Ciao a tutti. il podcast di oggi è realizzato in collaborazione con F-Secure, grazie alla quale cerchiamo comprendere uno problemi più diffusi che aziende e organizzazioni si trovano ad affrontare nell’ambito della cybersecurity. 

Dichiariamolo subito: il problema riguarda l’acquisto e l’implementazione degli strumenti giusti per potenziare team di sicurezza. L’esperienza diffusa è di acquisti inefficaci o di sette e più camicie sudate per ottenere valore dagli strumenti esistenti, ostacolati da problemi di vario tipo. Anche quando importanti organizzazioni – per fare un esempio, una come Gartner – danno indicazioni sui prodotti da scegliere, queste stesse indicazioni si rivelano poi di livello troppo alto o non si basano su un benchmark reale.

Valutare un attacco: la soluzione MITRE ATT&CK

Soluzione? Nel 2017 MITRE ha pensato di offrire un benchmark imparziale e pubblico per valutare i fornitori di EDR (Endpoint Detection and Response) rispetto al framework MITRE ATT&CK. Ok, prima di tutto: cos’è MITRE? E’ un’organizzazione pubblica statunitense, nata nel 1958, che si occupa di difesa: civile, militare, informatica. Insomma, studia la fisionomia degli attacchi – che possono essere, brutalmente, quelli dell’ISIS o di un gruppo di hacker – per fornire dati sulla base dei quali chi li subisce può elaborare strategie difensive.

Cos’è invece MITRE ATT&CK? E’ una cosiddetta knowledge base, cioè un insieme di conoscenze maturate osservando tecniche e tattiche di attacco. In altre parole, si tratta di un know-how sul quale si sviluppano modelli di minaccia, che poi tornano utili appunto in campo militare, nel settore civile, in quello governativo e, ovviamente, in quello cibernetico. I primi risultati di MITRE ATT&CK sono stati resi noti nel 2018 e offrono un’ottima panoramica dei tipi di telemetria, avvisi, interfaccia e output ottenuti da ogni prodotto o servizio elencato.

La valutazione si è basata su un tipo di attacchi avvenuti nella realtà (il gruppo APT3), e ha fornito una ricca serie di casi da misurare, coprendo tutte le principali aree della cyber kill chain, cioè della catena di azioni che compongono un attacco informatico. E però, ci dice F-SECURE, la valutazione ha due buchi: primo, non ha considerato quanto potesse essere efficace in un ambiente reale; secondo, non ha considerato alcun aspetto della risposta agli attacchi.

Quindi, pur essendo un buon punto di partenza, non può costituire il metodo esaustivo di valutazione di un prodotto EDR. E adesso cerchiamo di capirlo più in profondità.

Valutare un attacco: dove MITRE non arriva

Il primo passaggio – il Round 1 – della valutazione MITRE  è essenzialmente incentrata sulla misurazione delle capacità di rilevamento EDR in un ambiente controllato, e ciò che si ottiene è un elenco di casi, test e risultati in cui emergono due elementi: la specificità del rilevamento e il tempo necessario per ricevere le informazioni. Si tratta di un approccio semplificato che ha il pregio di prendere una questione complessa com’è il rilevamento e di scomporlo in qualcosa di più gestibile.

Ma ciò, appunto, non rende tutto un po’ troppo semplice? Per esempio, le persone che utilizzano gli strumenti e guidano il flusso di lavoro sono anch’esse assenti dal test, e spesso sono più importanti dello strumento stesso. Ecco perché  F-Secure consiglia di adottare un approccio olistico, che parta dalla valutazione MITRE ma che poi si ponga altre domande. Ne facciamo alcune: come sono i tassi dei falsi positivi nel mondo reale? Si può contenere e combattere un aggressore fuori dalla rete? Il team di rilevamento è tecnicamente in grado di utilizzare lo strumento ed è disponibile sempre, 24 ore al giorno e 365 giorni all’anno? 

MITRE non ci dà le risposte, perché si concentra su altro, per esempio sui tempi di risposta, molto importanti. Ma anche qui: MITRE assegna un tag “delayed” a tutto ciò che richiede più di 30 minuti per l’elaborazione; eppure, la maggior parte delle violazioni del mondo reale richiede anche ore, o settimane, per essere rilevata e contenuta. E allora F-Secure consiglia di concentrarsi meno sul tempo necessario per ricevere i dati e più sul verificare se si è in grado di rilevare l’attacco e quanto tempo ci vuole per contenerlo.

Valutare un attacco: l’importanza della conservazione

Quanto alla qualità dell’attacco, la valutazione MITRE aiuta a capire se un prodotto raccoglie i dati di base per i casi test specifici; non aiuta invece a comprendere se il prodotto fornisce il contesto necessario per completare un’investigazione. E ancora, il test e la valutazione vengono eseguiti immediatamente uno dopo l’altro, e ciò vuol dire escludere la conservazione dall’analisi.

Nel mondo reale però la conservazione è un problema enorme perché i set di dati EDR possono essere molto grandi rendendo l’archiviazione di lunga data costosa e tecnicamente impegnativa. Per un’azienda è importante chiarire per quanto tempo ciascuno dei set di dati verrà archiviato, perché ciò  può avere un impatto finanziario, normativo e operativo. Se non hai un team che lavori, come si dice, 24/7 e qualcosa dovesse accadere durante il fine settimana, i dati lunedì potrebbero non esserci più.

Valutare un attacco: MITRE, un progresso da rendere ancor migliore

Insomma, la valutazione MITRE è un bel progresso per il settore della sicurezza, soprattutto perché porta un po’ di visibilità – decisamente necessari -, e test indipendenti nello spazio EDR. MITRE va elogiata per questo, poi permette di avere un confronto equo e indipendente tra varie soluzioni in un territorio problematico. Tuttavia il Round 1 evidenzia limiti: c’è troppa attenzione ai dati di telemetria e ai rilevamenti, e ce n’è poca su  rumore reale, workflow, risposta agli incidenti o test del servizio gestito.

L’auspicio, di F-Secure e di tutto coloro che ogni giorno affrontano problemi di cybersecurity, è che il Round 2, in partenza dalla fine del 2019 colmerà queste lacune per restituire test più completi e accurati.