Le APT sono, al giorno d’oggi, una delle principali minacce per le aziende. Questa tipologia di attacchi sono progettati per infiltrarsi all’interno delle reti, rubare i dati sensibili e creare danni critici alle infrastrutture e sfuggire alle rilevazioni per lunghi periodi.
di Seqrite.it
Cosa è un Advanced Persistent Threats (APT)?
Un’ APT è una campagna di attacco persistente, mirata e altamente sofisticata gestita dai gruppi di cyber criminali altamente specializzati o da soggetti “state-sponsored”. Le APT, a differenza delle minacce informatiche massive (che “sparano” nel mucchio e colpiscono solo alcuni obiettivi tra molti), sono pianificate ed eseguite in modo meticoloso con l’obiettivo di infiltrarsi all’interno di specifiche reti aziendali per una serie di scopi mirati: furto dati, manipolazione dei dati o sabotaggio delle infrastrutture.
Le caratteristiche degli attacchi APT
- Persistenza: rimangono nascosti per mesi o addirittura anni, per massimizzare il danno e l’estrazione dei dati.
- Approccio Mirato: sono personalizzati per specifiche aziende o individui, sfruttando delle tecniche di riconoscimento e di ingegneria sociale per individuare e sfruttare le vulnerabilità.
- Complessità: i gruppi APT impiegano un arsenale molto diversificato di tool, tecniche e procedure (TTP) per bypassare le misure di sicurezza e mantenere una presenza persistente nelle reti bersaglio.
- Furtività: gli attacchi APT utilizzano tattiche evasive, come l’uso di malware personalizzati, per evitare l’individuazione e mantenere la propria presenza non rilevata, per lungo tempo, nelle reti colpite.
Fasi e tattiche degli attacchi APT
Gli attacchi APT che riescono a infiltrare le reti, si svolgono tipicamente in tre fasi:
- Infiltrazione: la fase iniziale riguarda la violazione delle difese dell’obiettivo, di solito tramite tecniche di ingegneria sociale come lo spear phishing o l’exploit delle vulnerabilità presenti nelle risorse di rete o nelle applicazioni Web.
- Espansione: una volta che si è stabilito un “punto di appoggio”, gli attori APT si adoperano per espandere la loro presenza all’interno della rete, compromettendo sia i sistemi aggiuntivi e gli account utente per ottenere l’accesso ai dati sensibili e alle infrastrutture critiche.
- Estrazione: la fase finale prevede l’esfiltrazione dei dati rubati. Questo processo viene mascherato usando varie tattiche di distrazione per i team di sicurezza IT. Talvolta gli attaccanti lanciano attacchi DDoS per nascondere il flusso di dati in uscita.
Durante gli attacchi, i gruppi APT utilizzano un innumerevole numero di tecniche sofisticate, incluse:
- Distribuzione di malware: malware personalizzati, come backdoor e trojan, sono utilizzati per stabilire una presenza persistente e mantenere un accesso remoto alla rete bersaglio.
- Infrastrutture di Comando e Controllo (C2): gli attori APT creano reti complesse, di solito globali, di comando e controllo per gestire gli attacchi e l’estrazione dei dati.
- Ingegneria sociale: per ottenere l’accesso alle reti bersaglio, gli attaccanti usano campagne di phishing mirate, tentano la compromissione di un anello della filiera (supply chain attack) oppure studiano quali siti web sono visitati spesso dai dispositivi aziendali e ne infettano uno (o più) con malware mirati.
- Movimenti laterali: i gruppi APT navigano abilmente nella rete colpite, compromettendo sistemi e account aggiuntivi per espandere la loro portata e accedere ai dati sensibili.
Difendersi dagli APT? Serve un approccio multilivello
Salvaguardare la tua azienda contro gli attacchi APT richiede l’adozione di una strategia di sicurezza multilivello che affronti sia gli aspetti tecnici che “umani” della sicurezza informatica. Grazia ad un approccio olistico alla sicurezza è possibile migliorare in modo significativo la resilienza delle aziende e ridurre al minimo il rischio di intrusioni APT.
Misure di sicurezza della rete
- Monitoraggio e analisi del traffico: monitorare attentamente il traffico di rete, sia in uscita che in entrata, può aiutare a rilevare i segnali di un attacco APT, come l’installazione di backdoor o tentativi di esfiltrazione dei dati.
- Web Application Firewall (WAF): l’implementazione di un WAF può aiutare a mitigare gli attacchi comuni, come gli attacchi di SQL Injection e di Remote File Inclusion. Queste sono tecniche comuni utilizzate per stabilire un accesso iniziale sulla rete bersaglio.
- Monitoraggio del traffico interno: l’implementazione di un firewall di rete e altri strumenti di monitoraggio permettono di verificare il comportamento degli utenti per identificare le anomalie che potrebbero indicare la presenza di un attore APT all’interno della rete.
- Whitelisting delle applicazioni e domini: la restrizione degli accessi alle applicazioni e domini approvati può ridurre in modo significativo gli attacchi e limitare le vie di accesso per i gruppi APT per l’infiltrazione e i movimento laterali lungo la rete.
