Gli attacchi informatici rappresentano una minaccia sempre più grave per le aziende di ogni settore e dimensione. Le conseguenze di un attacco possono essere devastanti, causando la perdita di dati sensibili, la compromissione della reputazione aziendale e danni economici notevoli. Per questo motivo, è importante avere consapevolezza della natura degli attacchi informatici e delle fasi che compongono la cosiddetta "kill chain".

"E' importante comprendere la natura degli attacchi informatici e la loro evoluzione nel tempo, per adottare misure di sicurezza efficaci e proteggere le informazioni sensibili dell'azienda."

Eugene Kaspersky, CEO di Kaspersky Lab.

Cos'è la Kill Chain

La Cyber Kill Chain è un modello che descrive le fasi attraverso cui un attaccante deve passare per avere successo nel suo intento. Questo modello è stato sviluppato per consentire alle aziende di comprendere meglio la natura degli attacchi informatici e di adottare misure preventive e di mitigazione adeguate.

Le fasi della Kill Chain

La kill chain è composta da varie fasi, che descrivono le operazioni eseguite dall'attaccante per infiltrarsi nei sistemi della vittima; ad ognuna di queste si applica una particolare azione difensiva:

1. Reconnaissance (Ricognizione): Durante la fase di "Reconnaissance" un attaccante cerca di raccogliere tutte le informazioni possibili sul target, utilizzando sia metodi manuali che strumenti automatizzati per individuare eventuali vulnerabilità che possano essere sfruttate. L'obiettivo è quello di identificare i sistemi di sicurezza utilizzati dalla vittima e capire come aggirarli. Per difendersi in questa fase, è importante monitorare costantemente la visibilità online dell'azienda e dei suoi dipendenti, verificare i log e utilizzare strumenti che possano rilevare eventuali attività sospette. In questo modo, è possibile individuare i tentativi di raccolta di informazioni da parte di un potenziale attaccante e adottare le necessarie misure di sicurezza.
   

2. Weaponization (Armamento): Durante la fase di "Weaponization", gli attaccanti utilizzano le informazioni raccolte per creare malware e trovare tecniche per sfruttare le vulnerabilità individuate. Poiché quasi tutte le azioni dell'attaccante vengono effettuate su sistemi esterni, bloccarle durante questa fase è estremamente difficile. Per proteggersi, è importante identificare le vulnerabilità e i punti di forza dei dispositivi e dei sistemi e prepararsi per un eventuale attacco. La conoscenza delle vulnerabilità consente infatti di individuare quali elementi della propria infrastruttura potrebbero servire come punto d'ingresso per un attaccante e dovrebbero quindi essere trattati con particolare attenzione. Le principali tecniche di difesa consistono nell'identificare ed aggiornare costantemente le informazioni sulle risorse protette, individuare le vulnerabilità presenti all'interno dell'organizzazione e migliorare la sicurezza delle risorse più importanti. Inoltre, è importante monitorare e analizzare le nuove vulnerabilità, installare gli aggiornamenti di sicurezza e utilizzare strumenti d'intelligence per riconoscere possibili attacchi futuri.
   

3. Delivery (Consegna): Durante la fase di "Delivery", gli attaccanti cercano di diffondere il malware creato nei sistemi della vittima e di sfruttare le debolezze precedentemente individuate. Uno dei vettori di attacco più utilizzati per diffondere malware è l'invio di link o allegati, tramite tecniche di phishing. L'obiettivo della difesa, in questo caso, è quello di rilevare e prevenire l'accesso ai contenuti malevoli. Le principali tecniche di difesa consistono nell'aumentare il livello di consapevolezza delle minacce attraverso la formazione dei dipendenti e dei collaboratori, nell'implementazione di misure di sicurezza efficaci, tra cui firewall, programmi anti-virus, sandbox e altre soluzioni di protezione degli endpoint. È inoltre importante utilizzare meccanismi anti-spam e monitorare il traffico di rete per identificare e bloccare attivamente le minacce in base all'origine e al contenuto dei pacchetti.
   

4. Exploitation (Sfruttamento): La fase di "Exploitation" consiste nello sfruttamento delle vulnerabilità identificate in un sistema per eseguire la prima porzione del codice malevolo fornito dall'attaccante. L'obiettivo della difesa è quello di impedire l'esecuzione di software dannosi. Le principali tecniche di difesa consistono nell'utilizzo di software SIEM (Security Information and Event Management) per investigare sui log e svolgere analisi al fine di identificare attività sospette, nell'uso di strumenti di protezione degli endpoint come EDR (Endpoint Detection & Response), nella formazione degli utenti per riconoscere il pericolo e agire di conseguenza, nell'utilizzo di soluzioni di intelligence sulle minacce, fornendo basi di conoscenza sui dispositivi che proteggono contro virus, IPS o IDS.
   

