La digitalizzazione crescente del business, lo sappiamo bene, se da un lato assicura flessibilità, agilità e resilienza, dall’altro estende in sensibilmente il perimetro dell’azienda e aumenta la sua esposizione agli attacchi. I cyber criminali non si riposano mai e la sofisticazione delle minacce procede in modo sempre più spedito. I dati del Rapporto Clusit 2021 indicano come gli attacchi condotti con tecniche multiple ovvero i cosiddetti APT Advanced Persistent Threat, se pure rappresentano una quota contenuta del totale (il 7%, nel caso in cui il bersaglio siano aziende private, il 10% nel caso di enti governativi) sono però tra quelli potenzialmente più dannosi. Una campagna condotta con questa metodologia complessa a danno di Garmin, lo scorso luglio, ha bloccato il servizio dell’app Connect per oltre un giorno e causato non poche preoccupazioni in merito all’integrità dei dati degli utenti, con danni incalcolabili per l’immagine dell’azienda. Ma nel mirino degli attacker ci sono state anche le italiane Geox e Luxottica.
APT Advanced Persistent Threat , cosa sono
Il termine APT Advanced Persistent Threat è usato per descrivere una tipologia di attacco nel quale un intrusore stabilisce una presenza illecita e duratura all’interno di una rete aziendale, con l’obiettivo di esfiltrare dati più o meno sensibili. Gli obiettivi tipici di questi attacchi sono enti governativi e grandi aziende e le conseguenze dell’intrusione vanno dal furto di brevetti industriali alla compromissione di informazioni personali di impiegati o pazienti, per arrivare fino al sabotaggio di intere infrastrutture critiche e siti produttivi.
Quali sono le caratteristiche salienti degli APT Advanced Persistent Threat
Gli APT si differenziano dagli attacchi informatici tradizionali per il grado di sofisticazione decisamente più elevato e per la durata, decisamente più lunga. Dimenticatevi i raid e gli attacchi mordi e fuggi: una volta penetrato nella rete dell’obiettivo, infatti, l’attaccante rimane attivo ma nascosto per molto tempo.
Gli Advanced Persistent Threat sono attacchi eseguiti manualmente, non automatizzati e indiscriminati, che prendono di mira tutta la rete di un target specifico, spesso studiato per molti mesi.
Tecniche piuttosto comuni come Remote File Inclusion (RFI), SQL injection e Cross Site Scripting (XSS) sono spesso usate per stabilire un punto d’appoggio all’interno della rete presa di mira. Successivamente, l’attaccante introduce un trojan o del codice di programmazione malevolo come PHP, Ruby e Python per espandere la propria presenza all’interno del perimetro violato (backdoor shell).
APT Advanced Persistent Threat, le 3 fasi dell’attacco
Capire come è strutturato un attacco APT permette in molti casi di prevenire il breach giocando d’anticipo. Volendo razionalizzare al massimo, sono individuabili tre fasi diverse, in relazione agli obiettivi e ai comportamenti degli hacker:
- Infiltrazione: l’accesso alla rete aziendale avviene solitamente attraverso la compromissione di una di queste tre superfici d’attacco: asset web, risorse di rete, utenti (persone o oggetti) autorizzati. L’infezione può avvenire sia attraverso il caricamento di codice malevolo (SQL injection, Remote File Inclusion…), sia attraverso tecniche di social engineering (tipicamente, spear phishing). In aggiunta alle azioni di infiltrazione nei sistemi informativi target, gli attacker potranno anche eseguire un attacco DDoS (Distributed Denial of Services). Questo attacco ha il duplice effetto di distrarre il personale del team sicurezza da un lato, dall’altro di indebolire ulteriormente il perimetro protetto. Dopo essersi guadagnati l’accesso al sistema target, solitamente gli attaccanti installano una backdoor - malware che assicura un accesso remoto alla rete oppure trojan mascherati da porzioni legittime di software;
- Espansione: dopo aver stabilito il punto d'appoggio, gli aggressori si muovono per ampliare la loro presenza all'interno della rete e raccogliere informazioni aziendali critiche come i dati dei dipendenti, quelli finanziari, le informazioni su brevetti e prodotti. Questo avviene sfruttando i privilegi d’accesso di particolari categorie di utenti. A seconda dell'obiettivo finale dell'attacco, i dati così ottenuti potranno essere venduti a un'impresa concorrente; modificati per sabotare le linee di produzione o utilizzati per compromettere l'intera organizzazione. Se il motivo alla base dell’attacco è il sabotaggio, durante questa fase gli attaccanti mireranno a ottenere il controllo di più funzioni critiche per manipolarle in una sequenza specifica, con l’intento di causare il massimo danno possibile. Ad esempio, gli aggressori potrebbero cancellari interi database all'interno di un'azienda e interrompere le comunicazioni di rete per prolungare il processo di ripristino;
- Estrazione: mentre è in corso un attacco APT Advanced Persistent Threat, le informazioni rubate vengono generalmente archiviate in un luogo sicuro all'interno della rete assalita. Una volta raccolti dati sufficienti, i ladri devono estrarli senza essere scoperti. In genere, questo avviene utilizzando tecniche di white noise, che assumono la forma di un attacco DDoS utile a distrarre il personale deputato alla gestione della rete.
