La cyber deception è l’applicazione della dottrina di Sun Tsu all’informatica

Nella sicurezza informatica si comincia a usare sempre più uno strumento di protezione nuovo: la cyber deception. Il concetto da cui si è partiti è quello espresso da Sun Tsu nell’Arte della Guerra: “Tutta la guerra è basata sull’inganno”. L’obiettivo è semplice. “Ingannare” l’avversario affinché fallisca nel suo intento di compromettere un sistema. Questa tecnica, nell’ambito di una strategia di difesa attiva, può essere efficace anche e soprattutto contro gli attori malevoli top. Da quelli che lavorano per attori nazionali ai criminali informatici ai massimi livelli. Fondamentalmente, contro tutti coloro che sono in grado di aggirare le difese tradizionali poste contro le minacce. Affinché sia efficace, però, servono ottime pianificazione e threat intelligence. Ciò per studiare i metodi d’inganno più efficaci contro i nemici virtuali del momento e futuri.

Primo passo: identificare chi sono gli avversari

La prima domanda che ci si pone se si intende fare cyber deception è chi bisogna ingannare? Ciò per studiare i metodi più efficaci in base alla tipologia di bersaglio. Solitamente, questi sono 5: ragazzini e principianti, hactivisti, terroristi, criminali informatici e, infine, attori nazionali. Ogni tipo di avversario ha caratteristiche, abilità obiettivi e risorse diverse. Di conseguenza, la difesa non sarà sempre efficace per tutti. Inoltre, sarà necessario analizzare quali siano le tecniche e le procedure di attacco (TTP) utilizzate. Senza contare i motivi per cui effettua azioni aggressive. Una volta che si avrà un quadro il più chiaro possibile, si potrà passare alla fase offensiva/difensiva.

Poi si agisce, in base a 5 tipi di strategia

Sul versante operativo, le azioni di cyber deception permettono di optare per 5strategie: la prima è quella del depistaggio. Può essere condotto a livello tattico, puntando a distrarre risorse dell’avversario, o a quello strategico. Agendo nello spazio cognitivo dell’aggressore per plasmare le sue percezioni. La seconda è quella di drenare risorse all’avversario. In particolare in termini di tempo speso per la ricerca. In questo caso si usano false informazioni e infrastrutture informatiche, come per esempio le Honeypot. Queste sono sistemi o componenti hardware o software usati o “esca” contro i cyber attacchi. Apparentemente sono collegati al network e contengono informazioni sensibili. In realtà, invece, sono isolati e senza informazioni critiche. Come “barattoli di miele”, peraltro, possono essere usati anche file, record o indirizzi IP non utilizzati.

Torna in voga l’effetto Farewell, che fece fare una figuraccia ai russi

La terza strategia della cyber deception è chiamata “l’effetto Farewell (dall’omonimo dossier della Cia). Si punta a creare dubbi nell’avversario, sull’integrità dei dati che ha rubato. Nel caso reale furono fatti arrivare rubare volontariamente alcuni chip da agenti del KGB. In particolare quelli del sistema di controllo per automatizzare il gasdotto trans-siberiano. Questi avrebbero passato i controlli russi, ma poi avrebbero fallito una volta montati nei sistemi. L’operazione fu un successo, tanto che l’infrastruttura esplose a giugno del 1982. Tutto il software rubato negli anni successivi, però, fu considerato sospetto e mai utilizzato seriamente, temendo trappole. Il procedimento è inverso in questo caso. Si fa credere all’aggressore informatico di aver rubato materiale fallato o senza valore, in modo che non lo utilizzi e se ne liberi al più presto. Peraltro, puntando su obiettivi più redditizi.

Imparare è chi è l’avversario e come agisce è fondamentale per programmare gli “inganni”

Le ultime due strategie della cyber deception, infine, sono quelle della Threat Intelligence Collection e della rilevazione. La prima, portata avanti attraverso IoC e TTP (strumenti, tecniche e procedure), appresi dall’avversario per uso difensivo. Una volta identificato l’aggressore, si attacca per capire come reagisce e, di conseguenza, si acquisiscono elementi fondamentali per ingannarlo. La seconda prevede il sondaggio e l’analisi dei network per capire chi sono stati gli attori malevoli sconosciuti del passato e apprendere il più possibile su di loro. Le tecniche utilizzate per rilevarli sono trappole d’accesso, la messa in opera di operazioni “tripwire” e il collocamento di “mine” che rilevino la sua presenza.

Un articolo del New York Times sul dossier Farewell