Sono stati mesi di notevoli cambiamenti per la società di cybersecurity Mandiant. Abbiamo chiesto innanzitutto a Giancarlo Marengo, Country Manager di Mandiant Italia, di ripercorre brevemente la storia ormai quasi ventennale dell’azienda e di spiegarci come si è arrivati alla recente separazione da FireEye, che aveva acquisito Mandiant nel 2013. Recentissima è poi la notizia dell’acquisizione da parte di Google, per la considerevole cifra di 5,4 miliardi di dollari: quando l’acquisizione sarà conclusa, Mandiant entrerà a far parte di Google Cloud (al momento della nostra chiacchierata i manager della società non erano ancora autorizzati a commentare l’acquisizione).
Fondata nel 2004 da Kevin Mandia, Mandiant è una società di cybersecurity focalizzata sulle attività di investigazione, compromise assessment e intervento post breach. Nel 2013 è stata acquisita da FireEye, che era una società di tecnologia; in quel periodo – parliamo degli anni dal 2015 al 2020 – la tipologia delle problematiche di cybersecurity richiedeva una forte risposta anche dal punto di vista tecnologico, servivano investimenti specifici per proteggere il perimetro aziendale, gli endpoint e l’e-mail (che era e rimane uno dei principali vettori di attacco).
Arrivando ai giorni nostri, una delle motivazioni per cui Mandiant si è separata da FireEye (il nome FireEye e i suoi asset specifici sono stati venduti alla società di private equity STG, N.d.R) è che la tecnologia è ancora ovviamente importante, ma negli ultimi 24 mesi sono stati fatti investimenti ingenti su questo fronte e chi non aveva ancora protezioni come quelle citate si è allineato. Ma la tecnologia deve essere supportata da una grande competenza non solo interna ma fornita anche dalle organizzazioni di cybersecurity e dai vendor che fanno parte del “team esteso” dell’azienda. Ed è necessaria anche una sorgente aggiornata di intelligence . Oggi serve un punto di vista agnostico rispetto alla tecnologia adottata dal cliente. Mandiant è coinvolta in oltre 1.000 casi di incident response e di compromise assessment all’anno, si tratta di una base fortissima da cui può scaturire il necessario supporto, in termini di competenza e di intelligence, da abbinare alla tecnologia del cliente.
– Cosa vi chiedono oggi i clienti?
Sostanzialmente ci chiedono di aiutarli a realizzare – soprattutto negli ambienti più maturi – quello che viene definito un Cyber Defense Center: stiamo parlando della capacità di effettuare threat hunting, di gestire le vulnerabilità e di ottimizzare le attività del Security Operations Center (SOC).
Mandiant può contribuire con la sua intelligence e con le competenze del suo team di specialisti in incident response. La capacità di threat hunting è fondamentale, perché consente di lavorare in prevenzione, quando c’è il rischio che una minaccia possa scavalcare i sistemi di sicurezza, e permette di migliorare continuamente la postura di sicurezza dell’azienda. L’attività di threat hunting svolta da una società esterna come Mandiant permette interventi rapidissimi (abbiamo SLA che prevedono tempi di risposta anche solo di quattro o addirittura due ore ) per ridurre l’impatto di un attacco se non evitarlo del tutto.
Per quanto riguarda le vulnerabilità, il loro numero abnorme rende la gestione di questo aspetto della cybersecurity molto onerosa ed è necessario individuare quelle che sono assolutamente pericolose per un determinato settore di mercato o addirittura per un cliente specifico. Le indicazioni della nostra attività di Threat Intelligence permettono ai nostri clienti di focalizzarsi sulle vulnerabilità più critiche.
L’importanza del SOC
Ultima, ma non per importanza, è l’attività di ottimizzazione del SOC. Ogni giorno gli analisti devono esaminare milioni di linee di log al giorno e valutare centinaia di nuovi malware. Le aziende che non sono in grado di focalizzarsi sui malware principali rischiano di non riuscire a seguire le minacce più importanti per la loro organizzazione e di dedicare risorse dotate di skill medio-alti anche ad attività non produttive. Noi possiamo dare un importante contributo sotto questo aspetto, sia con l’ottimizzazione del triage dei log tramite una tecnologia basata sul machine learning, essenziale per gestire così grandi quantità di dati, sia con le informazioni raccolte dai nostri incident responder relativamente alle tecniche di attacco utilizzate dei principali gruppi di cybercriminali. La combinazione di questi due fattori permette di fornire agli analisti indicazioni fondamentali su quali sono i malware verso i quali concentrare l’attenzione.
Naturalmente siamo anche coinvolti direttamente in attività di incident response: ogni anno spendiamo 200.000 ore/uomo per gestire attacchi ed investigare minacce o potenziali breach. Dal punto di vista dell’intelligence, Mandiant è strutturata con più di 300 analisti distribuiti su 26 country ed è in grado sostanzialmente di comunicare con i clienti in più di 30 lingue.
– Alla fine dello scorso anno avete rilasciato un rapporto con le vostre previsioni di cybersecurity per il 2022 e oltre. Quante hanno già trovato conferma?
Risponde Gabriele Zanoni, Consulting Country Manager di Mandiant Italia.
Sicuramente quelle relative agli attacchi sponsorizzati dai governi. Ad esempio il report prevedeva che la Russia, in continuità con quanto osservato negli anni precedenti, avrebbe continuato a mantenere un atteggiamento aggressivo verso bersagli come la NATO e i Paesi che la supportano, verso nazioni come l’Afghanistan e l’Ucraina, ma anche verso specifici settori di mercato come quello dell’energia: una previsione chiaramente centrata.
