Per anticipare le mosse dei criminali informatici (ed in generale del nostro “nemico”) è necessario conoscerlo, capire con chi stiamo combattendo, comprende il contesto in cui ci si muove. Buona parte del lavoro di un Red Team è proprio questo, non si tratta solo di tecniche e tools ma anche di comprensione delle dimaniche di un attacco informatico, tenendo in considerazione tutti gli aspetti.
Uno degli aspetti che poco si prende in considerazione, ma che molto ci dice del mondo del cyber crime, è rappresentato dalle revenue. Quanto costano le prestazioni di un criminale informatico? Quanto si è disposti a pagare per entrare in possesso di informazioni “trafugate”? La comprensione del modello di business dei criminali informatici ci da delle indicazioni utili per comprendere meglio i trend del fenomeno e sarebbe saggio sviluppare strategie di Cyber Defense che tengano conto di questi dati obiettivi.
Al di là dei meri numeri (le stime 2017 parlano di 1.500 miliardi di USD, poco meno del PIL dell’Italia) è interessante osservare come sono divile le “aree di business” di riferimento per il cyber crime. Più del 50% delle revenue viene da “illegal online markets”, mercato fortemente legato al tema Dark Web… ma ne parliamo in un altro post. Il resto del “mercato” si muove attorno al commercio di informazioni.
Che le informazioni siano il “nuovo petrolio” ce lo diciamo da anni, ma appurare un buon 45% del mercato del cyber crime si basa sulla compravendita di informazioni è un dato da tenere in estrema considerazione, come è da tenere in considerazione il basso valore, sempre in termini di revenue, della minaccia forse più conosciuta per diffusione: i ransomware.
Qualche riflessione dobbiamo farla. E’ evidente che c’è un interesse economico rilevante attorno al mercato dei dati, sia quelli “riservati” (brevetti, trattative commerciali, informazioni strategiche, ecc) che sensibili (dati personali, anagrafici, profilazioni, ecc) e questo patrimonio di informazioni è oggetto di due principali minacce: il furto e la compromissione/manomissione a scopo estorsivo. L’impatto sulle aziende è chiaro: se informazioni riservate vanno in mani sbagliare (es: concorrenti sleali) l’impatto sul business è immediato.
La nostra strategia di difesa deve tenere in considerazione questo fatto: sono i nostri dati l’obiettivo degli attacchi informatici, sono i nostri dati che vanno protetti. Ed il primo passo (IMHO) è capire cosa stiamo mettendo a disposizione “gratuitamente” ai nostri nemici, come gestiamo le informazioni di cui disponiamo e come possono essere oggetto di attenzione da parte di un attacker.
E’ un lavoro da portare avanti su più livelli e non può non coinvolgere chi conosce il tema delle moderne minacce informatiche — Red Team ed Ethical Hackers in cima alla lista — in affiancamento a chi conosce l’azienda in termini di processi e tecnologie.
Rocco Sicilia 