Chissà se nel mondo che ci immaginiamo, quello iper-digitalizzato in cui la tecnologia governa ogni tipologia di rapporto e processo, anziché le serie-tv sui serial killer, a tenerci incollati allo strumento che probabilmente sostituirà le televisioni sarà il cybercrime.
D’altronde hanno riscosso un successo planetario serie distopiche sull’impatto della tecnologia, dell’intelligenza artificiale e di attacchi Cybercrime come Mr Robot, Black Mirror e Westorld, solo per citare i più famosi, anche se la lista è ben più lunga.
Se gli spettatori nei film e nelle serie crime di successo sono chiamati a fare le veci dell’ispettore, della vittima o del carnefice, in un futuro non troppo lontano dovranno orientare la scelta tra chi scaglia l’attacco e chi lo subisce.
Ma come sottolinea Marco Ramilli, CEO di Yoroy nel suo intervento al Privacy Week, la fisica Newtoniana non vale nel mondo digitale in quanto attaccante e vittima potrebbero non dover coesistere nello stesso spazio né tantomeno nello stesso luogo.
A cosa serve la Cyber Threat Attribution
Restando nel mondo del cinema e dello spettacolo, a furia di processi e lotta tra avvocati in tv, anche i più lontani dal settore giuridico avranno preso dimestichezza con il concetto di colpevolezza e attribuzione di responsabilità.
La Cyber Threat Attribution si può dunque paragonare al processo in cui il giudice dopo aver analizzato le prove decreta oltre ogni ragionevole dubbio la sentenza.
Nel mondo digitale però il grado di incertezza è (quasi) onnipresente e per questo motivo risulta necessario individuare e stabilire degli attribution level che partono dal sospetto e terminano con la certezza di attribuzione.
L’analisi dei dati: dal calcio alla cybersecurity
Se l’analisi dei dati prende piede - tramite la figura del Match Analyst - anche in un mondo dove i giudizi sono espressi in base alla direzione del pallone, figuriamoci se non può rappresentare la base di partenza per una corretta Cybersecurity.
In entrambi i casi, la buona difesa parte dall’individuazione dell’attaccante per poi passare all’identificazione di chi progetta l’attacco (la mente), chi lo sferra (utile soprattutto a livello di responsabilità legali) e con quale schema (che diventa la struttura in ambito digitale).
Le 6 fasi necessarie per completare la Cyber Threat Attribution
Va chiarito innanzitutto che l’attribuzione non rappresenta una scienza esatta, bensì una disciplina che aiuta a difendersi in maniera strutturata da un attacco.
Il processo di Cyber Threat Attribution si articola in 6 differenti fasi:
- Raccogliere i dati;
- Clusterizzare i dati, anche grazie all’intelligenza artificiale;
- Individuare la tipologia di attacco: criminale (richiesta di riscatto) oppure di state sponsored (distruzione di dati);
- Identificare e localizzare la provenienza dell’attacco;
- Ricerca degli errori da parte dell’attaccante;
- Associare l’errore alla categoria di attaccante.
Come è possibile associare l’errore commesso alla categoria di attaccante?
A differenza del mondo reale e fisico, sullo spazio cyber, non vige l’usanza di tornare sulla scena del delitto da parte dell’omicida.
E’ un’altra la similitudine che viene in soccorso del prezioso adagio “il bene trionfa sempre”: non esiste un reato perfetto.
A volte per scelta, dettato dall’ego di lasciare tracce per fornire gli strumenti per essere catturato, a volte per distrazione, fatto sta che gli attaccanti commettono sempre errori.
Il MICTIC facilita l’associazione tra errore e tipologia di attaccante
Come si può associare l’errore alla categoria di appartenenza dell’attaccante?
Esiste un modello che prende l’acronimo di MICTC:
- M (Malware): Analisi del malware;
- I (Infrastruttura): Analisi dell’infrastruttura;
- C (Controllo dei server): Analisi dei sistemi di controllo;
- T (Telemetria): analizzare l’orario di attacco per individuare il fuso orario, individuare la presenza di malware generati in maniera automatico per associare alla famiglia di malware;
- I (Intelligence): associazione dei dati alle analisi raccolte in precedenza;
- C (Cui Bono): chi potrebbe avere interesse reale nell’attacco.
