Per difendersi contro i gruppi di minaccia persistente (APT) potrebbe essere necessario una nuova strategia di difesa, dato che gli attaccanti stanno sempre più abusando delle lacune nei framework di governance, rischio e compliance. Mentre condusse indagini sul crimine informatico e le forensi digitali negli ultimi anni, l’Accademia di Tuwaiq Mohammed Almunajam osservò un trend allarmante: gli attaccanti non stanno solo sfruttando il codice, ma anche la logica. Ciò significa che stanno mirando e sfruttando le debolezze nelle approvazioni di governance, nei cicli di compliance e nelle procedure di indagine. Le linee guida di sicurezza aiutano le imprese a gestire le minacce, ridurre i rischi e garantire di rispettare gli standard regolatori, ovvero di garantire che le operazioni commerciali funzionino regolarmente mentre si mantiene una strategia di sicurezza efficace. Ma possono diventare superfici di attacco, dice Almunajam. “Sono diventati la prima superficie di attacco perché offrono percorsi silenziosi che la tecnologia non può immediatamente rilevare”, afferma. “Non è solo una minaccia crescente, ma è ora la strategia preferita degli APT moderni e dei gruppi di crimine informatico organizzato.” Per combattere questi avanzamenti di minaccia, Almunajam parlerà delle “6 Leggi del Cappello Nero”, un nuovo framework di sicurezza comportamentale, come parte di Black Hat Middle East and Africa 2025 in Arabia Saudita il prossimo mese. Per combattere queste minacce, Almunajam ha stabilito il framework per aiutare le imprese a pensare come gli attaccanti; ha derivato le leggi da pattern osservati da indagini sul crimine informatico e le forensi digitali reali. L’obiettivo è prevedere gli attacchi non solo comprendendo come gli avversari pensano, ma dove strategicamente investono sforzo per trasformare la governance e la compliance in strategie di attacco, dice. In un caso reale, un attaccante ha manipolato la logica del timestamp degli eventi per ingannare i rispondenti, ritardando la scoperta dell’esfiltrazione dei dati. Quel tattica ha evidenziato una zona cieca delle forensi digitali, dice Almunajam. In un altro caso, un attaccante ha sfruttato un processo operativo richiesto che creava una finestra di timing prevedibile. In seguito, gli attaccanti sono riusciti a superare i controlli senza attivare gli allarmi, osserva, aggiungendo che è esemplificato la compliance come un rischio abilitatore. “Invece di concentrarsi solo a sfruttare il codice, queste leggi espongono come gli attaccanti moderni sfruttano la logica, il timing e le debolezze della decisione per guadagnare un vantaggio persistente silenzioso all’interno delle organizzazioni”, dice Almunajam. Cosa possono fare le imprese? Per quanto riguarda le strategie azionate, è più importante per le imprese concentrarsi a allineare le loro politiche a queste minacce invece di acquistare nuovi prodotti difensivi, raccomanda Almunajam. Ad esempio, le organizzazioni potrebbero mappare l’intenzione degli attaccanti alle controlli di governance per limitare i percorsi di attacco “invisibili” o monitorare le eccezioni, come gli asset privilegiati, per prevenire le tattiche di persistenza che sfruttano le loro politiche. Un’altra strategia di sicurezza consiste nell’unire i segnali di governance, rischio e compliance nei dati di analisi del centro di operazioni di sicurezza per rilevare l’abuso prima della compromissione, consiglia. “Queste possono essere adottate rapidamente dalle squadre di sicurezza mature, che forniscono un alto impatto con un minimo di interruzioni”, dice Almunajam.
