Nel sempre mutevole panorama della cybersecurity, la comprensione delle minacce informatiche è diventata fondamentale per le organizzazioni di ogni settore. Tra gli strumenti concettuali più utili, emerge la “Piramid of Pain“, una struttura gerarchica che categorizza le minacce informatiche in base alla loro criticità e complessità. La “Piramid of Pain” si articola su diversi livelli, partendo dalla base con elementi come hash values e IP addresses, per arrivare alle tattiche e alle procedure (TTPs) più sofisticate degli aggressori. Ogni livello rappresenta un gradino nella scala delle minacce, con implicazioni crescenti per la sicurezza delle informazioni e la stabilità delle reti digitali.
.
In questo blog post, esploreremo i vari livelli della cosidetta “Piramide del Dolore”, analizzando le minacce che rappresentano e le strategie per mitigarle. Dalla comprensione dei concetti di base come hash values e IP addresses, fino all’esame delle sofisticate TTPs, ci immergeremo nel mondo sempre più complesso della sicurezza informatica.
.
.
.
.
.
Hash Values
Nel vasto panorama della cybersecurity, gli hash values rappresentano uno dei mattoni fondamentali nella comprensione e nella gestione delle minacce informatiche. Gli hash values sono stringhe di caratteri generate da algoritmi crittografici che rappresentano in modo univoco i dati di origine. Questi valori sono ampiamente utilizzati per garantire l’integrità dei dati e verificare l’autenticità dei file. Un hash è una funzione crittografica che prende in input dati di lunghezza variabile e restituisce un valore di lunghezza fissa, chiamato appunto hash value o digest. Questo valore è univoco per un determinato input e qualsiasi modifica apportata all’input genera un hash value completamente diverso. Gli hash sono utilizzati per verificare l’integrità dei dati, autenticare i messaggi e garantire la sicurezza dei sistemi informatici.
Esistono diversi algoritmi per generare hash, ognuno con caratteristiche uniche in termini di velocità, sicurezza e lunghezza dell’output. Alcuni degli algoritmi hash più comuni includono:
•MD5 (Message Digest Algorithm 5): È uno degli algoritmi hash più vecchi e largamente utilizzati. Tuttavia, è stato deprecato a causa delle vulnerabilità scoperte nel corso degli anni, rendendolo non più sicuro per l’uso in contesti critici.
•SHA-1 (Secure Hash Algorithm 1): Anche SHA-1 è stato ampiamente utilizzato, ma è stato deprecato a causa delle sue vulnerabilità alla collisione, che hanno reso possibile generare due input diversi con lo stesso hash value.
•SHA-256, SHA-384, SHA-512: Questi algoritmi fanno parte della famiglia delle funzioni hash sicure (SHA) ed offrono livelli di sicurezza più elevati rispetto a MD5 e SHA-1. SHA-256, SHA-384 e SHA-512 generano hash values di lunghezza crescente.
•bcrypt, scrypt, Argon2: Questi sono algoritmi di hashing progettati specificamente per la crittografia delle password. Offrono caratteristiche aggiuntive come la lentezza configurabile e la necessità di grandi quantità di memoria, rendendo più difficile per gli aggressori condurre attacchi di tipo “Brute Force”.
Il National Institute of Standards and Technology (NIST) ha deprecato MD5 e SHA-1 a causa delle loro vulnerabilità alla collisione e ha raccomandato l’uso di algoritmi hash più sicuri come SHA-256 e SHA-3. Queste raccomandazioni sono state stabilite per garantire la sicurezza delle applicazioni e dei sistemi informatici.
.
Importanza degli Hash
•Integrità dei Dati: Gli hash sono utilizzati per verificare se i dati sono stati alterati. Anche la più piccola modifica ai dati produce un hash completamente diverso, consentendo il rilevamento di qualsiasi manipolazione.
•Autenticazione dei File: Gli hash vengono spesso utilizzati per verificare l’autenticità dei file. Confrontando l’hash del file scaricato con l’hash noto del file originale, è possibile determinare se il file è stato alterato o compromesso.
•Identificazione delle Minacce: Gli hash vengono impiegati per identificare file dannosi o sospetti. Le liste di hash noti di file malware vengono utilizzate dai software antivirus e dai sistemi di rilevamento delle minacce per identificare e bloccare le minacce informatiche.
