Immagina una stanza piena di cubicoli, con i dipendenti chini sulle loro postazioni. In sottofondo, il rumore costante delle tastiere.
La telecamera si avvicina al volto stanco di Paolo, che fatica a stare dietro alle scadenze.
Stacco sul suo monitor: sta aprendo una mail di un cliente. C’è chiaramente qualcosa che non va in quel messaggio, ma lui non lo nota.
Clicca su un link. Una finestra nera con testo bianco appare per un istante, poi lo schermo diventa rosso. Tutto si blocca.
Mentre vediamo l’espressione confusa di Paolo, gli occhi rossi per il riflesso dello schermo, la telecamera si solleva e arretra: uno dopo l’altro, anche gli altri monitor diventano rossi. Il malware ha colpito.
Anche questa è un’altra drammatizzazione che Hollywood ci ha fatto credere.
La realtà
Senza entrare troppo nei numerosi errori tecnici di questa rappresentazione, c’è un elemento che stona più di tutti: il tempo.
Paolo apre un allegato, un foglio di calcolo di MS Office. Dal suo punto di vista non succede nulla di strano.
In realtà, in background viene eseguito un frammento di Visual Basic che si collega a un server remoto ospitato in un data center AWS.
Il codice elude l’antivirus offuscando il payload e, poiché la connessione è in uscita, attraversa indisturbata il firewall. Sembra complesso, non lo è.
A questo punto la postazione di Paolo è una testa di ponte: l’intruso ha un punto d’accesso alla rete dell’organizzazione e nessuno se ne accorge.
Nel corso del mese successivo, l’attaccante si muoverà silenziosamente all’interno della rete, lateralmente, aumentando lentamente ma costantemente i propri privilegi, mentre esfiltra documenti sensibili e segreti trovati lungo il percorso.
Solo quando avrà ottenuto privilegi sufficienti per impersonare l’amministratore finalizzerà l’attacco. Solo allora la rete sarà completamente compromessa, tutti i file cifrati e i backup eliminati.
È così che operano gli attaccanti che dobbiamo davvero temere.
Un malware, da solo, non può automatizzare l’intero processo, nemmeno in minima parte. Nel peggiore dei casi può colpire la singola workstation e tutte le cartelle condivise a cui ha accesso. È grave, ma non ingestibile.
A essere onesti, esistono malware in grado di propagarsi autonomamente, ma devono sfruttare vulnerabilità non corrette che colpiscono l’intera infrastruttura. Quando succede, è uno scenario da incubo che impatta l’intero Internet.
La killchain
Un attacco informatico è un processo, non un evento esplosivo che si consuma in pochi secondi.
Noi vediamo e immaginiamo solo la fase finale. Peggio ancora, ci prepariamo quasi esclusivamente per quella fase.
L’errore di Paolo e il fatto che il malware riesca ad aggirare l’antivirus sono eventi imprevedibili, per i quali bisogna essere pronti. Prevenire un attacco resta il pilastro della sicurezza, ma non deve essere l’unica linea di difesa.
Una strategia di sicurezza efficace deve tenere conto dell’intero processo e disseminare ostacoli lungo tutto il percorso, non solo al perimetro.