Capire chi sono e che cosa motiva gli hacker che cercano di violare i confini di una rete aziendale protetta può aiutare a proteggersi contro i loro attacchi?
Se lo è chiesto Massimiliano Brugnoli, Orange Cyberdefense & Hybrid Networks – Europe, richiamando le ragioni ideologiche, di profitto o fama, ragionevolmente sovrapponibili tra loro, che, secondo Joe Stewart, direttore della ricerca di malware per la Divisione di Contrasto alle Minacce di SecureWorks, rappresentano le tre principali motivazioni riconducibili all’attività degli hacktivisti.
Richiamato da Brugnoli, il direttore della ricerca di malware del braccio di sicurezza di Dell, suggerisce che comprendere le motivazioni di un hacker può essere utile a decidere come gestire la situazione dopo il verificarsi di una compromissione.
In base alle caratteristiche dell’attacco, i dati raccolti dai servizi di intelligence delle minacce possono aiutare a capire meglio un potenziale aggressore.
Ne è convinto Ben Densham, Cto della società di consulenza di sicurezza e test di penetrazione Nettitude, secondo cui se un’organizzazione si rende conto di essere nel mirino di un particolare criminale, può implementare contromisure adeguate e testare sistemi che utilizzano strumenti, tecniche e pratiche che imitano quelli in uso per stabilire quanto possano essere vulnerabili.
Anche gli hacker più abili lasciano, infatti, una traccia che può aiutare i professionisti della sicurezza a mettere insieme un profilo comune a differenti gruppi di hacker professionisti che, in alcuni casi, presentano analoghi tipi di comportamento e utilizzano strumenti riconoscibili.
Come attirarli
In passato, i cosiddetti “honeypot”, letteralmente “barattoli di miele”, hanno rappresentato un mezzo utile, in termini di intelligence, per monitorare i comportamenti degli hacker. Parliamo, generalmente, di computer creati per imitare l’infrastruttura reale di un’organizzazione e utilizzati per attirare gli hacker, da osservare mentre cercano di compromettere il sistema.
Considerata, però, l’evoluzione degli attacchi informatici registrata negli ultimi anni, per mantenere la loro efficacia gli honeypot dovrebbero diventare parte di un approccio più rischioso che imprese già compromesse possono adottare restando a guardare l’evoluzione dell’attacco.
L’intento dovrebbe essere quello di osservare con attenzione l’hacker in azione e proteggere ciò a cui non è ancora arrivato tenendolo impegnato in un “box” elettronico messo in quarantena e atto a occupare la sua attenzione mentre una squadra scientifica si occupa, se ne ha gli strumenti, di capire chi è, come agisce e contrastarne la minaccia.