La piramide del dolore nel rilevamento delle minacce

Oggi, le organizzazioni si trovano ad affrontare un numero crescente di minacce informatiche e ad avere una superficie di attacco sempre più ampia. Per far fronte a tali sfide, le aziende devono adottare tecnologie e strategie all’avanguardia e prendere decisioni mirate a prevenire, rilevare e mitigare le minacce.

Per assistere le aziende nel rafforzare le loro capacità di sicurezza informatica, gli esperti di sicurezza hanno sviluppato modelli concettuali, tra i quali la piramide del dolore. Esaminiamo come essa possa contribuire al rilevamento e alla mitigazione delle minacce.

Cos’è la piramide del dolore

Nel settore della sicurezza informatica e del rilevamento delle minacce, un Indicatore di Compromissione (IOC) rappresenta una prova che un attacco informatico, come ad esempio un’intrusione o una violazione dei dati, si sia verificato. Gli esperti forensi digitali, proprio come gli investigatori che raccolgono indizi dalla scena del crimine, cercano gli IOC per capire come l’attacco sia avvenuto e chi ne sia stato responsabile.

Tipi di rilevamento delle minacce

La piramide del dolore è un modello concettuale che aiuta a comprendere le minacce alla sicurezza informatica organizzando gli IOC in sei diversi livelli. David J. Bianco, un esperto di sicurezza informatica, ha formalizzato questa idea nel suo articolo “La Piramide del Dolore” nel 2013. In essa, i sei livelli degli IOC sono organizzati in ordine di gravità per gli aggressori qualora la vittima li scoprisse, partendo dal meno doloroso al più doloroso:

• Valori hash: rappresentano una “firma” digitale o un file generato da una funzione hash crittografica come SHA-1 e MD5. Essi garantiscono che due file diversi non abbiano lo stesso valore hash.
• Indirizzi IP: sono un insieme di numeri univoci che identificano un computer o un altro dispositivo connesso a Internet attraverso il protocollo Internet (IP).
• Nomi di dominio: sono stringhe di testo univoche che identificano risorse Internet come siti web o server.
• Artefatti di rete e artefatti host: gli artefatti di rete sono prodotti da attività di rete, mentre gli artefatti host sono prodotti da attività su un computer host.
• Strumenti: gli aggressori utilizzano una vasta gamma di strumenti software e piattaforme per eseguire attacchi, come backdoor o cracker di password.
• Tattiche, tecniche e procedure (TTP): gli aggressori spesso hanno un modus operandi che li identifica, dal metodo di ingresso iniziale ai mezzi di diffusione in tutta la rete e all’esfiltrazione dei dati.

Gli indicatori, a loro volta, costituiscono solo una delle forme di rilevamento delle minacce nel campo della sicurezza informatica. Esistono quattro tipi principali di rilevamento delle minacce:

• Rilevamento di configurazione: in questo tipo di rilevamento, gli analisti cercano segni che un dispositivo abbia deviato da una configurazione standard predefinita. Ad esempio, se un dispositivo sulla rete è configurato per comunicare solo su determinati numeri di porta, qualsiasi comunicazione su un numero di porta diverso può essere considerata sospetta.
• Rilevamento di modellazione: oltre alle modifiche della configurazione, gli analisti possono cercare deviazioni da una baseline predefinita, utilizzando modelli matematici. Ad esempio, se un dispositivo invia più pacchetti del normale o li invia in momenti insoliti, questo comportamento potrebbe essere indicativo di un attacco.
• Rilevamento di indicatori: un indicatore è un’informazione, positiva o negativa, che fornisce indizi sullo stato o sul contesto di un dispositivo. Gli indicatori di compromissione (IOC) sono i più comuni, in quanto offrono la prova che un attore malintenzionato ha ottenuto l’accesso al sistema.
• Rilevamento di comportamento: l’analisi delle minacce comportamentali cerca tecniche e metodi astratti e di livello superiore utilizzati da malintenzionati. Ad esempio, un attaccante noto potrebbe utilizzare una particolare forma di phishing per ottenere le credenziali di un utente. Questo tipo di rilevamento si basa sulla comprensione dei modelli di comportamento degli hacker e sul loro modus operandi.

La piramide del dolore offre una struttura utile per comprendere le minacce alla sicurezza informatica e per organizzare gli indicatori di compromissione in ordine di serietà. Riconoscere l’importanza degli IOC di alto livello può aiutare gli analisti a concentrarsi sui segni più rivelatori di attacchi informatici e a limitare i danni potenziali.