Utilizzo degli Hash
•Verifica dell’Integrità dei File: Gli hash vengono utilizzati per verificare che i file scaricati o archiviati non siano stati alterati o danneggiati.
•Rilevamento delle Minacce: Le liste di hash conosciuti di file malware vengono utilizzate per identificare e bloccare le minacce informatiche prima che possano causare danni.
•Validazione delle Firme Digitali: Gli hash vengono impiegati per validare le firme digitali, garantendo l’autenticità e l’integrità dei documenti e dei messaggi firmati digitalmente.
.
Gli hash rappresentano un elemento cruciale nella cybersecurity, fornendo un modo efficace per garantire l’integrità e l’autenticità dei dati digitali. La loro corretta comprensione e utilizzo sono fondamentali per proteggere le risorse digitali da minacce e violazioni della sicurezza.
.
.
Figure 1
.
.
IP Addresses
Gli indirizzi IP (Internet Protocol) rappresentano un altro livello critico nella Piramide del Dolore della cybersecurity. Essi sono fondamentali per l’identificazione e la gestione delle minacce informatiche, consentendo il routing e la comunicazione tra i dispositivi su Internet.
Importanza degli Indirizzi IP
•Identificazione dei Dispositivi: Gli indirizzi IP consentono di identificare in modo univoco i dispositivi connessi a Internet. Ogni dispositivo connesso ha un indirizzo IP unico che lo distingue dagli altri.
•Tracciamento delle Attività di Rete: Gli indirizzi IP vengono utilizzati per tracciare le attività di rete, consentendo agli amministratori di rete di monitorare il traffico e identificare eventuali anomalie o comportamenti sospetti.
•Filtraggio del Traffico: Gli indirizzi IP vengono utilizzati per filtrare il traffico di rete, consentendo agli amministratori di rete di bloccare l’accesso a determinati siti web o limitare l’accesso a risorse specifiche.
Utilizzo degli Indirizzi IP nella Pratica
•Rilevamento delle Minacce: Gli indirizzi IP vengono utilizzati per identificare e bloccare l’accesso a siti web dannosi o noti per la distribuzione di malware.
•Analisi dei Log di Rete: Gli indirizzi IP vengono utilizzati per analizzare i log di rete al fine di identificare attività sospette o comportamenti anomali che potrebbero indicare un potenziale attacco informatico.
•Gestione degli Accessi: Gli indirizzi IP vengono utilizzati per gestire gli accessi alle risorse di rete, consentendo agli amministratori di rete di limitare l’accesso solo ai dispositivi autorizzati.
Gli indirizzi IP rappresentano un elemento cruciale nella gestione della sicurezza informatica, consentendo agli amministratori di rete di monitorare e proteggere le risorse digitali dagli attacchi informatici e dalle minacce alla sicurezza.
.
Nella sezione degli indirizzi IP, è importante menzionare la tecnica del “Fast Flux” poiché rappresenta una minaccia significativa nella cybersecurity, specialmente per quanto riguarda la gestione degli indirizzi IP e la protezione dalle minacce online.
Fast Flux è una tecnica DNS utilizzata dalle botnet per nascondere attività di phishing, proxy web, distribuzione di malware e comunicazioni di malware dietro host compromessi che fungono da proxy. Lo scopo dell’utilizzo della rete Fast Flux è quello di rendere difficile la scoperta della comunicazione tra il malware e il suo server di comando e controllo (C&C) da parte dei professionisti di security.
I domain names svolgono un ruolo cruciale nella struttura e nell’accessibilità di Internet. Allo stesso modo, rappresentano un elemento significativo nella Piramide del Dolore della cybersecurity, poiché vengono spesso sfruttati dagli aggressori per condurre attacchi informatici e distribuire malware. I nomi di dominio possono essere pensati come una semplice mappatura di un indirizzo IP su una stringa di testo. Un nome di dominio può contenere un dominio e un dominio di primo livello (technical365.eu) o un sottodominio seguito da un dominio e da un dominio di primo livello (fabrikam.technical365.eu). Ma non entreremo nei dettagli di come funziona il Domain Name System (DNS).
