La velocità con cui le minacce più avanzate oggi colpiscono i loro obiettivi può essere devastante; bastano pochi minuti, il tempo necessario a un analista della sicurezza per allontanarsi e prendere un caffè, che un ransomware si può abbattere su migliaia di computer prima che una persona o gli strumenti tradizionali abbiano la possibilità di rispondere. Mentre queste minacce “grandi e veloci” conquistano le prime pagine dei giornali, sul fronte opposto vi sono gli attacchi lenti e costanti che possono essere altrettanto pericolosi.
L’ultima escalation della corsa agli armamenti da parte dei cyber criminali li vede prediligere sempre più questa via, più furtività e metodica che veloce e caotica.
Le aziende si sono adoperate per implementare nuove tecnologie di sicurezza e rilevamento, ma allo stesso modo gli autori di malware hanno scelto di impegnarsi a trovare modi nuovi per eluderle. E proprio in questo contesto nascono i nuovi attacchi “low & slow”, che sono in grado di aggirare gli strumenti di sicurezza tradizionali perché ogni singola azione, di per sé è troppo piccola per essere rilevata, va a confluire nella minaccia più grande.
Questi attacchi sono progettati per funzionare per un periodo di tempo più lungo e, minimizzando l’impatto sui trasferimenti dei dati o sui livelli di connettività, si mascherano all’interno del normale traffico.
Per gli attaccanti preparati e dotati di risorse adeguate, come gli Stati nazionali in cerca di proprietà intellettuali o documenti politici sensibili, un’esposizione sottile e prolungata dei sistemi che stanno colpendo rappresenta un vantaggio significativo. Quando si tratta di minacce più sofisticate, infatti, la via della lentezza e della costanza può dimostrarsi la strada vincente.
Rilevare gli attacchi “low and slow” è possibile solo con tecniche avanzate di apprendimento automatico. Per fare questo è fondamentale conoscere il contesto definendo in modo preciso e unico i “modelli comportamentali’ di ogni utente, dispositivo e rete in modo congiunto.
Per capire come l’IA è in grado di individuare le attività di ricognizione, sottrazione di dati e di command-and-control che sfruttano le tecniche “low and slow” abbiamo esaminato tre casi reali incontrati da Darktrace in alcune delle oltre 7.000 implementazioni dell’Enterprise Immune System.
Ricognizione Low and Slow
Nella rete di una società europea di servizi finanziari, Darktrace ha scoperto un server che eseguiva scansioni delle porte di vari computer interni. Questo tipo di scansione di rete viene eseguita regolarmente per scopi di test legittimi da parte di dispositivi di amministrazione, ma è anche una tattica sfruttata dagli hacker per identificare vulnerabilità e punti che possono essere compromessi come fase iniziale di un attacco.
In un periodo continuativo di sette giorni, il server ha eseguito circa 214.000 connessioni non riuscite verso 276 diversi dispositivi, ma prendendo di mira solo un numero limitato di porte al giorno. L’attacco è stato sequenziale, ma lento nel tempo. Misurato su base giornaliera, infatti, il livello di disturbo era abbastanza basso da eludere tutte le difese basate su regole.
Apprendendo in modo autonomo, a partire da una visione dell’intero business digitale nel tempo, l’IA può rilevare anche la minima deviazione dal comportamento “normale” del singolo dispositivo, utente o rete; per questo Darktrace ha riconosciuto il modello di scansione di rete più lungo e ha avvisato immediatamente il cliente.
Sottrazione dei dati Low and Slow
Il secondo caso riguarda un’azienda manufatturiera dove abbiamo scoperto un desktop che stava effettuando oltre 2.000 connessioni a un host raro in un periodo di 7 giorni. Durante questo periodo sono stati trasferiti esternamente oltre 9,15 GB di dati ma ogni connessione singola ha trasmesso solo pochi MB – una quantità che, se considerata isolatamente, non avrebbe destato alcuna preoccupazione. Era, in particolare, la destinazione di queste connessioni a essere del tutto rara per la rete e manteneva tale caratteristica durante tutto il periodo di trasferimento. Ciò non solo ha permesso di contrassegnare l’attività come inizialmente sospetta, ma ha anche impedito che venisse assorbita nel traffico autorizzato.
In combinazione con il volume accumulato di dati in uscita dalla rete, l’IA di Darktrace l’ha identificata come deviazione significativa nel comportamento del dispositivo, indicando un attacco in corso.
Attacchi Command and Control Low and Slow
Identificare i malware prima che compaiano sulle liste delle minacce note rappresenta un’abilità cruciale per contrastare minacce gravi e mai viste prima. Darktrace effettua tutto questo individuando i “beaconing pattern” e non facendo affidamento semplicemente alle firme. Il beaconing si verifica quando un programma dannoso tenta di stabilire un contatto con la sua infrastruttura online e, in modo simile a una scansione di rete, crea un incremento delle connessioni in uscita.
In una rete aziendale, Darktrace ha individuato un dispositivo che effettuava connessioni a intervalli regolari a un’estensione browser dannosa. Il tasso medio di connessione era di 11 connessioni ogni 4 ore; anche in questo caso, un livello basso di attività che poteva facilmente confondersi con un traffico internet normale.
Avendo identificato la regolarità di queste connessioni, l’intelligenza artificiale di Darktrace ha assegnato un punteggio di beaconing elevato, che indicava che molto probabilmente erano state avviate in modo automatico. Se includiamo il fatto che la destinazione era rara, diventa ancora più evidente che la causa era un programma malevolo in background, in esecuzione all’insaputa dell’utente.
I casi che ho illustrato dimostrano come gli aggressori stiano sviluppando metodi sempre più sofisticati per agire senza essere scoperti e come i tradizionali strumenti di sicurezza che funzionano in modalità binaria, basandosi su dati storici non siano in grado di tenere il passo.
La nuova era della cyber defence vedrà l’intelligenza artificiale rilevarsi fondamentale per la sua capacità di apprendere un “modello di vita” in continua evoluzione, scoprire gli attacchi in corso e rispondere autonomamente, neutralizzandoli prima che si trasformino in qualcosa di molto più grave.
Gli attacchi di alto profilo e in rapida evoluzione come NotPetya e WannaCry hanno incoraggiato alcune organizzazioni a concentrarsi sulla prevenzione di determinati tipi di minacce, a spese degli altre, ma il mio consiglio per il futuro è quello di non trascurare le insidie “low and slow” e sfruttare la potenza dell’intelligenza artificiale per prevenire non solo gli attacchi più rapidi, ma anche i più lenti e furtivi.