Come contrastare gli APT Advanced Persistent Threat
L’identificazione rapida (detection) e la protezione efficace contro gli APT richiedono un approccio multidisciplinare e sfaccettato, che prevede il coinvolgimento di diversi soggetti come amministratori di rete, fornitori di servizi di sicurezza, CISO e anche i singoli utenti. Volendo fare un po’ di chiarezza su quali possono essere considerate le contromisure più efficaci per contrastare gli Advanced Persistent Threat, bisogna mettere in conto alcune attività:
- Monitoraggio del traffico (in ingresso e in uscita). E' considerata una condizione essenziale per prevenire l'installazione di backdoor e bloccare l'estrazione dei dati. L'ispezione del traffico all'interno del perimetro di rete può anche aiutare ad avvisare il personale di sicurezza di qualsiasi comportamento insolito, che potrebbe indicare attività dannose in atto. La predisposizione di firewall, sotto forma di software e servizi, posti ai margini della rete a protezione delle applicazioni Web (WAF) permetterà di proteggere in modo efficace una delle superfici di attacco più vulnerabili. I servizi di monitoraggio del traffico interno, come i firewall di rete, sono l'altra faccia di questa equazione. Forniscono una visione granulare dell’attività degli utenti che aiuta a identificare quelle anomalie (per esempio, accessi irregolari o trasferimenti di dati insolitamente grandi) che potrebbero indicare un attacco APT in corso. In aggiunta a queste indicazioni, è anche consigliabile monitorare l'accesso ai file condivisi o agli honeypot di sistema. Questi ultimi sono sistemi hardware o software usati come vere e proprie esche per attirare i cyber criminali, studiarne le mosse e cercare di capirne le intenzioni, così da attivare le contromisure del caso.
- Whitelist di applicazioni e domini (whitelisting). E' un modo per controllare i domini a cui è possibile accedere dalla rete, nonché le applicazioni che possono essere installate dagli utenti. Questo è un altro metodo utile per contrastare gli attacchi APT riducendo al minimo la superficie esposta. Tuttavia, questa misura di sicurezza è tutt'altro che infallibile, poiché anche i domini più affidabili possono essere compromessi. È anche noto, poi, che i file dannosi solitamente arrivano “mascherati” da software legittimo e che le versioni non aggiornate dei prodotti software tendono più facilmente a essere compromesse e sfruttate. Per un whitelisting efficace è necessario applicare rigorosi criteri di aggiornamento e garantire che gli utenti eseguano sempre la versione più recente di qualsiasi applicazione presente nell'elenco di quelle autorizzate.
- Controllo degli accessi. Per i cyber criminali, i dipendenti rappresentano in genere l’elemento più vulnerabile del perimetro di sicurezza dell’azienda. Solitamente, negli attacchi APT, le figure target rientrano in una di queste categorie: utenti disattenti, che ignorano i criteri di sicurezza della rete e concedono inconsapevolmente l'accesso a potenziali minacce; addetti ai lavori che abusano intenzionalmente delle proprie credenziali utente per concedere l'accesso al network aziendale all’attaccante; utenti compromessi i cui privilegi di accesso alla rete sono carpiti e utilizzati dagli aggressori.
