I professionisti della sicurezza informatica devono essere consapevoli dei diversi tipi di gruppi protagonisti di minacce, o gruppi di aggressori informatici. Si tratta di gruppi diversi e si differenziano sostanzialmente per motivazione, risorse e tecniche. Esaminiamo e confrontiamo i cinque principali tipi di gruppi di aggressori informatici.
Gruppo 1: Script kiddie
Il primo gruppo è il meno avanzato, lo script kiddie. Il termine "script kiddie" si riferisce a qualcuno che usa programmi, spesso strumenti di hacking di base, senza capire veramente cosa sta succedendo dietro le quinte. Possono mostrare una comprensione di base del networking e della programmazione, ma mancano di competenze tecniche, pazienza o intenti strategici.
In pratica, questa fascia demografica è per lo più composta da adolescenti o giovani, che si sono formati su forum, video e attraverso sperimentazione.
Per molti, le motivazioni principali sono rappresentate dalla reputazione, dallo status agli occhi della comunità degli hacker, dall'intrattenimento o dalla risoluzione dei rancori.
Dal punto di vista delle risorse, gli script kiddie si affidano a tool di test di penetrazione standard e di exploit pubblicamente disponibili.
Nella maggior parte dei casi, non sono finanziati in modo insufficiente. Dimostrano poca conoscenza dell'attività oltre a quella dei proxy di base o degli account usa e getta.
Da un punto di vista difensivo, le organizzazioni devono garantire che il loro programma di patch sia efficace. Se dovesse venire sviluppato un exploit semplice, è molto probabile che a un certo punto verrà distribuito. Le difese devono essere tali da convincere gli aggressori che un altro obiettivo possa essere più semplice da violare, il che dovrebbe rappresentare un deterrente sufficiente.
Gruppo 2: Hacktivist
Il secondo gruppo è quello degli hacktivist. Hacktivist è una crasi tra le parole "hacker" e "attivista". Gli Hacktivist puntano ad un cambiamento politico o economico e utilizzeranno l'hacking per ottenerlo.
L'attributo chiave che definisce e unisce gli hacktivist sono le ragioni ideologiche.
Il gruppo di persone che compongono i gruppi di hacktivist varia notevolmente. Alla stregua del gruppo script kiddie, sono pieni di dilettanti, ma quando le cause si concentrano su un problema di grande attualità, vengono raggiunti da membri più esperti all'interno della comunità della sicurezza.
Le motivazioni dei gruppi hacktivist sono definite dai loro obiettivi, che variano enormemente. In genere, si tratta di supportare una causa in cui i singoli credono. Come ad esempio il conflitto in Medio Oriente, le attività politiche e così via.
L'esempio più famoso di questo gruppo sarebbe il collettivo di hacker chiamato Anonymous. Anonymous è un gruppo di attivisti informatici internazionali decentralizzato noto per gli attacchi informatici contro diversi governi, istituzioni governative, enti governativi e società.
Gli Hacktivists utilizzano una gamma di strumenti di base che possono essere molto efficaci se eseguiti su larga scala. I programmi Denial of Service (attacco DoS) ne sono un importante esempio.
Mentre un singolo script kiddie rappresenta una piccola minaccia, diverse centinaia di attacchi paralleli possono essere molto più difficili da affrontare.
Come organizzazione, essere astuti è molto importante. Se un'organizzazione opera in un'area sensibile (ad esempio, test sugli animali, cause politiche), è possibile che subisca un attacco prolungato da parte di attivisti informatici. Avere buone difese non sarà sufficiente per scoraggiare tutti gli attacchi, quindi le organizzazioni dovrebbero pianificare metodi per far fronte a un attacco prolungato.
Gruppo 3: Criminal gang
Finché ci sarà la possibilità di fare soldi facilmente, i criminali saranno sempre un problema per la società. La creazione di Internet ha dato la possibilità ai criminali di depredare le vittime in modo diffuso e con una portata e una facilità senza precedenti. Piuttosto che correre rischi di persona, gli aspiranti criminali possono inviare milioni di e-mail infette da mezzo mondo e ottenere un riscatto da una vittima prima di trasferire fondi in criptovalute per eludere i metodi convenzionali di polizia. Catturare questi criminali è estremamente gravoso e, a causa delle leggi internazionali, assicurare un'azione penale è quasi impossibile. Purtroppo, la maggior parte dei criminali è a conoscenza di ciò.
Questo è il gruppo in più rapida crescita e di conseguenza è il più ampio.
All'interno del gruppo, ci sono una serie di attività. Le bande criminali potrebbero eseguire attacchi ransomware (in cui minacciano una vittima costringendola a pagare per tornare ad avere accesso alle proprie risorse), commettere estorsioni (in cui minacciano un grande attacco alle riserve di denaro), commettere furti convenzionali di dati o della proprietà intellettuale dei clienti, e così via.
