L’Analisi delle ipotesi concorrenti (ACH) è una metodologia sviluppata da Richard Heuer nel suo libro “Psicologia dell’analisi dell’intelligence”, un processo originariamente sviluppato per la Central Intelligence Agency (CIA) per affrontare il bias cognitivo (cognitive bias) e valutare efficacemente situazioni complesse e incerte. Questo metodo aiuta gli analisti a migliorare la valutazione delle informazioni e ad evitare il bias cognitivo. Il bias cognitivo è la tendenza a cercare, interpretare e ricordare le informazioni in modo da confermare le nostre convinzioni o ipotesi preesistenti. Ciò significa che possiamo prestare maggiore attenzione alle prove che supportano ciò che già crediamo e ignorare le prove che contraddicono le nostre convinzioni.
L’ACH spinge l’analista a considerare contemporaneamente tutte le ipotesi possibili, valutando i dati o le prove rispetto a ciascuna di esse. L’obiettivo è confutare le ipotesi piuttosto che confermarle e, grazie a questo processo, gli analisti possono valutare in modo più oggettivo quali ipotesi sono più coerenti con le evidenze analizzate (attenzione, non la più probabile!).
Ecco una rappresentazione tabellare di una matrice SACH (Structure Analysis of Competing Hypotheses):
In questa matrice, ogni colonna riporta la sua ipotesi e ogni riga l’evidenza. L’intersezione di un’ipotesi e di una prova è contrassegnata con “+” se l’evidenza è coerente/supporta l’ipotesi, “-” se l’evidenza contraddice l’ipotesi e “0” se la l’evidenza è neutra o irrilevante per l’ipotesi.
Ora che abbiamo trattato le basi dell’ACH, approfondiamo i miglioramenti che possono rendere questa metodologia ancora più efficace nel campo della cybersecurity.
La sicurezza informatica non è più solo un problema tecnologico. Nell’attuale panorama digitale, gli incidenti di sicurezza sono intrinsecamente legati alla vitalità delle operazioni aziendali. Le azioni intraprese nelle prime ore cruciali di un incidente di sicurezza, prima ancora che ne siano chiari la portata e l’impatto, possono influenzare profondamente la continuità aziendale. Le decisioni di contenimento prese in queste prime fasi possono avere implicazioni di vasta portata. Questo articolo si propone di introdurre una serie di regole migliorate per aumentare l’efficacia dell’analisi strutturata delle ipotesi concorrenti (SACH) nel contesto della sicurezza informatica. Fornendo un solido quadro analitico per il processo decisionale, questi miglioramenti mirano ad aiutare le aziende a navigare con maggior successo nel difficile terreno delle minacce alla sicurezza informatica.
Possiamo migliorare con 5 regole l’analisi della struttura delle ipotesi concorrenti (SACH):
Assicurare che tutte le ipotesi siano tentativi di rispondere alla stessa domanda. In altre parole, il problema o la domanda da indagare deve essere ben definita e tutte le ipotesi generate devono essere in linea con essa. Questo chiarimento snellirà il processo di analisi, riducendo il rumore di fondo e garantendo un’indagine mirata. Le domande chiuse possono aiutare a confermare dettagli specifici, mentre quelle aperte possono incoraggiare un pensiero più ampio e scoprire nuove prospettive.
Utilizzare un ordine sistematico delle ipotesi, dalla negazione all’affermazione della domanda centrale. Iniziare con le ipotesi che negano la domanda incoraggia gli analisti a considerare le evidenze di inganno (deception), attenuando il bias cognitivo e favorendo un’indagine equilibrata. Questo spettro di ipotesi fornisce una struttura per il confronto e garantisce una considerazione completa di tutte le possibilità, compreso l’inganno. Quando si formulano le ipotesi, si può iniziare con una domanda chiusa (ad esempio, “L’attore della minaccia X è responsabile dell’attacco?”), mentre l’utilizzo di domande aperte permette di esplorare le prove e le implicazioni (ad esempio, “Quali tattiche, tecniche e procedure usa di solito l’attore della minaccia X e come si allineano con le caratteristiche dell’attacco?”).
