Chi sono i threat actor?

Un threat actor è chiunque attacchi un’infrastruttura, dall’interno o dall’esterno, compromettendo la sicurezza dei dati. Gli attacchi possono andare dal furto diretto di dati, al phishing, alla compromissione di un sistema sfruttandone le vulnerabilità o attraverso la creazione di malware ad hoc. L’infrastruttura di sicurezza ha il compito di rilevare, contenere e neutralizzare i threat actor e i loro attacchi.

Esistono diversi tipi di cyber threat actor, soggetti che creano malware ed eseguono attacchi alle infrastrutture e alle applicazioni. Solitamente, ogni tipo di threat actor ha un obiettivo specifico, che può essere puramente economico o che può mirare invece alla distruzione dei tuoi dati. Capire quali tipologie di threat actor esistono, ti permetterà di migliorare i metodi di rilevamento e di analisi degli attacchi. Perciò diamo un’occhiata alla seguente threat actor list per comprendere chi sono i nostri nemici.

Cyber Terroristi

I cyber terroristi prendono di mira per lo più aziende, governi o infrastrutture di un paese. Vengono chiamati così perché con i loro attacchi puntano a paralizzare intere comunità. Solitamente il cyber terrorista ha come obiettivo quello di arrecare danno ai cittadini e alle imprese di un determinato paese, con conseguenti danni sia economici che fisici in quanto possono colpire anche ospedali e altre infrastrutture sensibili.

State-Sponsored Threat Actor

Come i cyber terroristi informatici, anche questi threat actor sono foraggiati dal governo di un paese e remunerati per colpire l’infrastruttura di un paese nemico. La differenza tra un cyber terrorista e un threat actor sponsorizzato dallo Stato, è che quest’ultimo punta a ricattare un governo in cambio di soldi o a rubare segreti e tecnologie proprietarie, servendosi spesso di ransomware o rootkit per ottenere il controllo remoto delle macchine critiche tramite cui viene gestita l’infrastruttura. I threat actor sponsorizzati dallo stato prendono di mira anche aziende e fornitori che supportano le infrastrutture governative e puntano ad interromperne la produttività.

Hacktivist

A volte gli hacker prendono di mira governi e aziende per l’ideologia che sostengono. L’esempio più famoso è sicuramente “Anonymous”, un collettivo di attivisti informatici formato da persone provenienti da tutto il mondo, che si guadagna spesso i titoli dei giornali con le sue azioni. Non sono però rari i casi di attivisti informatici che lavorano invece in solitaria. Questi threat actor generalmente non sono mossi da motivazioni economiche, né puntano a danneggiare dati o infrastrutture per motivi politici. Possono essere minacce sia esterne che interne, e puntano a svolgere attività dannose o ad interrompere la normale produttività aziendale.

Insider

Spesso le aziende tendono a pensare che le minacce provengano solamente dall’esterno, sottovalutando invece il rischio dovuto all’attività di dipendenti e collaboratori esterni. Quando un dipendente vive con frustrazione e malcontento la propria situazione professionale, può trasformarsi in un insider threat, una minaccia interna, tanto quanto un malintenzionato che prende intenzionalmente di mira un’azienda o un governo.

A volte sono i governi nemici o le aziende concorrenti a corrompere chi fa parte dell’infrastruttura presa di mira, per entrare in possesso di proprietà intellettuale e segreti commerciali, ma in certi casi le minacce interne hanno il solo obiettivo di danneggiare l’azienda per cui si lavora, come nel caso degli impiegati scontenti. Sempre più comuni negli ultimi anni, i threat actor insider sono in grado di infliggere i danni più ingenti, essendo le più difficili da rilevare per via dell’accesso legittimo di cui godono all’infrastruttura e ai dati.

Script Kiddie

Non tutti i threat actor sono esperti pirati informatici con anni di esperienza alle spalle. Data la facilità con la quale è possibile reperire gratuitamente online script, repository di codice e malware, chiunque può lanciare un attacco. Quando ci si trova di fronte a soggetti che non hanno conoscenze di programmazione informatica, né di come sfruttare le vulnerabilità, si utilizza il termine script kiddie. Anche senza competenze di programmazione e hacking, gli script kiddie possono comunque arrecare danno alla produttività e ai dati sensibili di un’organizzazione, infettando magari inconsapevolmente l’infrastruttura con malware di cui pensano di avere il controllo.

