Quando si parla di monitoraggio del dark web si deve partire da una considerazione: siamo tutti (o quasi) VIP e non lo sappiamo. Le nostre interazioni e i dati di valore in nostro possesso – credenziali, informazioni riservate, know-how e contatti di utenti con particolari privilegi – possono finire negli strati più profondi di Internet: là dove la compravendita di dataset da utilizzare per sferrare cyber-attacchi è all’ordine del giorno.
Monitoraggio dark web, chi sono davvero i VIP aziendali
«L’espressione VIP viene fraintesa quando si parla di cybersecurity, attribuendole i caratteri tipici della narrazione dei mass media. Ma un VIP, anche in azienda, non è necessariamente una figura apicale. Può essere anche chi, per esempio, ha autorizzazioni particolari sui gestionali, oppure chi, nel dipartimento di produzione, si occupa di progettazione, o di lancio di prodotti e servizi. Sono queste, oggi, le persone tipicamente targettizzate da chi vuole bucare le difese dell’organizzazione: si sottraggono loro i dati d’accesso e li si vendono sul dark web al miglior offerente, che ha la possibilità di usarli per intrufolarsi nel network. Una volta creato un profilo falso, che simula per l’appunto l’accesso di un utente VIP, gli intrusi possono sfruttare la sua presunta presenza sui sistemi aziendali per esfiltrare informazioni o per provocare tramite ransomware rallentamenti operativi». A parlare è Bruno Trani, Business Development Manager di Cyberoo, società specializzata nella fornitura di soluzioni e servizi MDR (Managed Detection & Response) e Threat Intelligence.
Who's Who
Bruno Trani
Business Development Manager di Cyberoo
Trani tiene però a fare subito una precisazione: «Dark web non è automaticamente sinonimo di illegalità. Ospita anche servizi legittimi, ed è un luogo dove le persone possono esprimere liberamente le loro opinioni, ma all’interno di questo mondo ci sono anche spazi dove si contrabbandano software piratati, documenti governativi riservati e informazioni personali sensibili, che aumentano l’esposizione al rischio degli utenti VIP, che diventano potenziali vittime o cavalli di Troia per sferrare attacchi targettizzati alle organizzazioni a cui appartengono».
Ottenere le informazioni che contano è più semplice di quanto si pensi. Tutti noi, tanto per cominciare, ormai utilizziamo il client di posta elettronica come un vero e proprio repository, per non parlare della quantità di input che pubblichiamo quotidianamente sui social media. Dunque, spesso non occorre più accedere a file server protetti per ottenere grandi volumi di dati: è sufficiente violare un account e-mail o sfruttare tecniche di social engineering per ricavare indizi preziosi con cui identificare o ricostruire le chiavi d’accesso.
Cosa si rischia sul web se non c’è un corretto monitoraggio del dark web
«Il più delle volte non si tratta di iniziative predatorie, con effetto immediato e diretto», chiarisce Trani. «In molti casi i dati ottenuti sono ceduti a terzi, che possono condividerli con ulteriori parti, dando vita a trame estremamente complesse. All’interno del web oscuro non si trovano solo informazioni riservate trafugate e messe a disposizione di organizzazioni criminali, ma anche file che possono diventare prove di violazioni dei sistemi informatici aziendali con richieste di riscatto».
Insomma, tutte situazioni da cui possono discendere grossi danni reputazionali, che dall’individuo si trasferiscono all’azienda, moltiplicandosi e crescendo di gravità. Al di là delle sanzioni che un’impresa può essere costretta a pagare per mancata conformità alle disposizioni sulla data protection, non bisogna sottovalutare catene di eventi meno dirette e più difficilmente quantificabili. «Un esempio? La perdita di vantaggio competitivo sul time to market di un nuovo prodotto nel caso in cui un concorrente riesca a esfiltrare informazioni strategiche e arrivi in anticipo sul mercato. Parliamo di eventi potenzialmente in grado di minare l’esistenza stessa di un’impresa medio-piccola», commenta Trani. «Ecco perché noi di Cyberoo insistiamo tanto non solo sul concetto di monitoraggio del dark web, ma soprattutto di tutte le zone d’ombra che in azienda possono trasformarsi in porte d’accesso per visitatori indesiderati».
Occorre costruire un punto di osservazione esterno all’organizzazione, realizzando sistemi di rilevazione e notifica collegati alla superficie d’attacco che gli avversari vanno a studiare: servizi, porte, tutte le componenti condivise con il pubblico, ma anche lo shadow IT, ovvero gli apparati informatici e digitali presenti fuori e dentro l’azienda della cui esistenza l’IT management non è consapevole e che rischiano di indebolire la coerenza delle strutture di difesa.
Il ruolo della threat intelligence e dell’ethical hacking
«Attraverso un’analisi interna siamo in grado di creare una rappresentazione della potenziale superficie attacco, evidenziando i punti di ingresso e uscita. Sfruttando la threat intelligence, invece, valutiamo non solo l’esposizione al rischio dell’azienda, ma anche delle terze parti coinvolte nella supply chain», spiega Trani, riferendosi soprattutto ai casi di co-gestione di apparati portati in dote da provider e partner senza informare adeguatamente l’azienda.
La threat intelligence è fondamentale anche per esplorare il fronte esterno, e qui si torna ai meandri del dark web, alla ricerca non solo di informazioni personali relative a utenti VIP, ma anche di discussioni che li riguardano e delle ragioni di questo interesse. «Le analisi delle evidenze tramite threat intelligence dipendono in effetti dalla motivazione per cui vengono raccolti e scambiati i dati», aggiunge Trani, “e nell’ottica di prevenire potenziali iniziative malevoli è indispensabile ricorrere a pratiche di ethical hacking».
È infatti l’unione di queste due tecniche che consente di unire al monitoraggio degli eventi di sicurezza del dark web anche un’analisi comportamentale approfondita per discriminare, all’interno dei workflow, cosa è legittimo da non cosa non lo è. «Grazie a modelli di Artificial Intelligence che arricchiscono gli insight sulle informazioni presenti sul dark web, per esempio collegandole a eventi specifici registrati dai log aziendali, riusciamo a definire modelli comportamentali che evidenziano probabili violazioni. Possiamo così reagire tempestivamente, bloccando l’utenza, terminando la connessione o addirittura sfruttando in modo predittivo la conoscenza di informazioni già esfiltrate, messe online ma non ancora acquisite da criminali o concorrenti sleali. L’obiettivo finale», chiosa Trani, «è adattare le difese agli scenari di rischio e attivare gli strumenti necessari per rispondere anche ad attacchi che vanno a buon fine, mitigandone l’impatto per garantire la continuità operativa del business».