Organizzare le prove in ordine cronologico. La costruzione di una linea temporale e la collocazione delle prove all’interno di essa possono rivelare schemi, tendenze e relazioni causali che altrimenti potrebbero passare inosservate. Un approccio basato sulla cronologia offre una visualizzazione più chiara degli eventi e aiuta a comprendere come certe ipotesi possano essere più plausibili di altre a causa della sequenza degli eventi.
Stabilire che tutte le evidenze devono essere classificate come “verificate” o “non verificate”. La verifica è essenziale nell’analisi; questa regola sottolinea l’importanza di distinguere le evidenze confermate da fonti affidabili (“verificate”) dalle informazioni prive di convalida definitiva (“non verificate”). In particolare, ciò non suggerisce che le prove non verificate debbano essere ignorate, ma indica semplicemente che tali prove dovrebbero avere un peso minore nell’analisi.
Assegnare un punteggio più alto ai dati verificati. Questa regola garantisce che i dati verificati, data la loro natura confermata, abbiano più peso nell’analisi. Una proposta iniziale potrebbe essere un semplice sistema di punteggio, come 2 punti per le evidenze verificate e 1 punto per quelle non verificate. Il sistema di punteggio specifico dovrebbe essere adattato in base al contesto dell’analisi, con la consapevolezza che le evidenze verificate hanno un peso analitico maggiore.
Lo stato di verifica di ogni evidenza è elencato accanto all’etichetta della prova nella prima colonna (V per verificata, U per non verificata).
L’intersezione tra un’ipotesi e un’evidenza è contrassegnata con “+” se l’evidenza è coerente con l’ipotesi, “-” se non coerente con l’ipotesi e “0” se è neutra o irrilevante per l’ipotesi.
In sintesi, questi miglioramenti mirano a migliorare il processo ACH nell’analisi della cybersecurity. Garantendo ipotesi uniformi, classificando e pesando le evidenze in base al loro stato di verifica, organizzando i dati in una cronologia e ordinando sistematicamente le ipotesi dalla negazione all’affermazione, queste regole promuovono un’analisi completa ed equilibrata. Queste regole sono in linea con i principi fondamentali dell’ACH – evitare il bias cognitivo, ricercare evidenze verificate e considerare tutte le ipotesi ragionevoli – e aggiungono specificità e struttura per migliorare il processo. Con l’evoluzione delle minacce informatiche, devono evolversi anche i nostri metodi per comprenderle.
Ecco alcune aree della sicurezza informatica in cui questa metodo potrebbe essere applicato:
Gli analisti delle minacce hanno spesso a che fare con una grande quantità di informazioni incerte e incomplete. Hanno bisogno di capire le motivazioni, le capacità e le tattiche dei potenziali attori delle minacce. Questo metodo potrebbe aiutare gli analisti delle minacce a valutare sistematicamente diverse ipotesi sull’identità, le intenzioni o le prossime mosse di un attore minaccioso.
Quando si verifica un incidente di sicurezza, gli analisti di incident response devono determinare rapidamente cosa è successo, come è successo e chi è responsabile. Con questo metodo, gli analisti possono tracciare diverse ipotesi sull’incidente (ad esempio, si è trattato di un attacco esterno o di una minaccia interna? Si è trattato di un attacco mirato o di una minaccia interna?) e valutare le prove che supportano o confutano ciascuna di esse.
Gli analisti SOC monitorano e analizzano l’attività di reti, server, endpoint, database, applicazioni, siti web e altri sistemi tecnologici per identificare eventuali segnali di incidenti di sicurezza. Spesso si trovano di fronte a un volume elevato di avvisi e devono determinare quali rappresentano minacce reali. Questo metodo potrebbe aiutare gli analisti SOC a soppesare le prove relative a ciascun avviso e a determinare la spiegazione più coerente con le evidenze a disposizione.
Nella digital forensics, gli analisti cercano di scoprire i dettagli dei crimini elettronici, come hacking, frodi, cyberstalking, ecc. Con questo metodo, gli analisti possono confrontare e valutare diverse ipotesi su come è stato commesso un crimine e su chi ne è responsabile.