Errore umano

I threat actor interni non necessariamente sono animati da intenti malevoli, ma i danni causati dalle loro azioni possono rivelarsi tanto gravi quanto quelli causati da chi prende di mira intenzionalmente l’azienda con un attacco mirato. Pensiamo ad esempio al phishing. I cybercriminali dall’esterno inviano e-mail di phishing ai dipendenti di un’azienda, spingendoli ad aprire un allegato dannoso o un link a siti web malevoli che inducono la vittima a divulgare le proprie credenziali. Avendo un accesso legittimo ai dati, i threat actors interni mettono a rischio la sicurezza di dati aziendali potenzialmente sensibili a vantaggio dei cybercriminali.

Chi attacca la tua azienda lo fa perché animato da specifiche ragioni. Comprendere qual è la motivazione che potrebbe spingere qualcuno ad attaccare la tua organizzazione, ti permetterà di pianificare con cura la tua infrastruttura di sicurezza per difenderti dalle minacce. Gli strumenti di sicurezza che utilizzi sono progettati per proteggerti da attacchi specifici e riconoscere i threat actor e le loro minacce.

Motivazione economica

L’obiettivo principale per molti cyber threat actor è ottenere un guadagno economico. In quest’ottica, i ransomware costituiscono uno strumento prezioso per i threat actor, tramite il quale estorcere denaro alle aziende e ai governi che finiscono nel loro mirino. Quando il ransomware prende di mira persone comuni, il riscatto per rientrare in possesso dei propri dati può limitarsi a poche centinaia di euro da pagare in Bitcoin. Ma quando sono aziende e governi ad essere colpiti, vengono chieste cifre da capogiro, nell’ordine dei milioni di euro. Ciò che conferisce pericolosità ed efficacia al ransomware è il fatto che una volta crittografati i file, le aziende non hanno possibilità di recuperare i propri dati senza pagare il riscatto, o ripristinare i file dai backup, ammesso che ne abbiano e che non siano stati anch’essi crittografati. La larga diffusione dei ransomware, ne incrementa ancora di più la pericolosità, perciò risulta fondamentale implementare un’infrastruttura di sicurezza in grado di rilevare e bloccare i ransomware.

Motivazione politica

Nel caso dei cyber terroristi e dei threat actor sponsorizzati dallo stato, è la motivazione politica ad alimentare gli attacchi. Magari tra i vari obiettivi c’è anche quello di conseguire un guadagno economico, ma lo scopo principale per questo tipo di criminali, è principalmente quello di interrompere la produttività delle imprese e causare danni ai governi. Chi colpisce in questi casi, lo fa da altri paesi piuttosto che dal paese preso di mira, quindi risulta molto complicato indagare per risalire ai responsabili e assicurarli alla giustizia.

Divertimento o ricerca

In alcuni casi, chi attacca, lo fa per puro divertimento o a scopo di ricerca. Trovare vulnerabilità nei software rappresenta un vero e proprio lavoro per una certa tipologia di cyber threat actor, ma questi hacker, cosiddetti white hat, non causano danni intenzionalmente. Il loro scopo è quello di informare aziende e organizzazioni quando viene rilevata una vulnerabilità nelle loro infrastrutture, per consentire loro di identificare i problemi e applicare le patch di sicurezza ai propri sistemi prima che siano gli aggressori ad accorgersi delle vulnerabilità, sfruttandole per rubare i dati. Chi si diverte a lanciare attacchi per puro diletto, utilizza esattamente gli stessi metodi di attacco utilizzati dagli altri threat actor, e può causare danni sufficienti ad influire negativamente sulla produttività aziendale.

Vendetta e notorietà

I threat actor che lo fanno per puro divertimento, a volte sono soltanto alla ricerca di notorietà, il che può renderli facilmente identificabili, nel caso in cui lascino il proprio biglietto da visita. Altri sono spinti dal desiderio di vendetta, e questo può permettere di risalire loro nel caso in cui commettano errori o lascino dietro di sé le proprie tracce, confermando i sospetti degli investigatori. Mentre la maggior parte di coloro che lanciano attacchi informatici, si premura di cancellare ogni traccia della propria attività, coloro che sono in cerca di vendetta o notorietà potrebbero lasciare intenzionalmente informazioni su sé stessi.