Controllo degli accessi e consapevolezza degli utenti
- Gestione differenziata degli accessi: l’implementazione di controlli di accesso robusti, la scelta di un modello di rete zero-trust, l’attivazione dell’autenticazione a 2 fattori (2FA) aiutano a impedire che gli account utenti compromessi siano sfruttati dagli attori APT.
Per saperne di più > Approccio Zero Trust: nuova frontiera della sicurezza informatica
- Formazione dei dipendenti sulla sicurezza: educare i dipendenti sulle più recenti tattiche APT, come il phishing e le tecniche di ingegneria sociale, migliora la capacità di identificare e segnalare per tempo le attività sospette, riducendo il rischio di infiltrazione.
- Risposta agli incidenti e Threat Hunting: lo sviluppo di un piano completo di risposta agli incidenti e la ricerca attiva di indicatori dell’attività APT possono aiutare le aziende a rilevare, contenere e mitigare rapidamente l’impatto di un attacco.
Gestione delle vulnerabilità e Threat Intelligence
- Patch e aggiornamento tempestivo dei software: garantire che tutti i software di rete e i sistemi operativi siano aggiornati con le ultime patch di sicurezza può aiutare a chiudere le vulnerabilità che i gruppi APT sfruttano per ottenere l’accesso iniziale.
- Integrazione della Threat Intelligence: l’integrazione della Threat Intelligence nelle operazioni di sicurezza, aiuta a fornire le informazioni su tattiche, tecniche e procedure utilizzate dai gruppi APT permettendo di adattare proattivamente le difese aziendali.
- Crittografia e protezione dei dati: implementare una criptografia robusta per i dati, a riposo e in transito, può ostacolare in modo significativo la capacità degli attori APT di accedere e estrarre le informazioni sensibili.
Risposta agli incidenti e resilienza
- Pianificazione completa della risposta agli incidenti: sviluppare e verificare regolarmente il piano di risposta agli incidenti aiuta l’azienda a rilevare, contenere e ripristinare rapidamente dati e reti da un attacco APT riuscito, riducendone al minimo l’impatto complessivo.
- Backup e ripristino di emergenza: mantenere solide strategie di backup e ripristino aiuta la tua azienda a ripristinare rapidamente i sistemi e i dati critici in caso di violazione dei dati e dell’infrastruttura.
Sfruttare le soluzioni disponibili per la difesa dalle APT
Per combattere efficacemente la minaccia delle APT, le aziende possono sfruttare una gamma di soluzioni di sicurezza specializzate che affrontano le sfide poste da questi cyber attaccanti avanzati.
Web Application Firewall (WAF)
Una robusta soluzione WAF come con Seqrite Endpoint Protection, fornita con un firewall, gioca un ruolo cruciale nella protezione delle tue applicazioni web e dei tuoi server dai tentativi dei gruppi APT di stabilire un primo accesso nella tua rete. Monitorando il traffico web in entrata e bloccando i tentativi di attacco lungo il perimetro della rete, un WAF può impedire attacchi a livello di applicativi come l’SQL Injection o il remote file inclusion, che sono spesso presenti nelle campagne APT.
Protezione Backdoor
Il WAF di Seqrite Endpoint Protection ha funzionalità specifiche per l’individuare e prevenire l’installazione di shell backdoor, che sono molto utilizzate dai gruppi APT per mantenere la persistenza in una rete compromessa. Verificano il traffico verso i server web e intercettando i tentativi di interazione con questi punti di accesso nascosti, questa soluzione può rivelare ed eliminare la presenza di backdoor, che sono una componente cruciale, per i gruppi APT, per mantenere la presenza sulla rete.
Autenticazione a 2 Fattori (2FA)
Implementare una soluzione 2FA, come quella offerta da Seqrite Endpoint Protection, può aumentare significativamente il controllo degli accessi e prevenire che utenti non autorizzati possano sfruttare credenziali di utenti compromessi per muoversi lateralmente lungo la rete. Richiedere una forma di autenticazione aggiuntiva (oltre alla coppia di credenziali) può efficacemente impedire che i gruppi APT possano sfruttare account con privilegi di accesso per mettere le mani su informazioni sensibili e sistemi critici.
Protezione DDoS
Gli attori APT impiegano le tattiche di disturbo per distratte l’attenzione dei team di sicurezza dal vero attacco in corso. Spesso usano espedienti come gli attacchi DDoS (Distributed Denial of Service), per distrarre i team di sicurezza e indebolire le difese della rete, facilitando l’esfiltrazione dei dati rubati. Seqrite ZTNA può mitigare gli attacchi sia a livello di applicazioni che a livello di rete, garantendo che le risorse critiche della tua azienda restino sempre disponibili e resilienti contro queste tattiche finalizzate invece proprio a renderle indisponibili.
Per concludere: adottare una postura di sicurezza informatica proattiva
Per proteggere efficacemente la tua azienda da attacchi avanzati come gli APT, una strategia di sicurezza completa e multistrato è essenziale. Implementando un insieme di misure di sicurezza della rete, protocolli di verifica degli accessi, pratiche di gestione delle vulnerabilità e piani di risposta agli incidenti, è possibile migliorare in modo significativo la resilienza dell’azienda e ridurre al minimo il rischio di intrusioni APT.
Link all’articolo originale