Si chiama “botnet hunting” ed è l’insieme di operazioni che, ventiquattrore al giorno, interi team di esperti compiono per monitorare i canali online utilizzati dai cybercriminali. Sono i guardiani della Rete, quelli che per primi individuano attacchi come WannaCry e NotPetya, per citare i due ransomware che nelle ultime settimane hanno preso il controllo di decine di migliaia di Pc in tutto il mondo. Un lavoro incredibile e indispensabile, anche alla luce di quelli che sono i numeri.

«Al giorno d’oggi – racconta al Sole24ORE Giampaolo Dedola, Security Researcher di Kaspersky – essere un “cacciatore di malware” significa soprattutto identificare i codici malevoli che si distinguono per caratteristiche, per target attaccato o per livello di propagazione». Ogni giorno, secondo Dedola, vengono identificati «323mila nuovi sample» e «umanamente non è possibile analizzarli uno ad uno». Per questo motivo «utilizziamo strumenti che automaticamente collezionano i campioni, effettuano un primo livello di analisi, categorizzano le informazioni e le salvano in database utilizzati dai ricercatori per identificare le minacce interessanti». Il ricercatore, dunque, si trova davanti ad un mare di dati, ma «è consapevole del fatto che tra questi si celano alcuni malware particolarmente dannosi, che sono riusciti ad evadere i controlli automatici e che cercano di passare inosservati».

In questa fase viene utilizzata l’esperienza dell’analista. «Si utilizzano le informazioni ottenute dalle precedenti analisi, gli indicatori di compromissione, le regole Yara per cercare i sample di interesse. Le informazioni servono a filtrare il mare di dati e trovare codici sospetti.

Infine si fanno attività di approfondimento, si analizzano manualmente le evidenze, tramite analisi statica, attività di reverse engineering, analisi dump di traffico, etc. L’obiettivo – conclude Dedola – è comprendere cosa abbiamo davanti».

Domenico Cavaliere, CEO di Emaze, azienda italiana con una settantina di dipendenti che fa proprio del BotnetHunting il sul core business, è convinto che il settore debba essere suddiviso in due grandi aree: i grossi clienti e le piccole e medie imprese. I primi (tra cui banche, telco, energetiche, ferrovie) «dispongono di grossi Security Operation Center e utilizzano sistemi per raccogliere informazioni. Gli analisti degli eventi di sicurezza verificano se l’evento segnalato è un falso positivo oppure fanno una escalation verso altri gruppi che conducono analisi approfondite. Nei casi più seri, l’evento viene classificato e gestito come incidente. Un incidente può essere ad esempio un attacco DDOS o un data breach. Gli eventi – afferma Cavaliere – sono numerosissimi (250-2500 al secondo, in base alle dimensioni dell’azienda), gli alert sono comunque decine al giorno e gli incidenti o i mancati incidenti sono decine alla settimana».

La gestione dell’incidente, secondo il Ceo di Emaze «prevede l’attivazione di procedure diverse per cliente e per gravità (dalla messa in quarantena di sistemi infetti alla comunicazione interna e alla gestione della crisi). La nuova normativa europea sulla privacy GDPR richiede che il data breach venga comunicato senza indugio agli enti preposti. Sarebbe molto utile condividere queste informazioni, ma oggi non è prassi comune. La Bce ha imposto a un gruppo di banche di riportare le informazioni sugli eventi di sicurezza e svolge un ruolo di informazione».

La storia cambia molto quando si è davanti alle Pmi. Secondo Cavaliere «non hanno la tecnologia, gli specialisti e i processi per difendersi. Non investono nell’installazione di IDS (anche open source) e nel monitoraggio (un investimento da 50mila euro l’anno). Talvolta trascurano anche l’aggiornamento dei sistemi che è una misura di “igiene cyber” e avrebbe evitato molti problemi emersi di recente». Il problema, secondo l’ad di Emaze «è culturale prima che economico. Se le aziende facessero questo percorso potrebbero anche accedere a polizze assicurative di protezione del rischio cyber, che non vengono sottoscritte dalle compagnie in assenza di misure di protezione».

Tenere una rete aziendale sotto controllo è di primaria importanza. Ma come spiegano da Accenture Security, le aziende «sono molto focalizzate sul rispetto delle compliance». Oggi, tuttavia, «questa è da considerarsi condizione necessaria ma non sufficiente. Data la velocità dei cambiamenti tecnologici è cruciale che il personale dedicato all’IT conosca in profondità i propri sistemi e che sia aggiornato rispetto alle tecnologie emergenti. È necessario le aziende investano di più è la cultura interna del rischio informatico: bisogna coinvolgere i dipendenti, spiegare loro quanto il rischio informatico possa danneggiare l’azienda e spingerli verso comportamenti virtuosi».

Secondo gli esperti di Accenture, «esistono diverse modalità per portare un attacco, alcuni sono silenti altri evidenti. Per questo è fondamentale avere in azienda personale dedicato ed adeguatamente formato, lo skill shortage è purtroppo in questo settore un elemento mondiale. Il mercato però iinzia a dare segnali incoraggianti in questa direzione: si assiste ad una progressiva crescita degli investimenti in tecnologie come il Machine learning, Deep learning cognitive con l’obiettivo di fornire un ulteriore supporto al lavoro degli analisti dedicati alla sicurezza». Per quelli di Accenture, oggi lo scenario è totalmente cambiato: «possiamo dire che esistono due categorie di aziende: quelle che sono state violate e quelle che ancora non lo sanno. In generale è bene arrivare preparati a una “eventualità” del genere e comunque chiamare un Incident Response team prima di operare qualunque tipo di azione».