Advanced Persistent Threat

Con il termine Advanced Persistent Threat (APT), si indicano attacchi mirati su vasta scala, per periodi estesi e attraverso molteplici vettori, condotti da organizzazioni con elevate competenze e grandi risorse. I loro target sono generalmente Stati o grandi imprese, con l’obiettivo di sottrarre informazioni, brevetti, segreti industriali o militari, svolgere azioni di sabotaggio rivolte a infrastrutture industriali o critiche, in altri casi gli scopi sono puramente economici.
Anche se gli attacchi sono spesso rivolti alle grandi organizzazioni, aziende di ogni dimensione possono rappresentare un punto di accesso ideale per gli autori degli Advanced Persistent Threat, dal momento che generalmente sono inserite in una più ampia supply chain, ma con livelli di sicurezza spesso molto inferiori a quelli delle grandi imprese capo filiera. Nessun settore industriale risulta immune e l’essere stati colpiti una volta non mette al riparo da attacchi successivi, essendo sempre più frequente il re-targeting.

Come si comporta un Advanced Persistent Threat

Come si comporta un Advanced Persistent Threat

Comprendere il funzionamento di queste minacce, che possono restare attive per mesi quando non per anni, senza che l’organizzazione sotto attacco ne sia consapevole, è indispensabile per la difesa.
Il primo step consiste nella ricognizione iniziale, durante il quale gli autori di un Advanced Persistent Threat raccolgono il maggior numero di informazioni possibili sul target, come nomi, numeri di telefono, e-mail delle persone dell’organizzazione, organigrammi aziendali, informazioni sui sistemi informativi e sui partner esterni…
La fase successiva non prevede ancora la sottrazione di informazioni ma l’invio di link contenenti codice malevolo, attraverso spear phishing o altri vettori, come social network e messaggistica istantanea.
Una volta avventa la compromissione, l’obiettivo degli attaccanti è garantirsi un accesso futuro attraverso più punti all’interno del network dell’organizzazione, grazie all’inserimento di backdoor, le “porte di servizio” per accedere indisturbati da remoto ai sistemi. A partire da questa posizione, gli attaccanti cercheranno di ottenere maggiori privilegi per accedere a dati e sistemi più appetibili.
Se al primo tentativo gli attaccanti non ottengono le informazioni di valore che cercano, resteranno nel sistema senza farsi scoprire, per istallare malware su altri computer della rete, utilizzando le credenziali via via sottratte, e ottenere una grande quantità di accessi non autorizzati, finché avranno completato la missione, esfiltrando le informazioni ricercate e portandole a destinazione o compiendo gli atti di sabotaggio programmati.

Come riconoscere la presenza di Advanced Persistent Threat e combatterla

Come riconoscere la presenza di Advanced Persistent Threat e combatterla

Nonostante gli autori di un Advanced Persistent Threat facciano di tutto per restare nascosti, lasceranno inevitabilmente una serie di tracce nel loro percorso che, se riconosciute, consentiranno di individuare un attacco in fase di preparazione o in corso, avendo predisposto gli opportuni controlli preventivi.
Si possono evidenziare diversi segnali che singolarmente possono essere legittimi, ma nel loro insieme sono indicativi di un attacco Advanced Persistent Threat a cui l’IT aziendale deve prestare attenzione, come l’aumento dei log-on a tarda notte, flussi di informazione e pacchetti dati inattesi, campagne di spear phishing mirate, indicatori di compromissione (IOC).
I sistemi di difesa statici tradizionali e la classica sicurezza perimetrale non sono sufficienti per stanare gli Advanced Persistent Threat. Per scoprire eventi sospetti servono strumenti proattivi e in tempo reale come ad esempio il monitoraggio dei processi, delle operazioni di file e login, le informazioni di threat intelligence che possono aiutare a riconoscere i modelli tipici e gli indirizzi internet dei cyber attacchi.
Tuttavia, le misure puramente tecniche non bastano a neutralizzare gli Advanced Persistent Threats. Per una difesa efficace da una parte è fondamentale il fattore umano, ambito in cui la formazione gioca un ruolo chiave, dall’altra riveste un’importanza sempre più strategica il Security Operations Center (SOC), creato all’interno dell’azienda o sempre più spesso affidato a specialisti sotto forma di Servizio Gestito.

 

NovaNext, system integrator, security advisor e training center per i professionisti dell’ICT, progetta e realizza le più avanzate soluzioni in ambito Security, Data Center, Networking, Collaboration e offre una gamma completa di Managed Security Services. Gli esperti NovaNext accompagnano i Clienti nella scelta, nell’attivazione e nella gestione dei mezzi di protezione più adeguati a supportare l’evoluzione strategica dell’Azienda, in tutta sicurezza.