Le motivazioni spesso tendono poi a sovrapporsi. Chi lancia attacchi per conto di un governo, potrebbe farlo non solo per ragioni politiche, ma anche per ottenere un guadagno economico, e viceversa. L’utilizzo dei ransomware ad esempio, non ha soltanto l’obiettivo di estorcere alle aziende e ai governi milioni di dollari, ma è in grado di paralizzare al tempo stesso la produttività e i servizi di aziende e governi per settimane.

Poiché dietro la maggior parte degli attacchi c’è una motivazione economica, naturalmente gli obiettivi più a rischio sono le aziende e i governi più ricchi, da cui i cybercriminali possono chiedere riscatti astronomici per permettere loro di rientrare in possesso dei propri dati. Quando ad essere presi di mira sono invece i comuni utenti, le cifre richieste sono molto più abbordabili perché in questi casi i criminali guadagnano sui grandi numeri, secondo il principio che tante gocce fanno un oceano, anziché concentrarsi su un unico obiettivo dal quale spillare una gran quantità di soldi.

La maggior parte degli attacchi ransomware prende di mira gli utenti comuni, ma i cybercriminali sanno bene che le persone hanno meno disponibilità economica rispetto alle imprese, perciò chiedono loro piccole somme come riscatto. I threat actor possono anche prendere di mira le persone per rubare loro l’identità o i dati finanziari. Perciò è importante che, tanto le aziende quanto i comuni utenti, siano consapevoli delle minacce, anche se ovviamente sono le aziende ad essere particolarmente a rischio di gravi violazioni di dati con conseguenti esorbitanti richieste di riscatto.

Un altro punto debole delle aziende rispetto ai singoli utenti, è rappresentato dal fatto che esse sono costituite da numerosi dipendenti e collaboratori, il che incrementa le possibilità di un errore umano con conseguente rischio di violazione dei dati. Gli insider threat si rivelano infatti spesso causa di violazione dei dati o di infezioni da ransomware, anche se, va sottolineato, le stesse violazioni sono spesso causate da threat actor esterni, che colpiscono aziende di qualsiasi dimensione dall’esterno.

Quando ad essere prese di mira sono specifiche aziende, ai threat actor occorre tempo per studiare l’obiettivo e raccogliere tutte le informazioni necessarie prima di poter sferrare l’attacco. Vengono spesso utilizzate in questi casi tecniche di spear phishing con l’obiettivo di compromettere account con privilegi elevati o ingannare un addetto alla contabilità aziendale, affinché effettui un bonifico sui conti dei cybercriminali. L’attacco potrebbe provenire dall’interno, come nel caso di un dipendente insoddisfatto, o che ha ricevuto un compenso da parte di un’azienda concorrente per rubare dati, oppure potrebbe venire da threat actor esterni che tentano di compromettere un account per trafugare dati.

I governi sono bersaglio dei threat actor sponsorizzati dallo stato, che utilizzano gli stessi metodi di attacco di coloro che prendono di mira le imprese, ma essendo sponsorizzati da un governo, hanno a disposizione ingenti risorse economiche e di solito lavorano in gruppi ben organizzati. Sono altrettanto pericolosi e possono paralizzare gli enti governativi colpiti, bloccando le infrastrutture del paese, con conseguente danno ai cittadini.

Implementare un’infrastruttura sicura può essere indubbiamente costoso, ma subire una violazione di dati può risultare ancora più costoso. La maggior parte delle aziende conserva i dati dei clienti e deve perciò rispettare specifiche normative. Chi non è conforme, rischia di subire pesanti sanzioni in caso di data breach. Uno dei requisiti principali richiesti dalle leggi in materia di protezione dei dati è infatti quello di avere infrastrutture ragionevolmente sicure per proteggere i dati dei consumatori.

Sottovalutare i threat actor non porta soltanto alla perdita di dati e conseguenti pesanti sanzioni. Se subissi un data breach avresti di conseguenza un grave danno di immagine, con ripercussioni anche a lungo termine. Se i clienti perdono fiducia nel tuo brand, ciò si ripercuote direttamente sulle vendite e sui tuoi affari, e sarà dura riuscire a riconquistare la loro fiducia. Potresti dover affrontare anche delle cause legali, che, con i tempi biblici della giustizia, potrebbero durare anni. E tutto questo solo per non aver protetto a dovere i dati dei tuoi clienti, nel rispetto delle normative.

