesso di un modello operativo formale e di una value chain strutturalmente molto simili a quelli delle normali aziende e in grado di garantire un ROI superiore lungo tutto il ciclo di vita di un attacco. I responsabili della sicurezza delle aziende, i legislatori e le forze dell’ordine che intendono bloccare i cybercriminali devono innanzitutto conoscere tutti gli elementi che compongono la value chain di questa economia sotterranea.
Gestione delle risorse umane
Reclutamento, selezione e remunerazione dello staff di supporto necessario per portare a termine attacchi specifici; anche formazione e training fanno parte di quest’area.
Operation
Team di gestione che assicura il regolare flusso di informazioni, nonché i fondi lungo tutto il ciclo di vita di un attacco, ed è concretamente impegnato a ridurre i costi e massimizzare il ROI in ogni fase del processo.
Spesso le operations sono gestite in modo identico a quelle di un’azienda regolare. Analizzando i pattern di attività, si capisce che molte organizzazioni operano dalle 9 alle 16 e dal lunedì al venerdì, con un picco al lunedì mattina, come avviene in un’azienda che deve recuperare le richieste che si sono accumulate nel weekend.
Secondo Kawalec, si può ipotizzare che alcune delle persone coinvolte non siano nemmeno consapevoli di lavorare per un’organizzazione criminale, anche perché spesso queste hanno attività di copertura che usano per il riciclaggio del denaro.
Sviluppo tecnico
La prima linea che dispone di tutte le competenze tecniche necessarie per perpetrare qualsiasi attacco, facendosi carico di attività di ricerca, messa a frutto delle vulnerabilità, automazione eccetera.
E’ forse l’area più nota e studiata finora, e non riserva molte sorprese, se non che anch’essa si sta spostando verso modelli, pratiche e architetture adottate dall’industria del software nel suo complesso, come dei cicli di sviluppo ben definiti e programmati o il modello Software as a Service per l’erogazione del servizio, o l’adozione di architetture cloud che possano supportare il modello di business.
Marketing e vendite
Team impegnati a far sì che la reputazione del gruppo cybercriminale sia forte e percepita nel mercato underground, e perché i relativi prodotti siano ritenuti affidabili dal target dei potenziali acquirenti.
Per Kawalec, se si riesce a intaccare la credibilità della persona o dell’organizzazione, dovrà spendere molto tempo ed energia per costruirsi una nuvoa identità spendibile.
Logistica outbound
Persone e sistemi responsabili del delivery al cliente dei beni acquistati, siano essi grandi volumi di dati di carte di credito, cartelle mediche, proprietà intellettuali o altro ancora.
Un panorama preoccupante
“Complessivamente, è stupefacente il livello di specializzazione in ciascun livello della catena del valore, e di integrazione tra di essi”, afferma Kawalec. “Ciascuna di queste funzioni si è specializzata ed esistono organizzazioni che si occupano di un solo aspetto, fornendo il servizio a organizzazioni terze e raggiungendo una scala di operazione davvero industriale”.
Secondo Kawalec, le tendenze più preoccupanti per quanto riguarda i tipi di attacco e di crimine sono:
Attività che offrono un guadagno finanziario diretto
La relativa velocità nel ritorno dell’investimento per un’operazione di ransomware, unita a un “punto prezzo” per il riscatto attualmente basso, rende questo tipo di operazione molto attrattiva per il business criminale, ed è facile pensare che verranno investite ulteriori risorse per lo sviluppo di nuovi kit di attacco.
Crescita e aggregazione dei dati personali
Possedere un numero di carta di credito o un codice fiscale rubato non fornisce più un grande valore per il crimine. Per questo, ci sono organizzazioni che si stanno muovendo per collezionare, aggregare e analizzare dati personali rubati provenienti da diverse fonti secondo il modello “big data”. Il tipo di attacchi che possono derivare da questo tipo di approccio è potenzialmente devastante.
Furto della proprietà intellettuale
Diversamente dal ransomware, comporta un investimento a medio-lungo termine, ma ben più consistente. Si muove su obiettivi di alto profilo, e purtroppo ha tra i suoi potenziali clienti anche aziende piuttosto grandi.
Come difendersi
A questo punto della ricerca HPE propone tre diversi approcci attraverso i quali i professionisti della sicurezza aziendale possono difendersi meglio da queste organizzazioni criminali
“Le aziende devono utilizzare un approccio olistico. Non si può più pensare di essere protetti perché si sono adottate singole tecnologie hardware o software di sicurezza, ma queste devono essere inserite in un piano più ampio, che riguardi sì i prodotti, ma anche la conoscenza, la cultura e la struttura dell’organizzazione aziendale”.
Ridurne i profitti dei criminali
Limitare i ricavi finanziari che gli hacker possono conseguire attaccando un’azienda, grazie a soluzioni di cifratura crittografica end-to-end. Cifrando i dati a riposo, in transito e in uso, infatti, le informazioni risultano del tutto inutilizzabili per i cybercriminali, perché ne si limita la possibilità di rivendita e, quindi, di ottenerne un profitto.
Ridurre la superficie attaccabile
La diffusione della IoT e dispositivi mobili ha ampliato enormemente le potenziali aree di attacco. Ecco perché tutte le tipologie di organizzazioni devono necessariamente integrare la sicurezza nei propri processi di sviluppo al fine di proteggere le interazioni fra dati, app e utenti, a prescindere dal dispositivo.
Imparare dagli avversari
Nuove tecnologie, come, per esempio, le cosiddette ‘deception grid’, offrono metodi per intrappolare e monitorare i cybercriminali mentre si muovono all’interno di un duplicato realistico della rete, imparando così dalle loro stesse azioni. Le aziende possono quindi sfruttare le informazioni così ottenute per proteggere meglio le proprie reti, bloccare attacchi similari prima ancora che possano iniziare e rallentarne lo sviluppo.
