Come prevenire le minacce persistenti avanzate (APT)?

Un attacco APT (Advanced Persistent Threat) è un tipo di attacco informatico in cui un aggressore ottiene l'accesso non autorizzato alla rete. L'aggressore procede quindi a invaderla e rimane nascosto per un lungo periodo di tempo. L'obiettivo di un attacco APT è rubare dati preziosi, effettuare ricognizioni delle minacce e interrompere la continuità operativa dell'organizzazione nel tempo. Gli attacchi APT sono ben congegnati e richiedono molto tempo per essere eseguiti.

Sono lanciati da gruppi di hacker esperti, attori statali e organizzazioni criminali organizzate. Questi gruppi sono noti per creare una solida base e poi muoversi lateralmente attraverso diverse parti delle reti per raccogliere informazioni. Gli attacchi APT sono difficili da contrastare perché rimangono ben nascosti e gli avversari possono adattare ed evolvere le loro tattiche con il passare del tempo, in modo da poter aggirare con successo le crescenti difese dell'organizzazione.

Che cos'è una minaccia persistente avanzata (APT)?

Gli attacchi Advanced Persistent Threat sono attacchi informatici basati sulla furtività e sono segreti. Rimangono nascosti fino a quando l'autore dell'attacco non ha raccolto informazioni sufficienti sulla vostra organizzazione. Il tempo che un avversario dedica alla ricerca della vostra infrastruttura è incredibile e voi non ve ne accorgerete nemmeno. Saprete che un attacco APT ha avuto successo quando non ve ne accorgerete nemmeno.

Gli attacchi APT sono pericolosi perché sono persistenti, il che significa che l'aggressore tiene sotto controllo l'obiettivo e cerca di comprometterlo in ogni modo possibile. L'aggressore esplorerà anche diversi angoli di sfruttamento e vedrà se il suo obiettivo può essere compromesso ulteriormente. Questo è ciò che rende gli attacchi APT diversi dai normali attacchi informatici.

Come funzionano gli APT?

Gli attacchi APT possono essere stratificati, il che li rende così unici rispetto ad altri tipi di attacchi informatici. L'autore dell'attacco adatterà le proprie tattiche per raccogliere informazioni sui propri obiettivi. Dedica molto tempo e grande attenzione alla pianificazione. In altri attacchi informatici, l'avversario potrebbe semplicemente inserire un malware generico e distribuirlo su larga scala, nella speranza di infettare il maggior numero possibile di sistemi. Ma un attacco APT può essere suddiviso in più livelli e fasi.

Potrebbe utilizzare diverse tecniche per introdursi nella rete e muoversi lateralmente al suo interno. L'autore dell'attacco potrebbe utilizzare una combinazione di ingegneria sociale e phishing per indurre gli utenti a rivelare le loro informazioni sensibili. Potrebbero sfruttare le vulnerabilità del software o dell'hardware e ottenere l'accesso alla rete.

Gli attacchi APT sono difficili da combattere perché sono adattivi, in continua evoluzione e possono assumere angolazioni diverse da quelle previste. Non hanno modelli prevedibili, quindi le organizzazioni devono implementare una strategia di sicurezza informatica forte e versatile. Questo è l'unico modo per imparare a prevenire gli attacchi APT e difendersi.

Come rilevare le minacce persistenti avanzate?

È possibile rilevare e imparare a prevenire gli attacchi APT prestando attenzione ai segnali di allarme. Ecco alcuni aspetti a cui prestare attenzione:

• Picchi significativi nel volume di traffico o flussi di dati insoliti dai dispositivi interni verso reti esterne e di altro tipo possono essere un segno che la comunicazione è stata compromessa. Se si accede ai propri account di lavoro al di fuori del normale orario di lavoro e si notano accessi sospetti, allora la risposta è chiara.
• Gli APT possono operare nascosti in background e continuare a raccogliere informazioni preziose.
• Un altro segnale è rappresentato dalle infezioni ricorrenti da malware che creano backdoor. Queste consentono agli autori degli APT di sfruttarle in futuro. Cercate le backdoor che propagano malware, in particolare quelle che continuano a tornare e a infiltrarsi nelle reti.
• Improvvisi pacchetti di dati con gigabyte di informazioni che compaiono in luoghi dove non dovrebbero essere presenti sono un chiaro indicatore di un attacco APT in arrivo. Se i dati sono compressi in formati archiviati che l'organizzazione normalmente non utilizza, è necessario iniziare a indagare.
• Se alcuni dipendenti della vostra organizzazione ricevono e-mail strane, è possibile che siano stati presi di mira. Le e-mail di spear phishing sono comunemente utilizzate dagli autori di attacchi APT e costituiscono la fase iniziale di intrusione, che è una delle componenti più critiche della catena di attacco APT.
• Gli autori degli attacchi dedicheranno anche molto tempo all'esame e all'analisi dei vostri endpoint. Potrebbero anche cercare vulnerabilità nelle vostre politiche di sicurezza e mirare a sfruttare eventuali difetti e punti deboli, ad esempio rendendo i vostri sistemi non conformi.

Best practice per prevenire e mitigare gli attacchi APT

Il primo passo per imparare a fermare un attacco APT è capire quali categorie di dati prende di mira e come possono essere classificate. Un attacco APT ruberà segretamente informazioni sulla vostra proprietà intellettuale, causerà crimini finanziari e furti e mirerà a distruggere la vostra organizzazione.

