Cyber Kill Chain, le sue fasi e come può aiutare le aziende a proteggersi dagli attacchi informatici
Che ai giorni d’oggi i casi di cyberattacchi sono aumentanti in modo esponenziale te l’abbiamo detto molte volte. Non ne sono vittime solo i governi o le istituzioni, ma anche le aziende, da quelle più grandi a quelle più piccole. Per questo vogliamo anche parlarti della Cyber Kill Chain. Uno strumento utile per dare la possibilità anche al personale meno tecnico di individuare le misure necessarie per contrastare un attacco informatico.
Perché lo facciamo?
Per dimostrarti che esistono modi efficaci di formare il tuo personale. Perché, proprio come in un aereo, il pilota automatico non ci protegge mai al 100% dell’errore umano. Lo stesso vale per le aziende. Per quanto tu possa proteggere la tua rete, se i tuoi dipendenti e collaboratori non conoscono le basi della sicurezza informatica, spalancano le porte ad attacchi che sono sempre più frequenti.
Ma vediamo di cosa si tratta.
Anche se sembra il nome di un film di Hollywood, in realtà la Cyber Kill Chain è un concetto preso in prestito dal mondo militare (Kill Chain), e si basa sulla conoscenza di tutte le azioni che dovrà compiere il nemico per portare avanti il suo attacco. Nel mondo dell’informatica questa strategia ci aiuta a capire le azioni che gli hacker potrebbero intraprendere e, di conseguenza, a individuare i primi segnali di un attacco e gli strumenti necessari per difenderci.
Vediamo adesso le fasi che compongono questo sistema.
1. Perlustrazione
In questa fase, l’attaccante cerca principalmente su Internet tutte le informazioni che gli permettano di identificare le debolezze del suo bersaglio. Attraverso siti, social network, fonti private. In questo modo, per esempio, identifica un lavoratore dell’azienda la cui attività online riflette poca dimestichezza con l’uso del computer. Sarà lui la persona a cui inviare la mail di phishing o, comunque, lo strumento usato per l’azione di attacco.
2. Armamento
Adesso si crea il malware con il quale portare avanti l’attacco. Di solito si tratta di software per l’accesso remoto o per sfruttare le vulnerabilità del sistema.
3. Consegna
È arrivato il momento d’inviare questo software malevolo all’impiegato sbadato di prima. Che, di solito, riceve una mail con un allegato o un link fasulli, sui quali clicca ma non succede nulla (apparentemente).
4. Sfruttamento
Anche se all’apparenza non è successo nulla, il software malevolo si è installato nel PC del nostro dipendente, sta aprendo documenti, sfruttando vulnerabilità e lo fa anche in un modo silenzioso, per cui spesso è difficile accorgersi che sta accadendo qualcosa.
5. Installazione
Adesso è il momento di persistere nell’attacco, quindi s’installano nel PC del nostro dipendente dei software di persistenza (Malware Trojan, principalmente) per aprire delle porte nella rete. Questa è una fase critica in cui vengono modificati caratteristiche del sistema, chiavi di registro, ecc. Di conseguenza, il ripristino del sistema in casi di questo tipo non sempre è scontato.
6. Comando e controllo
L’attaccante stabilisce una solida rete di comando e controllo che gli permette di fare delle azioni e ricevere dei feedback.
7. Azioni sugli obiettivi
È qui che avviene l’attacco vero e proprio al sistema. Può trattarsi di un furto di dati, oppure di rendere completamente indisponibili i dati aziendali (criptandoli) per poi chiedere un riscatto, o addirittura può essere solo la creazione di un ponte per arrivare ai dati più importanti in possesso di altri utenti.
Adesso che conosciamo le fasi di attacco, vediamo le misure da adottare per contrastarle.
1. Individuare
Utilizzare dei dispositivi che ti permettano d’individuare il tentativo d’attacco. Per esempio un software di EDR e di monitoraggio.
2. Negare
Evitare che l’attacco abbia luogo. Per esempio, protezione perimetrale e formazione del personale.
3. Interrompere
Bloccare o modificare il traffico in uscita da parte dell’hacker. Ovviamente bloccare il traffico in uscita è veramente difficile, quindi servono software che facciano controlli euristici sui file e sulle operazioni che avvengono in un sistema informatico, come modifiche di chiavi di registro, più una gestione dell’infrastruttura tramite un dominio.
4. Declassare
Ridurre gli effetti dell’attacco, rallentare le azioni dell’attaccante.
5. Ingannare
Far credere che l’attacco è andato a buon fine.
6. Distruggere
E qui arriva il momento del contrattacco.
Ovviamente i modi in cui si risponde alle 6 fasi dipendono dal tipo di azienda e dalle sue esigenze. In questi casi si può passare dal blocco dell’attacco (per esempio, con meccanismi come la Sandbox) alla denuncia alle autorità competenti, se si vuole fare un’azione contro l’attaccante. Ma, prima di tutto, e qualunque siano i bisogni della tua azienda, potresti formare il personale attraverso il nostro Corso sulla Cybersecurity. Questo corso ti permetterà di contare su persone informate e capaci di fermare o mitigare un attacco laddove i sistemi di sicurezza informatica vengano bypassati. Insomma, potrai diminuire molto l’errore umano!
Non aspettare l’arrivo di un attacco informatico per correre ai ripari. Forma tutto il personale della tua azienda. È il miglior consiglio che possiamo darti, perché ti farà risparmiare tempo e denaro!