A cura di Jamie Collier, Senior Threat Intelligence Advisor di Mandiant e Shanyn Ronis, Senior Manager, Threat Intelligence di Mandiant
L’attribuzione è un’attività molto importante che spesso viene percepita come una questione netta e binaria. In realtà si tratta di un processo più complesso che comporta regolarmente la necessità di prevedere dei compromessi.
Le differenti forme di attribuzione, che vanno da un semplice collegamento di gruppi di minaccia all’identificazione delle caratteristiche di un attaccante, presentano sfide e risorse molto diverse. Gli analisti che si occupano dell’attribuzione devono affrontare priorità differenti che sono in competizione tra loro, tra cui le scadenze fissate dalle parti interessate, la completezza dei dati e il livello di confidenza alla base delle loro valutazioni.
Analisi degli attori della minaccia e dell’attribuzione: i tre livelli
I ricercatori di sicurezza raramente attribuiscono l’attività di minaccia a persone o organizzazioni specifiche. Più comunemente l’attribuzione comporta il raggruppamento di indicatori discreti, quali indirizzi IP o domini, che sono correlati.
Questa attività è comunemente nota come attribuzione tattica.
Una volta che si è ottenuta l’attribuzione tattica, i ricercatori possono iniziare a estrapolare le caratteristiche di questi gruppi in modo da ottenere un profilo operativo. Esempi di profilazione operativa includono affermazioni quali “un gruppo non affiliato di individui per lo più dilettanti” oppure “un gruppo coordinato di criminali con accesso a strumenti sofisticati”. Estrapolando queste capacità, comportamenti, motivazioni e altre caratteristiche, i ricercatori possono anticipare la minaccia in quanto possono prevedere se, come e perché un attore ha la possibilità di agire.
Infine, ottenuta l’attribuzione operativa, i ricercatori possono cercare di stabilire un’attribuzione strategica, e cioè l’identità di un gruppo o di un attore della minaccia. Questa può includere il nome o l’associazione individuale, oppure l’identità può essere definita solo dallo sponsor o dal beneficiario finale delle operazioni di minaccia.
Non è possibile raggiungere alcun livello di attribuzione senza aver prima effettuato l’attribuzione tattica, poiché questa è la base di prova su cui poggiano tutte le future analisi. I team di sicurezza devono quindi chiedersi se sia utile continuare a investire tempo e risorse in modo da stabilire un livello di attribuzione più elevato.
Questa decisione si dovrebbe basare sulla domanda: quale livello di attribuzione è necessario per proteggere al meglio il network e/o raggiungere gli obiettivi di sicurezza? In altre parole, quali sono le azioni che il team di sicurezza può intraprendere in base alle sue capacità, ai suoi strumenti e a quale livello di attribuzione sia necessario per facilitare queste azioni.
I compromessi dell’attribuzione
La valutazione dell’attribuzione comporta diversi compromessi e decisioni difficili per i responsabili della sicurezza.
Allocazione delle risorse
I diversi livelli di attribuzione richiedono livelli di risorse molto diversi tra loro. Mentre molte funzionalità CTI possono realisticamente fare leva sull’infrastruttura dell’attaccante per eseguire l’attribuzione tattica; l’attribuzione strategica richiede un numero più elevato di risorse, tra cui:
- Personale e tempo di analisi aggiuntivi;
- Visibilità granulare delle minacce e collezione di dati di alta qualità;
- Maggiore necessità di processi formalizzati e modelli di workflow per garantire un processo coerente.
Le organizzazioni più piccole, che si concentrano sul rilevamento e sul blocco delle attività dannose, potrebbero non aver necessità di andare oltre l’attribuzione tattica. Le organizzazioni che dispongono di team solidi di indagine e intelligence, invece, potrebbero voler sviluppare una capacità di profilazione operativa, in modo da identificare proattivamente i gruppi di minaccia che destano preoccupazione e intraprendere azioni di protezione nei confronti delle loro TTP. Infine, gli attori governativi potrebbero essere interessati all’attribuzione strategica in modo da intraprendere azioni politiche contro gli stessi attori delle minacce che sono stati identificati.
In tutti i casi è fondamentale che i team di sicurezza comprendano innanzitutto i propri requisiti e i limiti prima di decidere quale livello di attribuzione perseguire, in quanto ciò consente un approccio agile e sufficiente alla sicurezza.
Indipendenza analitica
Diverse entità si esprimono sull’attribuzione, tra cui fornitori di CTI, agenzie governative e ricercatori indipendenti. Ciò pone una domanda su quanto ci si deve fidare degli altri.