.
.
Importanza dei Domain Names
•Identificazione dei Siti Web: I nomi di dominio forniscono un’identità unica ai siti web e alle risorse online, consentendo agli utenti di accedervi tramite un semplice e memorabile indirizzo web.
•Utilizzo nei Processi di Phishing: Gli aggressori sfruttano nomi di dominio simili a quelli legittimi per ingannare gli utenti e condurre attacchi di phishing, inducendoli a rivelare informazioni sensibili come password e dati finanziari.
•Infrastruttura di Command and Control (C&C): I criminali informatici utilizzano nomi di dominio per ospitare l’infrastruttura di comando e controllo (C&C) di malware e botnet, consentendo loro di controllare e coordinare le attività dannose.
Utilizzo dei Domain Names nella Pratica
•Monitoraggio dei domain names Sospetti: Gli analisti di sicurezza monitorano costantemente i nomi di dominio sospetti e quelli associati a pratiche di phishing e distribuzione di malware.
•Analisi degli Indicatori di Compromissione (IoC): I nomi di dominio compromessi vengono utilizzati come indicatori di compromissione per identificare e rispondere prontamente alle violazioni della sicurezza.
•Blocco dei Domain Names malevoli: Le organizzazioni possono utilizzare soluzioni di sicurezza informatica per bloccare l’accesso ai nomi di dominio malevoli e impedire agli utenti di interagire con siti web dannosi.
.
Utilizzo del Punycode per Mascherare Domini Malevoli
•Attacchi Omografi: Gli aggressori possono sfruttare il Punycode per creare nomi di dominio che appaiono identici a quelli legittimi ma in realtà utilizzano caratteri Unicode simili. Questa tecnica, nota come “phishing di omografi”, inganna gli utenti facendoli credere di visitare un sito web affidabile quando in realtà si tratta di una pagina di phishing.
•Difficoltà nella Rilevazione: I domini mascherati con il Punycode possono sembrare identici ai domini legittimi quando visualizzati nei browser, rendendo difficile per gli utenti riconoscerne l’inganno e per gli strumenti di sicurezza identificarne la natura malevola.
Contromisure e Protezione
•Educazione degli Utenti: È essenziale sensibilizzare gli utenti sui rischi associati al phishing di omografi e sull’importanza di prestare attenzione ai dettagli del dominio quando si visitano siti web sensibili o si forniscono informazioni personali.
•Utilizzo di Strumenti Anti-Phishing: Le organizzazioni possono implementare soluzioni anti-phishing che analizzano i nomi di dominio per individuare caratteri omografi e identificare potenziali tentativi di phishing.
•Monitoraggio dei Domini Sospetti: Gli amministratori di rete e gli analisti di sicurezza devono monitorare costantemente i domini sospetti e utilizzare strumenti di intelligence sulle minacce per identificare e bloccare i tentativi di phishing basati sull’utilizzo del Punycode.
L’utilizzo del Punycode per mascherare domini malevoli rappresenta una minaccia significativa per la sicurezza informatica, richiedendo un’azione proattiva da parte degli utenti, delle organizzazioni e degli esperti di sicurezza per mitigare efficacemente questo rischio. I nomi di dominio rappresentano un elemento critico nel panorama della sicurezza informatica, poiché possono essere utilizzati sia per facilitare la navigazione online che per condurre attacchi informatici sofisticati. La loro gestione e monitoraggio accurati sono essenziali per proteggere le reti e gli utenti da minacce online.
.
.
Figure 2
.
.
.
Network/Host Artifacts
Gli artefatti di rete e di host rappresentano un’importante fonte di informazioni per gli investigatori di sicurezza informatica, consentendo loro di raccogliere prove e identificare attività sospette o malevole all’interno di una rete o su un dispositivo specifico.
Importanza degli Artefatti di Rete e di Host
1.Indizi di Attività Malevole: Gli artefatti di rete e di host possono fornire indizi cruciali sull’attività dei criminali informatici, inclusi file di log, registri di sistema e altre tracce digitali lasciate durante un attacco.
2.Analisi Forense Digitale: Gli investigatori di sicurezza utilizzano gli artefatti di rete e di host per condurre analisi forensi digitali, ricostruendo la sequenza degli eventi e identificando le vulnerabilità utilizzate dagli aggressori.
