In un mondo sempre più connesso e digitalizzato, la sicurezza informatica è diventata un tema di primaria importanza. Tra i vari strumenti e concetti utilizzati in questo campo, gli Indicatori di Compromissione (IOC) rappresentano un elemento cruciale.

Ma cosa sono esattamente gli IOC? In questo articolo, ci proponiamo di svelare il mistero che circonda questi importanti strumenti, analizzandone il significato, il ruolo e l’impatto nella rilevazione e prevenzione delle minacce informatiche. Immergetevi con noi nel dinamico e intrigante mondo degli Indicatori di Compromissione, dove l’attenzione ai dettagli e la collaborazione tra specialisti del settore sono essenziali per proteggere i nostri dati e le nostre infrastrutture digitali.

IOC in informatica

Gli attacchi informatici oltre ad essere sempre più diffusi sono sempre più articolati e complessi. Gli hacker hanno sviluppato strategie molto sofisticate che complicano il lavoro di chi, dopo un incidente, cerca di ricostruire i fatti per comprendere meglio l’accaduto. Inoltre, non sempre un comportamento anomalo delle infrastrutture aziendali si spiega con un attacco informatico, si può incorrere in falsi positivi o semplicemente in altri problemi. Distinguere questi casi e ripercorrere all’indietro il percorso di un hacker in una sistema IT è possibile se si hanno gli strumenti adatti. Gli indicatori di compromissione, oggi vi spiegheremo che cosa sono e in quanti modo possono essere utili alla vostra società.

Definizione Indicatori di Compromissione (IOC)

Non esiste un malware in grado di infettare un sistema senza lasciare tracce. Queste tracce se opportunamente individuate e analizzate possono essere estremamente utili. Gli indicatori di compromissione (IOC) sono dei parametri che permettono di rilevare se è avvenuto o meno un attacco informatico contro un sistema. Questi indicatori sono utili al reperimento di informazioni preziose circa la dinamica dell’incidente e di conseguenza possono anche essere sfruttati per imparare degli errori e rinforzare le difese là dove ce ne è un maggior bisogno.

Tra le informazioni che è possibile ricavare troviamo:

  • La prova che l’attacco è avvenuto
  • Che strumenti sono stati utilizzati
  • Chi si nasconde dietro l’incidente
  • Origine dell’attacco

In che modo possono essere utili alla azienda colpita

Abbiamo già chiarito come gli IOC siano fonti di informazioni circa un attacco hacker già avvenuto. Ma in che modo possono essere utili ad una azienda se non hanno alcun potere per contrastare l’attacco?

Innanzitutto, non è proprio vero che non hanno potere durante un incidente. Il loro monitoraggio può portare alla rilevazione dell’attacco nella sua fase iniziale e permettere al personale dedicato di mettere in atto sin da subito le misure protettive previste, contribuendo a limitare i danni.

In secondo luogo sono fondamentali per capire esattamente che cosa sia successo e quindi elaborare le strategie di ripristino più adatte, oltre che aiutare nella gestione del emergenza fornendo dati oggettivi su cui prendere delle decisioni.

Inoltre gli IOC potranno essere forniti agli investigatori come prove.

Infine conoscere i dettagli dello svolgimento dell’attacco permette di identificare le vulnerabilità che sono state sfruttate, i punti deboli della strategia difensiva e dell’approccio generale alla cybersecurity e può quindi essere uno spunto utile per migliorare le difese e prevenire ulteriori attacchi.

Esempi di Indicatori di compromissione

Gli IoC possono essere moltissimi, il loro numero, che può raggiungere l’ordine delle migliaia, dipende fortemente dalla dimensione della rete. Il che rende necessario l’uso di strumenti dedicati, a volte basati sull’intelligenza artificiale, che raccolgono catalogano e analizzano questi indicatori, aiutando gli specialisti di informatica forense a fare ordine. Alcuni esempi sono:

Picchi anomali di traffico dati in uscita.

Se un malware sta raccogliendo informazioni e le sta trasmettendo al server che lo controlla, esso causerà un traffico di dati. Ora, normalmente una azienda ha un andamento tipico giornaliero del suo traffico in uscita. Un traffico dati in orari insoliti (ad esempio, la notte quando non ci sono lavoratori potrebbe essere vicino allo zero), verso indirizzi sospetti o semplicemente molto maggiore di quello che si ha normalmente, se non corrisponde ad un lavoro particolare autorizzato dall’azienda, potrebbe essere un indicatore di compromissione.

Accessi anomali ai database di dati sensibili.

I dati riservati sono, di solito, protetti in modo che solo gli utenti con privilegi elevati possano accedervi. Di conseguenza i malintenzionati devono riuscire a procurarsi l’accesso a uno di quegli account per esfiltrare dati. Se ci sono accessi sospetti, è bene verificare che cosa stia succedendo, le credenziali potrebbero essere state rubate e utilizzate da persone diverse da quelle autorizzate.

