Un attacco APT (Advanced Persistent Threat) entra nel tuo ambiente informatico e rimane per un po’ per fare i suoi danni. Una volta entrato, l’attaccante remoto manipola il codice della minaccia per sondare e quindi compromettere l’ambiente, ad esempio divulgando dati sensibili o rubando proprieta intellettuale.
L’installazione di software antivirus non e una protezione sufficiente contro gli attacchi APT. Contrastare questo tipo di minaccia richiede una combinazione di processi e strumenti. Ecco i dettagli:
Come funziona un attacco avanzato con minacce persistenti?
Due tratti distintivi degli attacchi APT sono la persistenza sopra menzionata, insieme alla furtivita una volta dentro.
In questo contesto, “persistenza” ha due significati. In primo luogo, l’attaccante e molto insistente nel compromettere il bersaglio. Proveranno in qualsiasi modo per entrare. In secondo luogo, l’attaccante esplorera costantemente per vedere se puo compromettere ancora di piu. E questo secondo aspetto che distingue APT da altri tipi di attacchi informatici.
Potresti ricordare la violazione dei dati Target di alto profilo da parte dell’attacco dello scraper RAM quasi un decennio fa. Un cattivo attore ha ottenuto l’accesso all’ambiente di Target tramite un fornitore compromesso. Successivamente, la minaccia ha sondato e trovato la sua strada nei dispositivi POS (point-of-sale) di Target (“avanzati”). E rimasto in circolazione per circa tre settimane (“persistente”), rubando informazioni su 40 milioni di carte di credito.
Fasi di un attacco di minaccia persistente avanzato
Gli attacchi di minaccia persistente piu avanzati, inclusa questa violazione del Target, si verificano in tre fasi distinte: infiltrazione, attivita furtiva prolungata ed esfiltrazione. Le organizzazioni possono fermare un attacco APT in una qualsiasi di queste fasi.
Infiltrazione
Prevenire l’infiltrazione iniziale richiede un forte controllo degli accessi. Nel caso di Target, l’attaccante ha impersonato un fornitore valido rubando le sue credenziali di accesso al portale del fornitore di Target. Sebbene pratiche come l’autenticazione a piu fattori aiutino a ridurre questo tipo di rischio, ci sono una miriade di modi in cui un utente malintenzionato puo ottenere un punto d’appoggio iniziale. Pertanto, e fondamentale fare l’inventario della sicurezza della rete, delle applicazioni e degli endpoint. Dove hai delle vulnerabilita? Dove sei esposto?
Attivita furtiva prolungata
Una volta dentro, APT di solito conduce attivita furtive all’interno dell’ambiente, come sondaggi, installazione di malware e cosi via. Le organizzazioni hanno bisogno di processi e strumenti per rilevare e fermare attivita e comportamenti anomali. Il rilevamento delle anomalie inizia con la conoscenza delle attivita “normali” o di base. Una volta che hai una linea di base, usa strumenti come IDS (sistema di rilevamento delle intrusioni), DAM (monitoraggio dell’attivita del database), FIM (monitoraggio dell’integrita dei file) e le soluzioni di gestione degli eventi e delle informazioni sulla sicurezza (SIEM) per rilevare e rispondere alla minaccia.
Inoltre, le aziende devono essere vigili sul monitoraggio del traffico di rete che entra nel loro ambiente tramite il firewall e l’IDS. Poiche questo accesso remoto puo essere avviato all’interno dell’azienda utilizzando endpoint e malware compromessi, e fondamentale monitorare le connessioni sia in entrata che in uscita.
Esfiltrazione
Infine, APT di solito culmina nel causare danni come il furto di dati riservati o la proprieta intellettuale. Per mitigare il rischio di una violazione dei dati, e necessario sapere cosa e dove si trovano i dati sensibili e le risorse proprietarie. Una volta che sai cosa proteggere, usa strumenti come DLP (prevenzione della perdita di dati) e sicurezza degli endpoint per prevenire l’esfiltrazione.
