A cura di Antonio Madoglio, SE Manager, Fortinet Italia

Fortinet collabora con INTERPOL da oltre due anni per l’identificazione e la riduzione del cybercrime e oggi l’organizzazione ha presentato i risultati di un’iniziativa – svolta nella regione ASEAN e basata sulla threat intelligence fornita da Fortinet e altre realtà pubbliche e private che operano nel settore della sicurezza – che ha portato all’individuazione di quasi 9.000 server Command and Control (C2) e centinaia di siti compromessi, compresi alcuni portali governativi.

Le aziende continuano a dover far fronte a minacce in evoluzione, una superficie di attacco in espansione e a una mancanza sempre più sentita di skill specifiche. L’applicazione delle leggi, in particolare, può essere anche limitata dal fatto che il cybercrime spesso attraversa confini politici e giurisdizionali. Un’intelligence concreta con visibilità globale è il modo migliore per passare dall’essere reattivi a proattivi al fine di catturare questi sfuggenti cybercriminali.

Nessuna organizzazione ha una visibilità completa sul panorama della security, ed è per questo motivo che la condivisone e la collaborazione tra realtà pubbliche e private, come quella svolta da INTERPOL, è fondamentale. Quest’ultima iniziativa, gestita da INTERPOL Global Complex for Innovation (IGCI), ha visto la collaborazione di investigatori in Indonesia, Malasia, Myanmar, Filippine, Singapore, Tailandia e Vietnam per condividere informazioni sul cybercrime in ogni paese. Altri dati di cyber intelligence sono stati forniti dalla Cina. In aggiunta, esperti di aziende private, tra cui Fortinet, hanno preso parte a incontri pre-operativi per mettere a punto pacchetti di informazioni derivanti dai più recenti report di threat intelligence che sono risultati critici per il successo dell’operazione.

La prossima sfida è il contesto, ed è per questo che l’ultima operazione è così significativa. E’ stato fondamentale inserire le informazioni fornite dai diversi player in un contesto più ampio che teneva conto di chi, che cosa, quando, dove e come. Affinché la condivisione dell’intelligence sia efficace, deve soddisfare tre requisiti:

  1. I dati di threat intelligence devo essere validi

I threat feed disponibili sono molteplici, ma gran parte delle informazioni sono ridondanti, fuori contesto e spesso devono essere pesantemente elaborate. Questo è uno dei motivi per cui INTERPOL sceglie con cura le organizzazioni con cui collabora.

  1. Il valore dell’intelligence dipende dalla capacità di utilizzarla

I dati sulle minacce devono essere integrati e correlati per dar vita a un’intelligence utile che deve poi essere convertita in policy e alert al fine di identificare le minacce in tempo reale.

  1. La sicurezza deve operare alla stessa velocità dei cybercriminali

Molti attacchi sono caratterizzati da un ciclo estremamente breve. Spostano dispositivi, cambiano indirizzi, usano attacchi polimorfi, modificano i parametri, e si avvalgono di sofisticate tecniche di evasione al fine di contrastare le forze dell’ordine. La threat intelligence deve quindi essere accurata e utilizzabile, ma anche resa disponibile il più velocemente possibile.

Fortinet ha fornito a INTERPOL report specifici sulla regione che dettagliavano i principali malware e threat domain, insieme ad analisi tattiche di sistemi compromessi e attribuzione di threat actor. Questi report contenevano anche dati sui trend, con modelli predittivi che evidenziavano le strategie malware più probabili in una determinata regione. Combinati con quelli di altre realtà, i rapporti sono stati utilizzati per proteggere in modo proattivo le organizzazioni, e tracciare gli attacchi esistenti alla sorgente.

L’analisi ha identificato quasi 270 siti infetti da codice malware che sfruttava una vulnerabilità nel design dell’applicazione web. Tra questi vi erano diversi siti governativi, che potevano contenere i dati personali dei cittadini. Sono stati identificati anche numerosi operatori di siti di phishing.

Impressionante il numero di server command and control (C2) identificati: 8.800 server C2 attivi in 8 paesi utilizzati per distribuire malware, compresi quelli progettati appositamente per colpire istituzioni finanziarie, diffondere ransomware, lanciare attacchi Distributed Denial of Service (DDoS) e distribuire spam. Le investigazioni sono ancora in corso.

Queste collaborazioni favoriscono anche lo sviluppo di un framework cooperativo che permetterà alle forze dell’ordine non solo di contrastare, ma anche di attaccare il cybercrime. Fortinet è impegnata nella collaborazione con INTERPOL e partecipa alla creazione di un framework per un approccio proattivo e coordinato al panorama delle minacce globali.