Essere un criminale informatico è un proposito a tempo pieno e potenzialmente piuttosto redditizio. Le bande criminali possono variare da pochi individui fino a multinazionali con centinaia di membri. All'interno di ogni banda criminale, ci sono spesso specialisti che possono scambiare informazioni sul dark web. Di conseguenza, le bande criminali sono piuttosto avanzate e ben organizzate.
Dal punto di vista delle risorse, le bande criminali sviluppano e distribuiscono spesso da sole i propri malware. In alcuni casi affittano l'accesso ad altri malware che potrebbero essere meno sviluppati tecnicamente. Come per tutte le vendite di software, pubblicizzano, riportano recensioni e prevedono persino il supporto tecnico. Le bande criminali hanno accesso a notevoli quantità di infrastrutture, quali server e domini.
Per proteggersi da una banda criminale, è necessario implementare difese efficaci per gli asset critici. Se scoprire un ransomware sul laptop di un dipendente può rappresentare un inconveniente per l'azienda, scoprire un ransomware su un server di produzione potrebbe risultare devastante.
Dal punto di vista finanziario, i criminali adotteranno sempre lo schema più rapido e semplice per arricchirsi.
Group 4: Nation state hacker o advanced persistent threat (APT)
Il gruppo successivo, quello che riceve la maggior attenzione da parte dei media, forse indebitamente, è quello dei Nation state attackers. Molte organizzazioni militari in tutto il mondo ora considerano il cyberspazio una quinta sfera di conflitto insieme al mare, la terra, l'aria e lo spazio. Molte nazioni hanno dimostrato la capacità di proiettare il proprio potere oltre i confini nazionali con una grande e crescente varietà di conseguenze.
Il ruolo degli Nation state hacker è quello di fornire un vantaggio strategico al proprio paese. Questo può variare dalla ricognizione e raccolta di informazioni (ad esempio, spionaggio tradizionale/intelligence dei segnali) fino al sovvertimento e manipolazione delle informazioni.
I membri di queste organizzazioni sono ben istruiti o formati e hanno diverse provenienze. Lavorano a tempo pieno e in genere sono all'avanguardia nei rispettivi campi.
Le loro motivazioni sono tipicamente strettamente allineate con obiettivi strategici e politici. Un recente esempio di ciò sono state le attività russe relative alle elezioni presidenziali statunitensi del 2016. L'obiettivo era quello di interferire nelle elezioni, nonché di aumentare la discordia politica e sociale.
Dal punto di vista delle risorse, i Nation state hacker hanno accesso a ricerche avanzate, team di infrastrutture dedicate e un enorme sostegno politico.
La protezione da determinati Nation state hacker è estremamente impegnativa per le organizzazioni. Farlo in modo efficace richiede difese di sicurezza pienamente capaci e coordinate.
Gruppo 5: Malicious insider
L'ultimo gruppo che è probabilmente il più preoccupante è quello malicious insider. Per insider si intende un componente all'interno di organizzazione che agisce intenzionalmente o comunque contro di essa.
I Malicious insiders possono partire con una mentalità negativa all'interno di un'organizzazione o sviluppare risentimento dopo un periodo di tempo.
Le motivazioni variano notevolmente e possono coprire praticamente qualsiasi ambito, le due più comini sono gli interessi finanziari e il rancore. In altri casi le motivazioni possono essere rappresentate da notorietà e fama.
Un esempio comune di insider è un dipendente che viene ricattato per consentire a qualcuno di accedere agli account aziendali. Un altro esempio comune è un impiegato scontento che ruba segreti aziendali prima di essere licenziato. Forse l'insider più famoso di tutti i tempi è stato Edward Snowden, che ha rubato una grande quantità di file della National Security Agency (NSA) dagli Stati Uniti prima di consegnarli a WikiLeaks.
Gli insider di solito non si affidano alle competenze tecniche per eseguire i loro attacchi. È possibile che alcuni possano utilizzare la navigazione o l'ingegneria sociale per ottenere l'accesso da altri, ma in genere utilizzano il proprio accesso e le proprie autorizzazioni aziendali.
La difesa contro gli insider si ottiene al meglio controllando i dipendenti, con una gestione efficace e quindi i controlli tecnici. Il ricorso a controlli tecnici è spesso visto per molte aziende come una scorciatoia e spesso ha esito negativo perché, dopo tutto, si sta cercando di fermare degli utenti che hanno molta familiarità con il sistema. In molti casi, ci sono molti segnali di avvertimento prima che qualcuno lanci un attacco interno. Ad esempio, è possibile che questi lavori da solo, esprimendo risentimento, poca qualità nel lavoro o che svolga attività inspiegabili. Cogliere questi segnali è molto importante.
Le descrizioni dei tipi di aggressori informatici non sono sempre precise. Nel corso delle azioni, gli hacktivist potrebbero reclutare script kiddie e i Nation state hacker potrebbero reclutare bande criminali. Inoltre, alcuni aggressori informatici mentiranno sulle proprie capacità per sembrare meno preparati di quello che sono. Ciò potrebbe rendere difficile attribuire le minacce al gruppo corretto.
Nessun commento:
Posta un commento