Cos’è un IoC (informatica)

Quando si verifica un incidente di web security, gli indicatori di compromissione (IoC) costituiscono la prova del data breach. Queste tracce digitali rivelano non soltanto che è avvenuto l’incidente, ma spesso permettono anche di scoprire quali strumenti sono stati usati per sferrare l’attacco e da chi.

Gli indicatori di compromissione possono anche essere utilizzati per determinare in quale grado l’incidente informatico abbia colpito l’organizzazione, e per mettere in sicurezza la rete da possibili attacchi futuri. Gli indicatori vengono tipicamente raccolti da appositi software, come gli antivirus e gli anti malware, ma anche nuovi strumenti basati sull’intelligenza artificiale, vengono utilizzati sempre più spesso per aggregare e organizzare gli indicatori durante le fasi di incident response.

Per quanto i cybercriminali si sforzino di creare malware in grado di evitare il rilevamento nei sistemi delle vittime, ogni applicazione lascia delle prove della sua esistenza nella rete. Questi indizi possono essere utilizzati per determinare se la rete è attualmente sotto attacco o se un data breach è già avvenuto. Gli investigatori forensi si servono di queste tracce per raccogliere prove dopo un incidente di sicurezza informatica, per mettere in atto le contromisure e per provare ad identificare i responsabili della violazione. Gli indicatori di compromissione rivelano anche quali dati sono stati rubati e la gravità dell’incidente avvenuto.

Pensate agli indicatori di compromissione come a delle briciole lasciate dai cybercriminali dopo una violazione. I software anti malware possono bloccare parzialmente un attacco, ma gli indicatori di compromissione determinano a quali dati e file hanno avuto accesso gli attaccanti. Sono fondamentali nello scovare le vulnerabilità e gli exploit sfruttati dagli hacker per commettere la violazione, perché offrono all’organizzazione informazioni preziose sulle difese da implementare per proteggere la rete da attacchi futuri.

Che cosa si intende per indicatore di attacco (IoA)? Tutti gli incidenti di sicurezza sono contraddistinti da specifiche fasi. Ma a livello di indagini, sono principalmente due gli aspetti più importanti da valutare – l’attacco è tuttora in corso? O l’incidente è già stato contenuto? Gli investigatori utilizzano gli indicatori di compromissione lasciati dai cybercriminali per rispondere ad entrambe le domande.

Gli IoC sono utilizzati durante le fasi di incident response per determinare l’entità dell’attacco e quali dati sono stati violati. Gli indicatori di attacco (IoA) sono utilizzati per determinare se un attacco è tuttora in corso e deve essere contenuto prima che possa causare ulteriori danni.

Entrambi gli indicatori, si basano sull’analisi delle prove e dei metadati che forniscono agli investigatori degli indizi sullo stato dell’attacco. Gli IoC sono utilizzati dopo che un attacco è stato contenuto, quando l’organizzazione colpita necessita di scoprire il come, il quando e il perché è avvenuto l’attacco. Gli IoA si concentrano invece su un attacco tuttora in corso che va contenuto il prima possibile.

Per quei tipi di malware estremamente subdoli e nascosti, la violazione può andare avanti per mesi prima che gli amministratori di rete se ne accorgano. Gli indicatori di attacco aiutano a distinguere le reali minacce dai falsi positivi.

Su reti di grandi dimensioni potrebbero essere migliaia gli indicatori di compromissione. Per questo motivo, le prove vengono aggregate e caricate su sistemi SIEM (Security event and event management) per aiutare gli investigatori forensi a mettere in ordine i dati. Le prove possono provenire da più fonti, ma di seguito elenchiamo alcuni degli indicatori di compromissione più comuni:

