La kill chain e il paradosso dei 15 giorni: gli attacchi si fermano all'inizio, o non si fermano
Un attacco informatico non è un lampo: è un processo che si sviluppa per giorni. In un caso reale, dal primo clic alla cifratura passarono quindici giorni — quindici occasioni perse per fermarlo.
Nel maggio 2017, in meno di ventiquattro ore, il ransomware WannaCry paralizzò oltre duecentomila computer in centocinquanta Paesi: ospedali britannici rinviarono interventi, fabbriche fermarono le linee. Da allora il crimine informatico si è industrializzato — con ruoli specializzati, broker di accessi, operatori, persino "assistenza clienti" per le vittime che pagano. Ma per difendersi conviene capire una cosa: un attacco non è un evento istantaneo, è un processo.
La catena, fase per fase
La cyber kill chain descrive i passi dell'aggressore: ricognizione, preparazione dell'arma, consegna (di solito un'email di phishing), exploit, persistenza, escalation dei privilegi, movimento laterale e infine impatto — esfiltrazione o cifratura. Il punto cruciale è che ogni fase è un'occasione per individuare e fermare l'intruso. In un caso reale documentato — una media azienda manifatturiera — dal primo clic alla cifratura passarono quindici giorni. Quindici giorni in cui l'attaccante esplorava la rete, mappava le credenziali, si stabilizzava. Quindici giorni in cui avrebbe potuto essere scoperto, e non lo fu. È il paradosso della kill chain: se non rilevi l'attacco nei primi giorni, di solito hai già perso.
Perché il backup non basta più
Il ransomware è cambiato. Dalla singola estorsione (cifrare i dati e chiedere un riscatto per la chiave) si è passati alla doppia (prima rubare i dati, poi cifrarli, e minacciare di pubblicarli) e alla tripla (aggiungere attacchi DDoS, contattare clienti e autorità). Conseguenza: il backup, da solo, non protegge più. Se i dati sono stati esfiltrati prima della cifratura, pagare per decifrarli non impedisce la loro pubblicazione. E i costi cascano: per una piccola azienda, tra produzione ferma, consulenti, penali e nuova infrastruttura, il conto supera facilmente le centinaia di migliaia di euro.
Dal castello allo zero trust — e alla responsabilità personale
Il vecchio modello "castello e fossato" — firewall a difesa del perimetro, fiducia totale all'interno — è obsoleto: i dipendenti lavorano da casa, i dati vivono nel cloud, i fornitori hanno accessi diretti. La risposta è lo zero trust: "mai fidarsi, sempre verificare", autenticazione e privilegi minimi per ogni accesso, indipendentemente da dove arrivi. E c'è una novità che cambia le priorità in consiglio di amministrazione: con la direttiva europea NIS2, la sicurezza non è più delegabile all'IT. I dirigenti devono approvare personalmente le misure di gestione del rischio e possono risponderne in proprio. La cybersecurity ha smesso di essere un problema tecnico: è diventata una disciplina organizzativa, e una responsabilità di chi guida.
Questo articolo riprende temi trattati in «Cybersecurity per Aziende» (Core Matrix Edizioni).
