{"id":14604,"date":"2023-12-11T07:00:00","date_gmt":"2023-12-11T06:00:00","guid":{"rendered":"https:\/\/www.cyberfero.com\/?p=14604"},"modified":"2023-11-29T10:48:28","modified_gmt":"2023-11-29T09:48:28","slug":"left-of-boom-e-right-of-boom-avere-una-strategia-vincente","status":"publish","type":"post","link":"https:\/\/www.cyberfero.com\/it\/left-of-boom-e-right-of-boom-avere-una-strategia-vincente\/","title":{"rendered":"“Left of boom” e “right of boom”: avere una strategia vincente"},"content":{"rendered":"\n

<\/path><\/svg><\/span><\/span>Tempo di lettura stimato: <\/span>7<\/span> minuti<\/span><\/p>\n\n\n\n

Quando parliamo di “left of boom” o “right of boom” ci riferiamo ad un concetto che all\u2019apparenza pu\u00f2 sembrare superficiale. Invece, \u00e8 un potente strumento che offre la possibilit\u00e0 di analizzare i conflitti di sicurezza sia da un punto di vista offensivo<\/strong> che da uno difensivo<\/strong>. In una ipotetica linea temporale di un attacco, ci\u00f2 che si trova alla sua sinistra (left of boom) si riferisce a quello che accade prima. Analogamente, ci\u00f2 che sta alla destra, \u00e8 quello che avviene dopo.<\/p>\n\n\n\n

Nel linguaggio comune molto spesso anzich\u00e9 “boom” si utilizza il termine “bang”, ma il significato resta comunque invariato. Si tratta, in sostanza, dell’evento stesso intorno al quale si analizza il periodo precedente e successivo.<\/p>\n\n\n\n

Quindi, “left of boom” \u00e8 l’insieme di eventi che si verificano prima<\/em> dell’attacco<\/strong>. “Right of boom”, invece, \u00e8 l’insieme di eventi che seguono il “boom”.<\/strong> Questa \u00e8 la differenza sostanziale tra i due termini. Se le azioni difensive riescono a rilevare gli eventi nel periodo “left of boom”, \u00e8 possibile trovare e adottare soluzioni per prevedere quando<\/em> accadr\u00e0 il “boom”. <\/p>\n\n\n\n

\"\"<\/a>
Rappresentazione visiva della timeline<\/em>, dell’evento (Boom) e delle azioni o strumenti a destra e sinistra di esso.<\/figcaption><\/figure>\n\n\n\n

Per una persona inesperta nell’ambito della sicurezza informatica, questi concetti riguardanti la linea temporale di un attacco informatico potrebbero non essere nemmeno presi in considerazione, per questo motivo molte aziende preferiscono avvalersi di un SOCaaS.<\/strong><\/p>\n\n\n\n

Left of Boom<\/h2>\n\n\n\n

Un buon penetration tester<\/em> riesce a rilevare alcuni eventi di tipo “left of boom”, ma spesso si tralascia la raccolta di informazioni sulle minacce. Certe volte non \u00e8 in grado di distinguere tra loro concetti come “ingegneria della sicurezza, scoperta e risoluzione delle vulnerabilit\u00e0” da un “controllo di prevenzione automatizzato”.<\/p>\n\n\n\n

Non esiste in realt\u00e0 un vero strumento valido di prevenzione, pi\u00f9 che altro i controlli di sicurezza sono controlli di rilevamento. Alcuni di questi controlli integrano dei meccanismi di risposta automatizzati che impediscono il susseguirsi di spiacevoli eventi. <\/p>\n\n\n\n

Un’applicazione web che previene attacchi di tipo XSS o SQLI \u00e8 davvero utile per rilevare input non validi e risponde scartando il contenuto prima che l\u2019iniezione possa verificarsi.<\/p>\n\n\n\n

Un firewall progettato per bloccare le porte rileva semplicemente il traffico indesiderato in relazione al protocollo usato per la connessione e al numero della porta verso la quale si desidera accedere, interrompendo e reimpostando la richiesta di connessione.<\/p>\n\n\n\n

