Nel panorama della cybersecurity, gli indicatori di compromissione costituiscono un importante strumento per cercare di evitare o ridurre attacchi e compromissioni IT. Ecco cosa sono e come si presentano
Gli indicatori di compromissione (IoC) sono strumenti di fondamentale importanza nell’ambito della cybersecurity perché forniscono un aiuto alle organizzazioni a identificare e mitigare le potenziali minacce fornendo segnali di allarme tempestivi di attività dannose o di un possibile attacco informatico.
Nell’era digitale, una delle sfide più forti che le aziende devono affrontare è rilevare e rispondere agli incidenti di sicurezza, comprese le violazioni dei dati e le compromissioni dei sistemi prima che possano causare danni considerevoli in termini di perdita di dati sensibili o informazioni strategiche. È qui che entrano in gioco gli IoC (inteso come acronimo del termine inglese Indicator of Compromise).
Definizione degli indicatori di compromissione (IoC)
Gli indicatori di compromissione (IoC in informatica) sono gli “indizi” digitali e informativi che gli addetti agli incidenti utilizzano per rilevare, diagnosticare, arrestare e porre rimedio ad attività dannose nelle loro reti. Questa è la definizione fornita dalla Cybersecurity & Infrastructure Security Agency degli Stati Uniti.
Sono definibili, inoltre, come artefatti tecnici forensi che indicano che gli autori malintenzionati hanno ottenuto un accesso non autorizzato ai sistemi, fornendo ai team di sicurezza le informazioni necessarie per determinare se i loro sistemi sono stati compromessi.
Quando si verifica un incidente di web security, gli IoC costituiscono la prova del data breach. Queste tracce digitali rivelano non soltanto che è avvenuto l’incidente, ma spesso permettono anche di scoprire quali strumenti sono stati usati per sferrare l’attacco e da chi.
A volte, quando si parla di IoC si fa anche riferimento agli IoA, ovvero agli indicatori di attacco. È bene illustrare le differenze tra i due: gli Indicator of Compromise vengono utilizzati per identificare quando un utente malintenzionato ha già compromesso un sistema. Gli Indicator of Attack trovano impiego per rilevare quando un hacker malevolo sta tentando di accedere a un sistema.
I primi vengono generalmente utilizzati per rilevare e rispondere a specifiche minacce alla sicurezza, mentre i secondi sono impiegati per individuare e rispondere a un’ampia gamma di minacce alla sicurezza. Gli IoC sono generalmente più semplici degli IoA e forniscono informazioni più dettagliate su potenziali minacce alla sicurezza.
Tipi di indicatori di compromissione
Nel campo della cyber security vengono utilizzati diversi tipi di indicatori di compromissione (IoC), tra cui: gli indicatori basati su file (File-based Indicators), associati a un file specifico, come un hash o un nome di file; gli indicatori basati sulla rete (Network-Based Indicators), associati a una rete, un indirizzo IP o un nome di dominio; gli indicatori comportamentali (Behavioral Indicators): si tratta di indicatori collegati al comportamento di un sistema o di una rete, come traffico di rete insolito o attività di sistema insolita. Inoltre, vanno citati anche gli indicatori basati sugli artefatti (Artifact-Based Indicators), lasciati da un cyber malviventi, come un registro di sistema o un file di configurazione.
IoC più comuni da monitorare
Per quanto riguarda gli indicatori di compromissione da monitorare segnaliamo alcuni dei più significativi.
Traffico di rete anomalo
Il traffico di rete è un indicatore utilizzato dai team IT per identificare potenziali problemi. Un livello insolito di traffico può indicare malware, attacchi DDoS e altro ancora. Se i modelli di traffico sono insoliti, gli esperti possono monitorarli e verificare se e cosa non va, agendo in modo tempestivo per evitare problemi.
Irregolarità geografiche
Va inoltre segnalato il traffico insolito a livello geografico. Sia che si tratti di un account privilegiato o meno, le irregolarità nei pattern di accesso e nei login possono essere un segnale eloquente di una possibile compromissione.
Anomalie nell’attività dell’account utente privilegiato
Gli account utente privilegiati in genere hanno accesso ad aree speciali o particolarmente sensibili della rete o delle applicazioni. Possibili anomalie consentono agli esperti IT di identificare un attacco nelle prime fasi del processo, potenzialmente prima che causi danni significativi. Le anomalie possono includere un utente che tenta di aumentare i privilegi di un particolare account o di utilizzare l’account per accedere ad altri con maggiori privilegi.
Altri segnali d’allarme per l’accesso
Quando un utente legittimo tenta di accedere, in genere riesce entro pochi tentativi. Pertanto, se un utente autentico tenta di accedere più volte, ciò potrebbe indicare un tentativo di penetrazione nel sistema da parte di un malintenzionato. Inoltre, se si verificano accessi non riusciti con account utente inesistente, ciò può indicare che qualcuno sta testando gli account utente per vedere se uno di essi fornirà loro un accesso illecito.
Aumenti del volume dati del database
Quando un utente malevolo tenta di rubare dati, i suoi sforzi potrebbero comportare un aumento del volume di lettura. Ciò può verificarsi quando l’aggressore raccoglie le informazioni di un’azienda nel tentativo di estrarle.
Grandi numeri di richieste per lo stesso file
I cyber malvivente spesso tentano ripetutamente di richiedere i file che stanno tentando di rubare. Se lo stesso file venisse richiesto più volte, ciò potrebbe indicare che un delinquente sta testando diversi modi per richiedere i file, sperando di trovarne uno che funzioni.
Modifiche sospette al registro o ai file di sistema
Il malware spesso include codice che apporta modifiche al registro di sistema. Se ci sono cambiamenti sospetti, potrebbe trattarsi di un segnale di pericolo. Stabilire una linea di base può rendere più semplice individuare le modifiche apportate dagli aggressori.
Anomalie delle richieste DNS
Gli hacker malevoli utilizzano spesso command-and-control server per compromettere una rete con malware. Esso invia comandi per rubare dati, interrompere servizi web o infettare il sistema con malware. Se ci sono richieste DNS (Domain Name System) anomale, in particolare quelle che provengono da un determinato host, può trattarsi di un IoC.
Come si utilizzano gli IoC per prevenire gli attacchi informatici?
Come abbiamo scritto, uno dei principali vantaggi derivanti dall’utilizzo degli indicatori di compromissione è il loro supporto nel rilevare gli incidenti di sicurezza in modo più rapido e accurato. È possibile impiegare gli IoC per creare regole, firme o query che possano fungere da avviso quando viene rilevato un indicator of compromise nel proprio ambiente IT.
Un altro benefico effetto portato dall’uso degli IoC è che possono aiutare a rispondere agli incidenti di sicurezza in modo più efficace ed efficiente. È possibile utilizzarli per isolare, contenere o rimuovere la minaccia, ripristinare i sistemi o i dati interessati o informare le parti interessate pertinenti. Si possono usare, inoltre, per individuare gli endpoint infetti o compromessi e metterli in quarantena con uno strumento EDR.
L’adozione di indicatori di compromissione può consentire di migliorare il livello di sicurezza aziendale e la resilienza a lungo termine, migliorando le capacità di incident response e approntando adeguate tecniche di rilevamento e risposta, nonché le misure di prevenzione e protezione.