Ignorare tutte le informazioni di terze parti per perseguire una completa indipendenza significherebbe trascurare preziose informazioni. Al contrario, un raggruppamento approssimativo tra gli attori delle minacce monitorati da diverse entità può portare rapidamente a confusione e imprecisione. Ad esempio, la minaccia denominata “Winnti” è diventata sempre più vuota a causa di metodologie incoerenti, clusterizzazione dubbia e mancanza di collaborazione tra diverse organizzazioni di sicurezza.
Mandiant presta attenzione alle ricerche sulle minacce pubblicate da un’ampia varietà di entità e gli analisti dell’azienda esplorano se si possiede una visibilità sovrapposta all’interno dell’universo di raccolta. Tuttavia, Mandiant si impegna anche a sviluppare giudizi di attribuzione saldamente basati sull’analisi indipendente e sui dati di raccolta delle fonti primarie.
Livelli di confidenza
Le funzioni CTI dovrebbero evitare di formulare giudizi di attribuzione avventati, ma un approccio troppo cauto può ostacolare l’azione. In definitiva, se l’ostacolo alla fusione dei cluster di minacce è troppo alto, gli stakeholder faticheranno ad affrontare le minacce chiave in modo tempestivo.
Mandiant Intelligence adotta un approccio flessibile attraverso l’utilizzo di cluster di minacce non classificate (denominati gruppi UNC). Questo permette di rivelare informazioni utili sulle minacce in modo rapido e senza dover completare immediatamente un lungo processo di attribuzione.
Ad esempio, poco dopo la compromissione della supply chain di SolarWinds del 2020, Mandiant Intelligence ha rivelato i dettagli sull’attore della minaccia dietro alla campagna: UNC2452. Questo gruppo non classificato è stato poi unito ad APT29 molti mesi più tardi, ma l’utilizzo di un gruppo UNC ha permesso a Mandiant di pubblicare informazioni attuabili il più rapidamente possibile. Ciò significa anche che gli analisti di Mandiant Intelligence non devono affrettare i processi di attribuzione e fusione. Questo può richiedere molto tempo a causa del rigore analitico necessario per una verifica indipendente basata sui set di dati.
Mandiant mostra anche i giudizi di attribuzione di minore affidabilità all’interno di Mandiant Advantage, dove vengono dettagliati sia i cluster di minacce sia quelli in cui vi è un collegamento sospetto. In questo modo i clienti possono seguire le valutazioni di attribuzione di Mandiant mentre si evolvono nel tempo.
I team di threat intelligence devono anche distinguere tra livelli di fiducia e specificità. Ad esempio, un team di threat intelligence potrebbe avere un’elevata fiducia nel fatto che un’operazione informatica sia legata a uno sponsor statale russo, ma una minore fiducia sullo specifico attore russo coinvolto nella minaccia informatica.
Diventare pubblico
Pubblicare una ricerca sulle minacce coinvolge molteplici aspetti tra cui: sensibilità della fonte, reazione della vittima, contesto geopolitico, implicazioni per gli impegni di risposta in corso e la potenziale reazione dell’attore della minaccia.
In definitiva, che si tratti di un governo che rilascia sanzioni informatiche o di un fornitore CTI che denuncia un gruppo APT, è fondamentale avere sempre un approccio riflessivo e ponderato.
Tecniche di analisi
Le tecniche strutturate svolgono un ruolo importante nel migliorare il rigore e la qualità delle valutazioni analitiche. Tuttavia, queste possono anche richiedere costi, tempo e risorse.
Il ruolo delle tecniche di analisi è visto come una scala mobile che può essere incrementata o diminuita. Ad esempio, le funzioni CTI potrebbero voler aumentare l’utilizzo delle tecniche analitiche per importanti giudizi di attribuzione con significative implicazioni per l’organizzazione o per affrontare la scarsa qualità della raccolta.
Qual è la modalità di attribuzione più adatta a te?
L’attribuzione presenta molte decisioni difficili e compromessi complessi. Tuttavia, l’attribuzione delle attività informatiche dovrebbe sempre essere vista come un fattore di supporto piuttosto che un blocco.
Le diverse possibilità di attribuzione possono porre quesiti scomodi in termini di sicurezza. La cosa da chiedersi è: cosa è meglio per l’organizzazione?
Questo in quanto il processo di attribuzione prospera quando è collegato a chiari requisiti organizzativi, casi d’uso e risultati. Forse non sarà così affascinante come cercare di replicare le agenzie di intelligence governative, ma sarà molto più efficace per l’organizzazione e gli stakeholder.