Come prevenire un attacco APT
La mitigazione dei rischi derivanti dall’APT richiede prima di tutto la comprensione dell’ambiente (ovvero la linea di base) per rilevare e rispondere alle anomalie. Cio richiede pianificazione (identificazione di dati sensibili, isolamento delle risorse, raccolta di linee di base e cosi via), formazione (come esercizi di risposta agli incidenti) e monitoraggio continuo. Richiede inoltre l’applicazione delle migliori pratiche di sicurezza (ad esempio, difesa in profondita, separazione dei compiti, privilegio minimo e altro).
Ancora piu importante, poiche una minaccia potrebbe gia essere all’interno, le aziende devono implementare una mentalita Zero Trust. Non fidarti di utenti, server e applicazioni solo perche sono “dentro” la rete dell’organizzazione. E necessario eseguire il controllo dell’accesso per identificare il richiedente, indipendentemente da dove si trovi.
L’implementazione di una strategia Zero Trust e la mitigazione dei rischi degli attacchi APT richiedono il pieno supporto di CIO e leader aziendali, oltre a denaro, persone e tempo.
Ferma un attacco APT prima che inizi
Avete pratiche e strumenti validi in queste cinque aree?
- Protezione avanzata della rete e dell’host per ridurre l’esposizione delle risorse alle minacce
- Gestione delle vulnerabilita per ridurre i punti deboli della sicurezza nei servizi esposti
- Firewall di rete e di applicazione per impedire l’ingresso di traffico indesiderato
- Forte controllo degli accessi per prevenire la rappresentazione e lo spoofing
- Sicurezza degli endpoint per evitare che i dispositivi degli utenti finali compromessi diventino punti di accesso per gli aggressori
Rileva un attacco APT in corso
APT si sforzera di essere furtivo, ma alla fine l’obiettivo e compromettere la sicurezza. Rilevare e rispondere a questo comportamento furtivo ma anomalo e la chiave per la prevenzione. Esempi di strumenti di controllo della sicurezza e migliori pratiche includono:
- Sistema di prevenzione delle intrusioni basato su rete e host per rilevare comportamenti anomali
- File Integrity Monitoring (FIN) per rilevare l’accesso e la manomissione relativi ai file critici
- Database Activity Monitoring (DAM) per rilevare query e attivita insolite del database
- Security Information and Event Management (SIEM) per raccogliere, correlare e analizzare i registri quasi in tempo reale per identificare tutto cio che si discosta dalla linea di base
- Endpoint Detection and Response (EDR) per rilevare e rispondere ad attivita dannose dall’endpoint
Mitiga il danno di un attacco APT
Una minaccia, in generale, cerca di compromettere la riservatezza, l’integrita e la disponibilita (CIA) dei tuoi sistemi. Esempi importanti di attacchi APT hanno rubato dati sensibili (es. Target Data Breach, Panama Papers Data Breach) e manomesso sistemi e dati (es. Stuxnet). Per fermare l’esfiltrazione, le organizzazioni hanno bisogno di strumenti di controllo della sicurezza e best practice come:
- Prevenzione della perdita di dati (DLP) con Endpoint Security per impedire che i dati sensibili escano dalla rete o dai dispositivi degli utenti finali
- Forte crittografia dei dati per ridurre l’utilita dei dati anche se vengono rubati
- Soluzioni di Data Rights Management (DRM) per controllare l’accesso, l’utilizzo e tenere traccia dei dati una volta “distribuiti” all’attaccante
Combattere un attacco APT
Se la tua organizzazione sta gia soffrendo di un attacco di minaccia persistente avanzato, devi eliminare la minaccia dal tuo ambiente. Supponiamo di scoprire che milioni di dati sono stati violati. Questo avviera la risposta.
Secondo, ora che sai cosa hai perso, devi fermare la fuga di notizie. Lo fai isolando il sistema e gli account utente che potrebbero causare la perdita, oltre a stabilire regole rigorose per il tuo DLP ed EDR. Monitorare attentamente che non si verifichino perdite.
Successivamente, puoi iniziare il lavoro forense per capire tutti i componenti e le modifiche che l’APT potrebbe aver messo in atto all’interno del tuo ambiente a tua insaputa. Nel caso di Target, il malintenzionato avrebbe installato malware nei sistemi POS, creato condivisioni di file e inserito script che periodicamente esfiltravano i dati su Internet.