Questi esempi si legano bene al concetto di “right of boom”. I controlli di prevenzione rilevano il “boom”, l’evento, e rispondono immediatamente arginando i possibili danni. “Left of boom” e “right of boom” sono cos\u00ec vicini nella linea temporale che sono difficilmente distinguibili, fino a quando non si esegue un’analisi accurata degli eventi.<\/strong><\/p>\n\n\n\n

Questo \u00e8 uno dei motivi per cui i professionisti, nell\u2019ambito della sicurezza informatica, amano i controlli di prevenzione. Lavorano rapidamente per correggere gli errori prima che gli hacker riescano a raggiungere i loro obbiettivi, limitando i danni.<\/strong> <\/p>\n\n\n\n

Un SOCaaS in questi casi \u00e8 una delle soluzioni migliori da adottare per proteggere l\u2019integrit\u00e0 di un sistema informatico.<\/strong><\/p>\n\n\n\n

Right of Boom<\/h2>\n\n\n\n

Generalmente minore \u00e8 la distanza tra “right of boom” e il tempo di risposta ad una minaccia, minori sono le conseguenze provocate da un eventuale attacco informatico. Ovviamente questa \u00e8 solo una considerazione logica, non vale come regola assoluta.<\/p>\n\n\n\n

Per alcune violazioni, la linea temporale tra l’evento e l\u2019eliminazione completa della minaccia \u00e8 discutibile, poich\u00e9 il rilevamento \u00e8 avvenuto dopo che l\u2019hacker ha raggiunto il suo obbiettivo.<\/strong> Se gli hacker riescono ad infiltrarsi nel sistema ma vengono fermati in tempo, non arrecando nessun danno all\u2019infrastruttura. In questo secondo caso, quindi, non c’\u00e8 il “boom” di cui stiamo parlando.<\/p>\n\n\n\n

Un esempio di right of boom<\/h3>\n\n\n\n

Per spiegare meglio il concetto di “right of boom” potremmo prendere come esempio un comune “malware”. I malware generalmente vengono sviluppati per attaccare in massa molti dispositivi, senza tanta discrezione. Con “right of boom” ci riferiamo a quel periodo di tempo che \u00e8 passato da quando \u00e8 avvenuta l’infezione da parte del malware.<\/p>\n\n\n\n

Se hai letto gli altri articoli pubblicati da noi avrai appreso come gli hacker utilizzano queste tipologie di infezioni allo scopo di raccogliere informazioni sensibili<\/a>, che vengono rivendute ad un terzo soggetto. Se il “right of boom” \u00e8 pi\u00f9 breve del tempo che l\u2019hacker impiega per vendere queste informazioni, il danno pu\u00f2 essere contenuto.<\/strong><\/p>\n\n\n\n

I migliori sistemi di sicurezza riescono ad accorciare il tempo “right of boom” riuscendo a raccogliere informazioni sugli attaccanti nel “left of boom”. Ci si pu\u00f2 riuscire implementando delle contromisure in base al modello di minaccia. Questi strumenti permettono di scansionare intere infrastrutture, osservando i nuovi indicatori di minaccia giorni o addirittura settimane prima che gli attacchi si distribuiscano.<\/strong> <\/p>\n\n\n\n

Come abbiamo visto anche in altri articoli, non sempre gli attacchi si svolgono in breve tempo. \u00c8, anzi, pi\u00f9 probabile che gli hacker coinvolti agiscano in un primo, lento, periodo solo per raccogliere le informazioni necessario per sferrare l’attacco. Nel periodo “right of boom”, tornano utili strumenti come la cyber threat intelligence e un team di threat hunting<\/a>.<\/strong><\/p>\n\n\n\n

\"Left<\/a>
Una strategia che prende in considerazione anche ci\u00f2 che avviene prima di un attacco \u00e8 molto pi\u00f9 efficace.<\/figcaption><\/figure>\n\n\n\n

Perch\u00e9 sono importanti i concetti “Right e Left of boom”<\/h2>\n\n\n\n

Se ci mettessimo nell’ottica dell\u2019hacker, il concetto di “right of boom” e di “left of boom” pu\u00f2 aiutare a decidere quale schema d\u2019azione sia meglio intraprendere.<\/strong> <\/p>\n\n\n\n