Proteggere i dati richiede aggiornamenti giornalieri e manutenzione continua. Data la velocità con cui cambia il panorama della sicurezza informatica, le aziende devono dotarsi di infrastrutture di sicurezza sempre all’avanguardia, per stare al passo con le tecniche e gli strumenti sempre nuovi utilizzati dai cybercriminali. I sistemi di threat intelligence si concentrano proprio sull’evoluzione della sicurezza informatica e dei metodi di attacco. Questi sistemi sono parte integrante dello scudo di difesa che ogni azienda dovrebbe avere per garantire che i dati dei propri clienti siano protetti da tutte le minacce, attuali e future.

Gli attuali standard in tema di sicurezza informatica raccomandano alle aziende di passare da un approccio reattivo alla sicurezza dei dati ad un approccio proattivo. I controlli proattivi sono in grado di monitorare, rilevare, e contenere automaticamente una minaccia prima che essa porti a una violazione dei dati. I vecchi modelli di sicurezza forniscono agli analisti informazioni per identificare una possibile violazione dei dati, ma il rilevamento, la prevenzione, e il monitoraggio delle intrusioni sono molto più efficaci nel diminuire i rischi e proteggere i dati.

Gli amministratori possono adottare diverse misure per bloccare i cyber threat actor e i loro attacchi ai dati. Ecco alcuni modi in cui le aziende possono servirsi di Proofpoint per incrementare la propria sicurezza:

• Formazione: i dipendenti devono sapere a quali segnali fare attenzione quando ricevono email sospette, e in quest’ottica i programmi di security awareness sono davvero efficaci. Insegnare ai propri dipendenti a riconoscere le minacce, i messaggi e i siti malevoli, permetterà loro di capire come starne alla larga.
• Autenticazione Multi-Fattore (MFA): i threat actor concentrano la maggior parte dei propri attacchi iniziali sulle email di phishing. Se riescono a trarre in inganno anche un solo dipendente di un’azienda, spingendolo a divulgare le proprie credenziali, l’autenticazione a due fattori o multi-fattore impedirà ai cybercriminali di andare oltre.
• Monitoraggio della rete: gli strumenti di monitoraggio sono uno dei requisiti richiesti da molte delle normative in tema di protezione dei dati, e giocano un ruolo fondamentale nella difesa proattiva dell’infrastruttura. Monitorare le attività dei dipendenti permetterà di intercettare e bloccare le minacce esterne o interne.
• Rilevamento e prevenzione delle intrusioni: Gli strumenti automatici equipaggiati con l’intelligenza artificiale permettono di monitorare l’infrastruttura, rilevando e contenendo automaticamente le minacce prima che possano portare a un data breach.

I servizi di rilevazione minaccia di Proofpoint

Proofpoint offre una gamma di servizi in grado di rilevare le minacce e monitorare l’ambiente e l’attività di rete. La tecnologia Targeted Attack Protection (TAP) di Proofpoint permette di avere visibilità su ciò che accade nell’infrastruttura aziendale, su quali sono gli obiettivi di chi sta provando a sferrare un attacco (ad esempio, distribuire ransomware o cercare di accedere agli endpoint), sulla tecnica usata (ad es. una Macro o uno script di PowerShell) e sull’evoluzione dell’attacco (ad esempio, se qualche dipendente ha cliccato su un link dannoso all’interno di un’email).

I managed services forniscono alle aziende le risorse di livello enterprise dei security operation center, per aiutare gli amministratori a proteggere le infrastrutture dalle minacce esterne e interne. La tecnologia costituisce sola una delle componenti della sicurezza informatica. Ci sarà bisogno anche di esperti amministratori e analisti per configurare la tecnologia, mantenerla aggiornata e funzionale, ed entrare in azione quando vengono segnalate anomalie. Proofpoint ti offre la tecnologia per bloccare le minacce e al tempo stesso insegnare ai tuoi dipendenti come dare il proprio contributo nel mantenimento della sicurezza della tua infrastruttura aziendale.