Cambio di attività degli account

Un’altra possibilità è che l’hacker sia riuscito ad accedere ad un account con permessi di basso livello e sia riuscito ad aumentarne i privilegi fino al livello necessario a portare avanti il suo piano. Variazioni nel volume di informazioni consultate o modificate sono indicatori utili da monitorare.

Attività provenienti da aree geografiche inusuali

Molte aziende hanno un bacino di utenza localizzato in alcune zone specifiche. Tentativi di accesso con anomalie geografiche potrebbero essere un brutto segnale.

Alto numero di tentativi di accesso falliti

Anche questo potrebbe essere il sintomi del fatto che qualcuno sta tentando di violare il sistema informatico essendo in possesso di credenziali che non sa associare al giusto account.

Aumento immotivato del volume di dati letti da un database

Se ci sono molti più accessi ad un database di dati sensibili rispetto a quanto è usuale, una motivazione potrebbe essere un tentativo di esfiltrare quei dati. Di sicuro, è un segnale che va approfondito. Infatti proprio per la natura di dati che conservano i database sono tra i bersagli preferiti dei malviventi.

Numero eccessivo di tentativi di accesso a file rilevanti

In mancanza di credenziali di accesso per account con privilegi elevati, il malvivente deve utilizzare una serie di exploit per trovare la sua porta di accesso. In questo caso comunque si registrerà un gran numero di richieste di accesso ai file sotto assedio, provenienti dallo stesso indirizzo IP o dalla stessa area geografica.

Modifiche alle impostazioni

Persino le modifiche alle impostazioni con cui la società normalmente lavora potrebbero essere tentativi di un hacker di creare un varco per un’intrusione o preparare il terreno per un malware.

Elevato traffico in entrata per uno specifico sito

Potrebbe essere il segnale che un attacco DDoS è stato scagliato verso quell’indirizzo IP attraverso una botnet.

Ioc e IoA differenze

Abbiamo già detto che gli indicatori di compromissione non danno indicazioni riguardo a se un attacco è in corso o è passato ma si limitano a dare un’evidenza alle tracce lasciate dagli aggressori. A livello delle indagini e della gestione dell’emergenza è chiaro che capire si ci si trova ancora in stato di assedio o meno è una nozione indispensabile. Per rispondere a questa domanda si devono consultare gli IoA, ovvero gli indicatori di attacco. Specialmente nel casi di attacchi complessi, in più fasi, quando gli hacker possono aggirarsi per mesi nei sistemi IT di una società prima di riuscire a raggiungere il loro bersaglio sono gli IoA che aiutano a distinguere i falsi positivi dalle reali minacce. Al contrario nelle fasi di incident response gli IoA hanno una utilità limitata e sono invece gli IoC a fornire le informazioni necessarie. Entrambi però costituiscono delle prove che gli investigatori potranno utilizzare durante le loro indagini.

IoC per migliorare le difese

Una volta che l’incidente si è risolto, gli Indicatori di compromissione permettono di capire passo passo che cosa è andato storto. Valutare quali strategie hanno utilizzato i malintenzionati e quali debolezze gli hanno permesso di fare breccia nelle difese informatiche aziendali. In questo modo la società può imparare dagli errori e provvedere a chiudere le porte di accesso che i malviventi sono riusciti ad aprire.

Gli IoC possono essere raccolti ed analizzati in tempo reale grazie a dei software appositi, che separano automaticamente i dati irrilevanti da quelli interessanti.

Ioc e pubblica amministrazione

Il CERT-AGID mette a disposizione gratuitamente degli indicatori di compromissione per le pubbliche amministrazioni in modo da supportarle nella difesa da minacce tipo malware e Phishing. Il servizio si chiama Feed IoC e contiene, in formato testuale, gli indicatori di compromissione relativi alle campagne di attacchi informatici ai danni di aziende italiane che sono state rilevate da CERT-AGID. Una volta accreditate, le amministrazioni pubbliche riceveranno due URL personali per l’accesso al servizio. Questi devono essere configurati insieme ad un firewall oppure come estensione browser. Questi URL possono essere modificati in modo da concentrarsi un uno specifico tipo di indicatore.

Conclusioni

Le violazioni dei sistemi informatici possono essere di molti tipi diversi. Ciononostante un fattore costante è che l’hacker che conduce un attacco lascia sempre delle tracce del suo operato dietro di se. Queste tracce possono presentarsi sotto forma di movimenti insoliti all’interno dell’infrastruttura o cambiamenti apparentemente inspiegabili o altro e possono essere rilevate grazie ad appositi servizi, gli indicatori di Compromissione. Gli IoC sono utili sia nella fase di incident response che in quella, successiva, di rinforzo delle difese. Esistono moltissimi indicatori ma non è detto che sia necessario controllarli tutti, in base alla specifiche esigenze sarà possibile selezionare solo quelli utili in modo da non appesantire la struttura. Non ci sono controindicazioni note ma solo vantaggi nell’uso di questa tecnica, di conseguenza, ora che sapete di che cosa stiamo parlando non vi resta che adoperarvi per aggiungere un alleato ulteriore alla sicurezza informatica della vostra compagnia!