3.Rilevamento delle Minacce: I sistemi di rilevamento delle minacce possono utilizzare gli artefatti di rete e di host per identificare comportamenti sospetti o modelli anomali che potrebbero indicare la presenza di un attacco informatico.
Tipi di Artefatti di Rete e di Host
•File di Log: I file di log contengono registrazioni dettagliate delle attività di rete e di sistema, tra cui connessioni in ingresso e in uscita, accessi agli account e modifiche alle impostazioni del sistema.
•Registri di Sistema: I registri di sistema registrano eventi critici e informazioni diagnosticate relative al funzionamento del sistema operativo, come avvio e spegnimento del sistema, installazione di software e errori di sistema.
•Cache DNS: La cache DNS contiene informazioni sui nomi di dominio recentemente risolti in indirizzi IP, che possono essere utili per identificare tentativi di accesso a siti web malevoli o compromessi.
Utilizzo degli Artefatti nella Pratica
•Analisi Forense: Gli artefatti di rete e di host vengono analizzati durante le indagini di incidenti per identificare l’origine e l’entità di un attacco informatico e prendere misure correttive appropriate.
•Monitoraggio Continuo: Le organizzazioni devono implementare soluzioni di monitoraggio continuo per rilevare e rispondere tempestivamente alle attività sospette o dannose all’interno della loro rete e sui loro dispositivi.
•Integrazione con Strumenti di Sicurezza: Gli artefatti di rete e di host possono essere integrati con strumenti di sicurezza avanzati, come sistemi di rilevamento delle minacce e piattaforme di gestione degli eventi e delle informazioni di sicurezza (SIEM), per una maggiore visibilità e controllo.
Gli artefatti di rete e di host rappresentano una risorsa preziosa per gli investigatori di sicurezza informatica, consentendo loro di comprendere meglio le minacce e proteggere le reti e i dispositivi da attacchi informatici dannosi.
.
Tools
Gli strumenti sono una componente fondamentale nella difesa e nella gestione della sicurezza informatica. Ne esistono di vario genere, dai software di protezione agli strumenti di analisi forense digitale, ciascuno con un ruolo specifico nel garantire la sicurezza delle reti e dei sistemi informativi.
Importanza degli Strumenti
1.Rilevamento e Prevenzione: Gli strumenti di sicurezza consentono il rilevamento e la prevenzione di minacce informatiche, identificando comportamenti sospetti, filtrando il traffico dannoso e bloccando l’accesso a risorse non autorizzate.
2.Analisi e Investigazione: Gli strumenti di analisi forense digitale aiutano gli investigatori a raccogliere prove digitali, analizzare incidenti di sicurezza e individuare le cause radicate degli attacchi informatici.
3.Gestione delle Identità e degli Accessi: Le soluzioni IAM (Identity and Access Management) consentono alle organizzazioni di gestire in modo efficiente le identità degli utenti, controllare l’accesso alle risorse e applicare politiche di sicurezza.
Tipologie di Strumenti
•Firewall: Proteggono le reti monitorando e controllando il traffico in entrata e in uscita, applicando regole di sicurezza per prevenire accessi non autorizzati e attacchi informatici.
•Antivirus e Antimalware: Scansionano e rilevano software dannosi sui dispositivi e sui server, proteggendo contro virus, malware, spyware e altre minacce informatiche.
•Sistemi di Rilevamento delle Intrusioni (IDS) e di Prevenzione delle Intrusioni (IPS): Monitorano il traffico di rete alla ricerca di attività sospette e intrusioni, segnalando o bloccando automaticamente le violazioni di sicurezza.
•Strumenti di Analisi dei Log: Analizzano e interpretano i file di log di sistema e di rete per identificare eventi rilevanti per la sicurezza, consentendo una risposta rapida agli incidenti e la correzione delle vulnerabilità.
Utilizzo degli Strumenti nella Pratica
•Implementazione di una Suite di Sicurezza Integrata: Le organizzazioni dovrebbero implementare una suite di strumenti di sicurezza integrata che copra tutte le aree cruciali della sicurezza informatica, garantendo una difesa completa e coerente contro le minacce.