Lo sviluppo di controlli efficaci richiede una revisione completa dei privilegi di tutti i membri dell'organizzazione e, in particolare delle informazioni a cui i diversi utenti hanno accesso.
Una buona prassi può essere quella di classificare i dati in base alla necessità di sapere (need to know).
Questo espediente permette di bloccare più facilmente i tentativi di dirottare le credenziali di accesso condotti su un membro di basso livello del personale per poi utilizzarle per accedere a dati sensibili e critici. Gli access point critici, poi, dovranno essere protetti attraverso un sistema di autenticazione a due fattori (2FA), che richiede una doppia forma di verifica dell’identità - generalmente una password e l’invio di un codice allo smartphone dell’utente. Questo sistema impedisce agli attacker mascherati da utenti legittimi di accedere alla rete aziendale.
Misure aggiuntive, oltre a quelle già indicate, comprendono l’applicazione di patch al software di rete e alle vulnerabilità del sistema operativo; la cifratura delle connessioni remote, il filtraggio delle e-mail in arrivo e il monitoraggio in tempo reale degli eventi di sicurezza (SEM).
Threat intelligence, cosa è e perché è importante per contrastare le APT
Un elemento cruciale nella lotta alle minacce avanzate e persistenti è rappresentato dalla capacità di operare una forma di intelligenza predittiva, giocando quindi d’anticipo rispetto alle possibili mosse dei cyber criminali. L’APT threat intelligence raggruppa un complesso di tecnologie - Big Data Analytics, Real Time Analytics, Machine Learning, tra le altre - che permettono di rilevare, ripulire, analizzare e correlare tra loro i dati di traffico, i comportamenti degli utenti, gli accessi, al fine di anticipare le possibili minacce cyber che potrebbero danneggiare contesti operativi specifici e predisporre le contromisure più utili dal punto di vista tecnologico e organizzativo. Volendo fare un po’ di chiarezza, tre sono le tipologie di “intelligenza” che il CISO, il provider di servizi di sicurezza e il network manager possono mettere in atto:
- Intelligence strategica - In questo caso si identificano le potenziali minacce e si considerano i fattori e gli eventi avversi che potrebbero inficiare il raggiungimento degli obiettivi di business, cercando di fare un identikit degli attori che potrebbero voler agire contro l’interesse dell’organizzazione;
- Intelligence tattica - Con queste attività si mira ad andare nel dettaglio delle tecniche di attacco identificando motivazioni, obiettivi, risorse e tecnologie utilizzabili e correlandole rispetto alla superficie d’attacco per definire le contromisure appropriate;
- Intelligence operativa - L’Intelligence operativa mira a stilare dei veri e propri KPI, indicatori della probabilità del verificarsi di un attacco, per fornire una valutazione realistica della capacità dell’azienda di fronteggiare le APT. Questo potrà avvenire attraverso i dati rilevati nell’ambito dell’operatività quotidiana dei sistemi informativi aziendali, correlati tra loro per identificare pattern di attacco più complessi, sofisticati e coordinati.
Threat intelligence, il valore dei servizi gestiti nella lotta efficace alle minacce avanzate
I sistemi SIEM (Security Information and Event Management) rappresentano il cuore pulsante dell’APT threat intelligence. Permettono, infatti, di correlare tra loro eventi che, singolarmente, non hanno una rilevanza ai fini della cyber security ma che, considerati nel loro complesso, evidenziano pattern di attacco più subdoli e sofisticati. L’applicazione di algoritmi di Machine Learning permette di processare enormi quantità di dati migliorando la precisione dei risultati con l’aumentare delle informazioni acquisite. I servizi di monitoraggio in tempo reale, incident management, detection e response, gestione delle vulnerabilità messi in campo dai Managed Security Service Provider contribuiscono a migliorare la capacità previsionale dei sistemi di APT threat intelligence. Questo in virtù della possibilità offerta agli operatori professionali di raccogliere e analizzare nei propri Security Operation Center (SOC) dati e tracce digitali lasciate dagli attacker nel corso delle loro scorribande.