Sophos non è il primo fornitore di cybersicurezza a scoprire che i suoi prodotti perimetrali sono l’obiettivo di un attacco sostenuto da parte di uno Stato nazionale. Se c’è qualcosa di speciale nella serie di eventi che riveliamo in “Pacific Rim: Inside the Counter-Offensive-The TTPs Used to Neutralize China-Based Threats”, è che stiamo riportando questa attività di caccia/contro-caccia nel modo più completo possibile, così da illustrare con precisione ciò che il settore della sicurezza si trova ad affrontare in termini di determinazione e aggressività di certi attaccanti. Grazie ad essa, abbiamo imparato molto sulle contromisure. Questo saggio presenta tre serie di osservazioni che altri difensori possono applicare.
Per aumentare i costi dell’avversario, è necessario ridurne le capacità. Sophos è abbastanza grande da poter attingere a importanti risorse in caso di emergenza, ma è anche abbastanza agile da poter rispondere rapidamente e in modo creativo per mettere in difficoltà l’attaccante. In questa situazione, il vantaggio è stato quello di avere un ambiente relativamente prevedibile come i firewall. Rispetto all’attività sugli endpoint generici, gli aggressori devono lavorare di più per essere silenziosi e non invadenti sui firewall. Se si confronta questo aspetto con l’alto valore generale dei firewall – potenti dispositivi Linux, sempre accesi, con una buona connettività, situati per loro natura in luoghi fidati della rete – si capisce perché un aggressore vorrebbe trovarsi lì e perché siamo stati in grado di affrontarlo efficacemente su quel campo.
Certo, ci sono stati alcuni episodi straordinari (e carichi di tensione) quando abbiamo osservato gli aggressori evolvere le proprie capacità creative; ci viene in mente il bootkit UEFI, che crediamo sia il primo caso osservato di bootkit utilizzato per la persistenza sui firewall. Tuttavia, questo tipo di creatività ha un costo elevato. Un mondo in cui gli aggressori sono costretti a trovare il modo di restare in memoria e a usare i bootkit UEFI per la persistenza è un mondo in cui la maggior parte dei difensori direbbe, ancora una volta, di avere un vantaggio di campo. (E poi possono continuare a sviluppare processi di rilevamento e risposta a queste tattiche molto specifiche).
Leggi tutto l’articolo.