•Monitoraggio Continuo e Aggiornamento: È essenziale monitorare costantemente l’efficacia degli strumenti di sicurezza e mantenerli aggiornati con le ultime definizioni delle minacce e patch di sicurezza per garantire una protezione ottimale.
•Formazione del Personale: È importante formare il personale sull’uso corretto degli strumenti di sicurezza e sull’interpretazione delle informazioni generate, migliorando la capacità di risposta agli incidenti e la gestione delle emergenze.
.
.
Figure 3
.
.
Tactics, Techniques, and Procedures (TTPs)
Il MITRE ATT&CK framework è uno strumento ampiamente utilizzato nel campo della cybersecurity per comprendere e classificare le tattiche, le tecniche e le procedure utilizzate dagli attaccanti durante un attacco informatico. Fornisce un quadro dettagliato delle azioni che gli aggressori intraprendono durante le fasi di un attacco, consentendo alle organizzazioni di migliorare la propria capacità di rilevamento, risposta e mitigazione.
Tattiche
Le tattiche rappresentano gli obiettivi generali di un attaccante durante un’operazione. Esse includono:
•Iniziale Accesso: Ottenere l’accesso iniziale al sistema di destinazione.
•Esecuzione: Eseguire codice o comandi sul sistema di destinazione.
•Persistenza: Mantenere l’accesso al sistema di destinazione attraverso metodi come il malware persistente.
•Privilegio Escalation: Aumentare i privilegi di accesso al sistema di destinazione.
•Mouvement Lateral: Spostarsi attraverso la rete per ottenere maggiori privilegi o accesso a risorse sensibili.
•Esercizio di Comando e Controllo: Comunicare con un’infrastruttura di comando e controllo (C2) per eseguire attività dannose.
•Esercizio delle Azioni di rilevamento: Monitorare l’ambiente circostante per raccogliere informazioni utili.
Tecniche e Procedure
Le tecniche e le procedure rappresentano le azioni specifiche utilizzate dagli aggressori per raggiungere gli obiettivi tattici. Esempi includono:
•Phishing: Invio di e-mail di phishing contenenti link dannosi o allegati per ottenere credenziali o installare malware.
•Injection: Inserimento di codice dannoso in applicazioni web per eseguire comandi non autorizzati.
•Pass-the-Hash: Utilizzo delle credenziali rubate per autenticarsi su altri sistemi senza conoscere la password effettiva.
•Data Exfiltration: Il trasferimento non autorizzato di dati sensibili da un sistema compromesso a un’infrastruttura di controllo dell’attaccante.
•Command and Control: Utilizzo di protocolli di comunicazione per stabilire e mantenere un canale di controllo tra l’attaccante e il sistema compromesso.
EsempiPratici
1.Phishing con E-mail Spoofing: Un attaccante invia e-mail di phishing che sembrano provenire da una fonte affidabile, incoraggiando gli utenti a fornire le proprie credenziali di accesso.
2.Utilizzo di Exploit Kits: Gli aggressori sfruttano kit di exploit per individuare e sfruttare vulnerabilità note nei software dei sistemi di destinazione.
3.Pass-the-Hash Attack: Un attaccante utilizza credenziali rubate per autenticarsi su altri sistemi nella rete, sfruttando le hash delle password anziché le password stesse.
.
.
.
Figure 4
.
.
CONCLUSIONI
La Pyramid of Pain è la nostra mappa in un mondo digitale pericoloso. Conoscere le minacce, comprendere le tattiche degli aggressori e adottare una difesa proattiva è vitale. Dalla protezione dei nostri hash ai combattimenti contro le tattiche più subdole nel framework MITRE ATT&CK, ogni passo è una vittoria. La sicurezza non è mai stata così cruciale. È il baluardo che ci protegge nel selvaggio West digitale. Investiamo in tecnologia, in formazione, in vigilanza costante. Questa è la nostra nuova frontiera, e dobbiamo difenderla con tutto ciò che abbiamo. La sfida è grande, ma anche le opportunità. Siamo pronti a mantenere le nostre reti, i nostri dati e le nostre ambizioni al sicuro. Siamo pronti a vincere nella battaglia per la sicurezza digitale!