Supponiamo il caso in cui un hacker abbia a disposizione due metodi per potersi introdurre in un sistema informatico. Se uno dei due metodi potrebbe venire rilevato nel periodo “left of boom”, invece l’altro nel “right of boom”, \u00e8 ovvio che l’hacker preferir\u00e0 il secondo.<\/strong> Infatti, questo garantirebbe maggiori probabilit\u00e0 di successo dell’attacco.<\/p>\n\n\n\n

Analogamente, tra due metodi che possono essere rilevati “right of boom” si sceglie quello che ha pi\u00f9 possibilit\u00e0 di venir scoperto in ritardo<\/em>. Pi\u00f9 tempo passa dal boom alla rilevazione, maggiori sono le probabilit\u00e0 di successo. Questo tipo di ragionamento \u00e8 importante per determinare quale tattica ha una linea temporale pi\u00f9 ampia.<\/strong><\/p>\n\n\n\n

Ragionare in quest\u2019ottica non \u00e8 affatto semplice,<\/strong> richiede delle conoscenze avanzate da parte dell’esperto di sicurezza. Richiede inoltre il dover prendere in considerazione tutte quelle ipotesi che potrebbero potenzialmente determinare il successo dell’hacker.<\/p>\n\n\n\n

Velocit\u00e0<\/h2>\n\n\n\n

Un hacker \u00e8 in grado di riuscire a prevedere se, utilizzando determinate tattiche, riuscirebbe a raggiungere l’obbiettivo pi\u00f9 velocemente rispetto all\u2019esperto che cerca di rilevare gli attacchi. Il \u201cboom\u201d \u00e8 il primo contatto, nell’insieme delle tattiche d\u2019intrusione utilizzate per accedere illegalmente ad un sistema informatico. Le rimanenti tattiche si collocano prima e dopo di esso.<\/p>\n\n\n\n

Velocit\u00e0 e furtivit\u00e0 solitamente si annullano a vicenda. Infatti, molto spesso si pu\u00f2 essere pi\u00f9 veloci sacrificando parte della furtivit\u00e0.<\/strong><\/p>\n\n\n\n

Velocit\u00e0 e furtivit\u00e0 non vanno molto d\u2019accordo quando parliamo di attacchi informatici. Essere furtivi, evitando di lasciare tracce, richiede pi\u00f9 attenzione e quindi inevitabilmente anche pi\u00f9 tempo.<\/strong> Tuttavia se lo scopo di un hacker non \u00e8 un singolo obbiettivo ma una serie di pi\u00f9 obbiettivi, l\u2019essere veloci pu\u00f2 rivelarsi efficace.<\/em> <\/p>\n\n\n\n

Per difendersi dagli attacchi, \u00e8 possibile raccogliere gli indicatori di compromissione (IOC) per rimediare alle vulnerabilit\u00e0 presenti e per introdurre nuovi controlli di rilevamento, rendendo pi\u00f9 sicuro il sistema informatico.<\/strong><\/p>\n\n\n\n

Conclusioni<\/h2>\n\n\n\n

\u00c8 importante conoscere il concetto di linea temporale<\/em> degli attacchi e abbiamo visto come i concetti di \u201cleft of boom\u201d e \u201cright of boom\u201d influenzino i meccanismi di risposta alle minacce di intrusione.<\/p>\n\n\n\n

I concetti che abbiamo visto in questo articolo, nonostante non aggiungano niente di concreto alle tecniche di difesa o di attacco di un sistema, offrono un punto di vista. Nella continua lotta tra hacker e operatori di sicurezza, avere una strategia vincente<\/em> significa non solo disporre di strumenti efficienti, ma anche pianificare in modo dettagliato ogni dettaglio, prima e dopo gli attacchi.<\/p>\n\n\n\n

Per sapere come un SOCaaS pu\u00f2 aiutarti a monitorare l’infrastruttura aziendale e cogliere gli indizi “left of boom”, non esitare a contattarci, sapremo rispondere a ogni domanda e ti offriremo una soluzione per la tua azienda.<\/p>\n\n\n\n

\n
Contattaci<\/a><\/div>\n<\/div>\n\n\n\n

Useful links:<\/span><\/strong><\/p>\n\n\n\n