Regolamento DORA, LOTL e Threat Shifting – Implicazioni per la Cyber Security

Il white paper “Regolamento DORA, LOTL e Threat Shifting: Implicazioni per la Cyber Security” di Fabrizio Baiardi esplora le sfide e le implicazioni attuali delle intrusioni informatiche e delle tecniche avanzate di attacco. Le intrusioni stanno diventando sempre più rapide e difficili da rilevare, favorite da un ecosistema criminale che vende accessi iniziali e strumenti di attacco a prezzi ridotti sul dark web. Questo fenomeno è ulteriormente aggravato dalla strategia Living Off the Land (LOTL), che permette agli attaccanti di utilizzare strumenti già presenti nei sistemi target. Di conseguenza, le intrusioni possono essere accelerate, aumentando le probabilità di successo per gli aggressori.

La tecnica LOTL è particolarmente comune tra le Advanced Persistent Threats (APT) e gli attaccanti sponsorizzati dagli Stati, che sono in grado di adattare rapidamente le loro strategie per eludere le difese. Questo processo, noto come threat shifting, consente agli aggressori di cambiare comportamento e risorse per migliorare le loro probabilità di successo, rendendo la difesa contro tali attacchi sempre più complessa.

Parallelamente, il ransomware ha visto un’evoluzione significativa. Inizialmente, gli attacchi di ransomware si limitavano a cifrare i dati e a chiedere un riscatto per la chiave di decrittazione. Tuttavia, le tattiche si sono evolute in strategie di doppia e tripla estorsione, dove i dati vengono esfiltrati prima di essere cifrati. Gli attaccanti utilizzano quindi questi dati esfiltrati per fare pressione sulle vittime, minacciando di pubblicarli o venderli. Questo approccio non solo complica ulteriormente la situazione per le vittime, ma richiede anche competenze avanzate e l’uso di piattaforme nel dark web per gestire le trattative.

In questo contesto, il tempo medio per rilevare un’intrusione varia notevolmente, ma generalmente è misurato in settimane o giorni. La diffusione delle strategie LOTL complica ulteriormente la rilevazione delle intrusioni, poiché riduce il numero di eventi anomali che possono essere identificati nei log di sistema. Questo rende evidente la necessità di nuove metodologie di difesa.

Il Regolamento DORA risponde a queste esigenze prevedendo l’uso di Threat Lead Penetration Test (TLPT) per valutare la resilienza delle infrastrutture informatiche con una frequenza triennale. Tuttavia, data la rapida evoluzione delle minacce, questi test potrebbero diventare facilmente obsoleti se non accompagnati da una continua valutazione e aggiornamento delle contromisure.

L’automazione delle piattaforme per l’emulazione del comportamento delle minacce rappresenta una soluzione promettente, consentendo un assessment continuo delle infrastrutture e migliorando la gestione del rischio. L’uso di digital twins e dati sintetici può ulteriormente ridurre i tempi di assessment e aumentare la confidenza nei risultati, offrendo una risposta più dinamica alle minacce in evoluzione.

In conclusione, le intrusioni informatiche richiedono risposte che siano dinamiche e continuative. Il Regolamento DORA e le tecniche descritte nel white paper rappresentano passi importanti verso una migliore protezione delle infrastrutture critiche. Tuttavia, per affrontare efficacemente le minacce in costante evoluzione, è necessaria un’implementazione più agile e automatizzata, che possa adattarsi rapidamente ai cambiamenti nel panorama delle minacce come descritto dal prof. Baiardi.