Proprio in tema di attacchi da parte della Russia, sul nostro blog abbiamo fatto a gennaio ulteriori considerazioni soprattutto per consentire alle aziende di fare hardening dei loro sistemi in un momento abbastanza delicato. Avevamo previsto che attori russi avrebbero condotto attacchi verso enti governativi, campagne di information operations (sostanzialmente attività di disinformazione volte ad ottenere un vantaggio sul nemico N.d.R) e attacchi anche distruttivi. Sappiamo poi che la Russia è particolarmente famosa per gli attacchi di spionaggio, con i quali recuperare informazioni che avvantaggino il suo governo nelle trattative con gli altri Stati.
Anche le previsioni sul ruolo predominante delle attività estorsive da parte dei cybercriminali si sono rivelate corrette. La minaccia è diventata multiforme: se prima il ricatto era “ti cifro i dati tramite un ransomware e ti vendo la chiave di decifratura” ora i cybercriminali minacciano anche di rendere pubblici i dati esfiltrati, magari avvisando partner e clienti dell’azienda colpita che i loro dati sono a rischio di pubblicazione su Internet.
Sicurezza e cybercrime, le tendenze
Nella sezione No honor among thiefs (non c’è onore tra i ladri) avevamo previsto lotte interne nei gruppi di cybercriminali, e una conferma è rapidamente arrivata dalle vicende del famoso gruppo di ransomware Conti. Una lotta interna al gruppo, forse causata dalla crisi Ucraina, ha portato alcuni membri a divulgare decine di migliaia di messaggi delle chat interne, comprese quelle private. Da questi messaggi sono emerse tra l’altro le prove dei collegamenti di Conti con apparati governativi russi (collegamenti che Mandiant aveva già identificato). Nelle chat fuoriuscite si vede che il governo utilizza anche gruppi di cybercriminali basati in Russia per ottenere tool e supporto in attività mirate. Il ruolo dell’FSB (l’erede del famigerato KGB), per quello che vediamo, è ricattare i cybercriminali per costringerli ad agire in qualche modo per conto del governo, magari sfruttandone la capacità di lanciare attacchi di tipo DOS (Denial of Service).
Kevin Mandia, Chief Executive Officer di Mandiant
La Cina, anch’essa citata nel nostro Report, non è stata ferma. L’attenzione in questo momento è concentrata sulla crisi Ucraina, ma questo non vuol dire che altri governi si siano fermati. Quello cinese ha continuato in particolare nelle attività di spionaggio verso il governo americano. Qualche giorno fa abbiamo pubblicato una ricerca per descrivere come il gruppo di hacker APT41, che si ritiene sponsorizzato dalla Cina, abbia attaccato sei enti governativi americani e ne abbiamo descritto le tecniche di attacco più recenti. Abbiamo rilevato, tra l’altro, come APT41 abbia sfruttato la famigerata vulnerabilità Log4j a pochissime ore dalla sua divulgazione.
Sempre sul tema delle minacce di cybersecurity più significative per il 2022, avevamo previsto un impatto sempre maggiore nello spazio della tecnologia operativa (OT, Operational Technology), ovvero dei sistemi usati per monitorare e controllare processi fisici, dispositivi e infrastrutture. Nei documenti pubblicati su Internet in seguito alla compromissione di enti che avevano sistemi OT abbiamo visto tante password e tante informazioni sensibili. Ad esempio, abbiamo trovato progetti relativi al sistema ferroviario di una città europea e password di utenti di una centrale idroelettrica. Le password dei sistemi OT spesso hanno un ciclo di vita molto lungo, dato che cambiarle può essere complesso e richiedere molto tempo. Una volta ottenute, informazioni di questo tipo possono rimanere utili ai cybercriminali anche sul lungo periodo.
– Il report prevedeva anche un aumento delle attività malevole verso sistemi OT da parte di attaccanti con basso livello di esperienza.
Sì, assolutamente. La barriera di ingresso per eseguire questo tipo di attacchi di cybersecurity, specialmente da quando molti sistemi OT sono esposti su Internet, si è abbassata notevolmente. Nello spazio OT ci sono stati attacchi mirati, da parte di attaccanti a livello governativo: mi ricordo ad esempio un attacco partito dall’Iran che ha tentato di modificare i sistemi idrici di Paesi nemici. Ma ci sono state anche casi in cui l’accattante si è fatto cogliere in flagrante proprio per la sua inesperienza. Il mondo OT comunque ha un aspetto positivo: i meccanismi che lo governano questo mondo prevedono controlli multipli. Quindi, anche se un aggressore inesperto riuscisse a ottenere il controllo di un pannello remoto in grado di cambiare la composizione degli ingredienti di un processo chimico, ci sarebbero poi sensori in grado di identificare le variazioni non volute o impreviste, senza contare i controlli e le verifiche manuali svolti periodicamente sui device OT.
– Avete notato, in seguito alla crisi in Ucraina, un aumento in quantità o qualità degli attacchi provenienti dalla Russia?
Abbiamo visto attacchi DOS, abbiamo visto anche attacchi distruttivi che però non sono stati su larga scala, non hanno avuto l’impatto che ha avuto per esempio NotPetya. In ambito cybersecurity la Russia ha condotto e continua a condurre campagne di information operations: Un esempio è stato il falso video, realizzato con la tecnica del deepfake, in cui presidente ucraino Volodymyr Zelensky ordinava alle forze armate del suo Paese di arrendersi.