Gli hacktivisti mirano anche a esporre la vostra attività e a divulgare informazioni. Un attacco APT si articola in tre fasi: infiltrazione, escalation e movimento laterale, ed esfiltrazione. L'esfiltrazione dei dati è l'ultima fase, in cui gli hacker estraggono informazioni da documenti e dati senza essere scoperti. Potrebbero produrre molto rumore bianco utilizzando colli di bottiglia e tattiche di distrazione per sviare le vittime. Il tunneling DNS deve essere sottoposto a screening, rendendo difficile la sua individuazione.

Ecco le migliori pratiche per prevenire e mitigare gli attacchi APT:

• Iniziate monitorando i parametri di rete e utilizzate le migliori soluzioni di sicurezza degli endpoint. È necessario analizzare il traffico in entrata e in uscita per impedire la creazione di backdoor e bloccare i tentativi di estrazione dei dati rubati.
• Installate i firewall per applicazioni web più recenti, applicate le patch ai sistemi e manteneteli aggiornati. Ti aiuteranno a proteggere le superfici di attacco vulnerabili e a ridurre al minimo l'area di copertura.
• Quando si affrontano queste minacce, i firewall possono isolare gli attacchi a livello di applicazione e prevenire i tentativi di RFI e SQL injection. Gli strumenti di monitoraggio del traffico interno ti forniranno una visione granulare che può aiutarti a rilevare comportamenti anomali del traffico.
• Puoi monitorare l'accesso ai sistemi e impedire la condivisione di file sensibili. Rimuovi le shell backdoor e rileva i punti deboli della tua infrastruttura impedendo il passaggio delle richieste remote degli aggressori.
• L'allowlisting può aiutarti a gestire i tuoi domini e inserire nella whitelist le app che i tuoi utenti possono installare. È possibile ridurre il tasso di successo degli attacchi APT limitando le installazioni delle app e le altre superfici di attacco a loro disposizione. Tuttavia, questo metodo potrebbe non funzionare sempre perché anche i domini altamente affidabili possono essere compromessi.
• Gli aggressori potrebbero camuffare i file dannosi come software legittimo. Affinché l'allowlisting funzioni, è necessario applicare politiche di aggiornamento rigorose in modo che gli utenti siano consapevoli di utilizzare la versione più recente di tutte le app presenti nelle whitelist.

Esempi reali di attacchi APT

Ecco alcuni esempi reali di attacchi APT:

• Un classico esempio di attacco APT nel mondo reale è il caso della violazione dei dati di Target da parte dell'attacco RAM Scraper. È successo dieci anni fa, ma è diventato uno degli attacchi APT di maggior successo della storia. Il malintenzionato ha sfruttato un fornitore compromesso e ha ottenuto l'accesso non autorizzato all'ecosistema del bersaglio. È riuscito a penetrare nei dispositivi POS del bersaglio e si è agganciato alle sue reti per circa tre settimane, rubando informazioni sufficienti su 40 miliardi di carte di credito. Gli autori dell'attacco hanno trasferito silenziosamente quell'enorme quantità di dati in un'unica operazione.
• KasperSky ha scoperto nuovi attacchi APT lanciati da un sottogruppo di Lazarus. Gli autori dell'attacco hanno modificato un noto malware chiamato DTrack e hanno utilizzato un ransomware Maui completamente nuovo. Gli obiettivi erano organizzazioni di alto profilo in tutto il mondo. Il gruppo ha ampliato la propria area geografica di attacco e ha colpito organizzazioni pubbliche e sanitarie con il proprio ransomware. Il malware è stato distribuito ed eseguito come codice shell incorporato. Ha caricato un payload finale Windows In-Memory. DTrack ha raccolto i dati di sistema e la cronologia del browser tramite una serie di comandi Windows. Il tempo di permanenza all'interno delle reti bersaglio è durato mesi prima che venisse rilevata la sua attività.
• Il gruppo LuckyMouse ha utilizzato una variante trojan del servizio di messaggistica Mimi per ottenere un accesso backdoor alle organizzazioni. Ha preso di mira dispositivi macOS, Windows e Linux e ha dirottato almeno 13 aziende tra Taiwan e le Filippine.
• Anche un gruppo sostenuto dalla Russia, noto con il nome di SEABORGIUM, ha svolto attività di spionaggio in Europa per cinque anni. Ha utilizzato una serie di e-mail di phishing per infiltrarsi negli account OneDrive e LinkedIn.

Conclusione

Controlli di accesso rigorosi saranno la vostra prima difesa contro le minacce persistenti avanzate (APT). Dovreste anche utilizzare soluzioni di rilevamento e risposta degli endpoint (EDR) e soluzioni di rilevamento e risposta estese (XDR) per combattere le minacce APT e ottenere visibilità in tempo reale sulla vostra infrastruttura. I test di penetrazione e il monitoraggio del traffico sono fondamentali. Migliorando la capacità della vostra organizzazione di rilevare, reagire e difendersi dagli attacchi APT, potrete ridurre la probabilità di attacchi futuri. Considerate la sicurezza nel suo complesso e assicuratevi che siano in atto adeguate pratiche di cyber igiene, in modo che gli aggressori non possano approfittare della credulità dei vostri utenti né sfruttare potenziali difetti e vulnerabilità del sistema, poiché li individuate tempestivamente da soli.

"

FAQs