5. Installation (Installazione): La fase di "Installation" prevede l'installazione di malware su un sistema al fine di rendere persistente l'accesso remoto all'ambiente ottenuto durante l'exploitation, ad esempio tramite l'uso di Backdoor. L'obiettivo della difesa è quello di rilevare l'attaccante per impedirgli di acquisire accesso alle operazioni di gestione. Le principali tecniche di difesa includono l'utilizzo di un sistema HIPS (Host-based Intrusion Prevention System) per avvisare o bloccare un tentativo di installazione sui percorsi comuni, ispezioni periodiche delle modifiche apportate alla configurazione del sistema rispetto alla configurazione standard (baseline), verifica dei certificati di tutti i file eseguibili firmati, separazione e segregazione dei diritti per impedire l'installazione, l'utilizzo di autenticazione a due fattori.
   

6. Command and control (C&C) La fase di "Command and Control" prevede l'utilizzo di una console di management connessa al computer della vittima sfruttando il malware precedentemente installato per eseguire comandi da remoto, per estrapoloare dati e proseguire l'intrusione. L'obiettivo della difesa è quello di rilevare e interrompere la comunicazione tra il target e l'attaccante. Le principali tecniche di difesa includono l'uso di server proxy interni per tutti i tipi di traffico (compresi http, DNS), l'utilizzo di DNS sinkhole (server DNS che restituiscono nomi di dominio non validi) e cache poisoning, il monitoraggio passivo del traffico di rete e l'archiviazione dei metadati sulle conversazioni tra i componenti di rete, il monitoraggio della rete tramite NIDS (Network Intrusion Detection System) per rilevare attività insolite.
   

7. Action on objectives/Exfiltration (Azione sugli obiettivi/Esfiltrazione): Nella fase finale, l'attaccante cerca di raggiungere gli obiettivi dell'attacco, ad esempio: la divulgazione di dati (violazione della riservatezza dei dati), la modifica di dati (violazione dell'integrità dei dati) o la crittografia del sistema (violazione della disponibilità dei dati). L'obiettivo della difesa è quello di fermare le azioni dell'attaccante attraverso il monitoraggio dell'attività del database, la risposta immediata agli allarmi, la creazione di un piano di risposta agli incidenti di sicurezza, l'utilizzo di metodi di crittografia per la protezione dei dati (ad esempio, crittografia del supporto di memorizzazione, crittografia della posta elettronica), il backup sistematico su supporti offline.

La "Cyber Kill Chain Control Matrix"

La comprensione delle varie fasi dell'attacco informatico (la cosiddetta Kill Chain), delle contromisure difensive e delle soluzioni disponibili per contrastare gli aggressori, consente di creare una matrice di controllo della Cyber Kill Chain. L'obiettivo di questa matrice è identificare i meccanismi di protezione che un'organizzazione ha implementato rispetto ad ogni fase elencata, al fine di determinare come possano contribuire ad interrompere, fermare o eliminare un attacco informatico.

Nella matrice, sono presenti 6 voci sull'asse orizzontale, corrispondenti alle cosidette linee di azione (“courses of action”). Esse categorizzano i metodi di contrasto alle varie fasi della kill chain:

1. Detect (individuare): adottare strumenti che permettono di individuare l’attaccante;

2. Deny (negare): impedire che un evento avverso avvenga nuovamente;

3. Disrupt (interruzione): interrompere il traffico instaurato dall’aggressore;

4. Degrade (declassare): rallentare le azioni dell’attaccante, ridurne i privilegi e/o gli effetti;

5. Deceive (ingannare): depistare l'attacco offrendo all'attacante informazioni ad hoc facilmente attaccabili per distoglierlo dal reale obiettivo;

6. Destroy (distruggere): passare al contrattacco.

Ecco un esempio di "Cyber Kill Chain control matrix":

La matrice può essere utilizzata come uno schema per individuare le risorse necessarie e assegnare loro specifici ruoli nella protezione dei sistemi, semplificando l'identificazione delle fasi in cui le nostre risorse possono fornire una protezione efficace contro gli attacchi informatici. Questo modello può essere utile per identificare quali risorse sono necessarie per proteggersi da un attacco.

Fonti e link di approfondimento:

1. https://seqred.pl/en/cyber-kill-chain-what-is-it-and-how-to-use-it-to-stop-advanced-methods-of-attack/

2. https://www.cybersecurity360.it/soluzioni-aziendali/cyber-kill-chain-ecco-come-identificare-un-attacco-informatico-e-adottare-le-giuste-contromisure/