• Traffico in uscita insolito: I cybercriminali si servono di malware per raccogliere ed inviare dati a server sotto il loro controllo. Traffico in uscita durante orari insoliti, o traffico verso indirizzi IP sospetti possono indicare una possibile compromissione.
• Attività irregolari su dati sensibili da parte di utenti con privilegi elevati: Per accedere a dati riservati, vengono utilizzati account compromessi. I cybercriminali hanno bisogno di account dotati di privilegi elevati per poter avere accesso ad informazioni sensibili, inaccessibili da account con privilegi standard. Un account con privilegi elevati che accede a dati sensibili ad orari insoliti, o che accede a file a cui raramente si accede, potrebbe essere il segnale che le credenziali sono state rubate o ottenute tramite phishing.
• Attività provenienti da zone geografiche insolite: La maggior parte delle aziende ha un traffico che proviene da specifiche aree geografiche. Quando ci si trova di fronte ad attacchi sponsorizzati da governi o da paesi al di fuori della normale area di influenza di un’organizzazione, gli indicatori segnalano l’anomalia di traffico a livello geografico.
• Alto numero di autenticazioni fallite: Negli account takeover, i cybercriminali si servono di software automatici per effettuare l’autenticazione tramite credenziali rubate. Un elevato numero di tentativi di autenticazione possono indicare che un attaccante in possesso di credenziali rubate, sta tentando di trovare un account che gli permetta di accedere alla rete.
• Aumento degli accessi ai database: Che si tratti di SQL injection o accessi ai database tramite account da amministratore, dump di dati dalle tabelle di un database, possono essere il segnale che qualcuno ha sottratto dei dati.
• Un eccessivo numero di richieste verso file importanti: Senza un account con elevati privilegi, un attaccante è costretto a provare diversi exploit per scovare la giusta vulnerabilità che gli permetta di accedere ai file. Numerosi tentativi di accesso dallo stesso indirizzo IP o area geografica, devono essere monitorati.
• Modifiche sospette alle impostazioni: Modificare le configurazioni di file, server, e dispositivi potrebbe servire a un attaccante per aprire vulnerabilità da sfruttare poi tramite i malware, fornendogli una seconda backdoor alla rete.
• Elevato traffico verso uno specifico sito o indirizzo IP: La compromissione di dispositivi viene utilizzata per realizzare le botnet. Nel momento in cui l’attaccante invia un segnale ai dispositivi compromessi, essi inondano di traffico il bersaglio prescelto. Elevati volumi di traffico da più dispositivi verso uno specifico indirizzo IP, possono significare che i sistemi interni sono utilizzati in un attacco DDoS (Distributed denial-of-service).

Una compromissione può essere rilevata dalla presenza di uno o più degli indicatori appena visti. Il lavoro degli investigatori forensi è di analizzare tutti gli indicatori di compromissione per determinare quale vulnerabilità è stata sfruttata nell’attacco.

Dopo aver subito un incidente, lo studio degli indicatori di compromissione permette di stabilire cosa è andato storto, così da consentire all’organizzazione di risanare la vulnerabilità ed evitare che venga sfruttata nuovamente per sferrare altri attacchi.

In certi casi, le aziende non monitorano correttamente le giuste risorse, né tantomeno attivano i log. Ciò gioca a favore dei cybercriminali, che possono in questo modo evitare di essere individuati durante le fasi di indagine. È importante per prima cosa attivare il monitoraggio della rete per rilevare un attacco, ma per le indagini in caso di incidente, tenere i log di tutto quanto è altrettanto importante.

Gli indicatori di compromissione possono venire raccolti in tempo reale per ridurre i tempi di risposta durante le indagini. Vengono utilizzati sistemi SIEM per separare tutto ciò che è irrilevante, dalle prove vere e proprie, necessarie per identificare un attacco, e il vettore utilizzato per sferrarlo. Preparare un piano di incident response può altresì contribuire a ridurre il tempo necessario per le indagini. Tale piano va aggiornato dopo ogni incidente di sicurezza, per renderlo più efficace.

Durante le fasi di incident response, l’ultima fase è quella in cui ci si mette il cuore in pace e si cerca di trovare il lato positivo per aver imparato la lezione. Gli indicatori di compromissione sono importanti in questa fase per identificare quali difese di sicurezza non erano state correttamente configurate o se erano insufficienti per bloccare l’attacco. Più completi saranno i log e gli audit trail raccolti e conservati dall’organizzazione, più efficaci saranno le indagini durante le fasi di incident response.