{"id":13722,"date":"2024-04-17T07:00:00","date_gmt":"2024-04-17T05:00:00","guid":{"rendered":"https:\/\/www.cyberfero.com\/?p=13722"},"modified":"2024-04-16T22:37:38","modified_gmt":"2024-04-16T20:37:38","slug":"advanced-persistent-threat-analisi","status":"publish","type":"post","link":"https:\/\/www.cyberfero.com\/it\/advanced-persistent-threat-analisi\/","title":{"rendered":"Advanced persistent threat (APT): cosa sono e come difendersi"},"content":{"rendered":"\n

<\/path><\/svg><\/span><\/span>Estimated reading time: <\/span>7<\/span> minuti<\/span><\/p>\n\n\n\n

Una advanced persistent threat<\/em> (APT) \u00e8 un termine ampio utilizzato per descrivere una campagna di attacco in cui un intruso, o un gruppo di intrusi, stabilisce una presenza illecita e a lungo termine su una rete al fine di estrarre dati altamente sensibili.<\/strong> Gli obiettivi di questi assalti, che sono scelti e studiati con molta attenzione, includono tipicamente grandi imprese o reti governative. Le conseguenze di tali intrusioni sono vaste, e includono:<\/p>\n\n\n\n

– Furto di propriet\u00e0 intellettuale (ad esempio, segreti commerciali o brevetti)
– Compromissione di informazioni sensibili (ad esempio, dati privati di dipendenti e utenti)
– Il sabotaggio di infrastrutture organizzative critiche (ad esempio, la cancellazione di database)
– Prendere il controllo totale del sito<\/p>\n\n\n\n

L’esecuzione di un assalto APT richiede pi\u00f9 risorse di un attacco standard alle applicazioni web.<\/strong> Gli autori sono di solito squadre di criminali informatici<\/strong> esperti che hanno un sostanziale sostegno finanziario. Alcuni attacchi APT sono finanziati dal governo e utilizzati come armi di guerra informatica.<\/p>\n\n\n\n

Gli attacchi pi\u00f9 comuni, come il Remote File Inclusion<\/em> (RFI), la SQL injection<\/em> e il cross-site scripting (XSS)<\/em>, sono frequentemente utilizzati dagli autori per stabilire un punto d’appoggio in una rete mirata. Poi, Trojan<\/em> e backdoor shell<\/em> sono spesso utilizzati per espandere quel punto d’appoggio e creare una presenza persistente all’interno del perimetro.<\/p>\n\n\n\n

\"Advanced<\/a><\/figure>\n\n\n\n

Progressione delle advanced persistent threat<\/em> <\/h2>\n\n\n\n

Un attacco APT di successo pu\u00f2 essere suddiviso in tre fasi: 1) infiltrazione nella rete, 2) espansione della presenza dell’attaccante e 3) estrazione dei dati accumulati, il tutto senza essere rilevato<\/strong>.<\/p>\n\n\n\n

1. Infiltrazione nella rete<\/h3>\n\n\n\n

Come abbiamo detto, ogni advanced persistent threat<\/em> parte da un’infiltrazione. Le aziende sono tipicamente infiltrate attraverso la compromissione di una delle seguenti aree<\/em>: risorse web, risorse di rete o utenti umani autorizzati.<\/strong> Questo si ottiene sia attraverso upload maligni o attacchi di ingegneria sociale<\/a>. Sono tutte minacce affrontate regolarmente dalle grandi organizzazioni.<\/p>\n\n\n\n

Gli infiltrati possono eseguire contemporaneamente un attacco DDoS contro il loro obiettivo. Questo serve sia come cortina per distrarre il personale della rete sia come mezzo per indebolire un perimetro di sicurezza, <\/strong>rendendo pi\u00f9 facile la violazione.<\/p>\n\n\n\n

Una volta ottenuto l’accesso iniziale, gli aggressori installano rapidamente una shell-malware backdoor<\/em> che garantisce l’accesso alla rete e permette operazioni remote e furtive. Le backdoor<\/em> possono anche presentarsi sotto forma di Trojan<\/em> mascherati da software legittimi.<\/p>\n\n\n\n

2. Espansione della presenza<\/h3>\n\n\n\n

Dopo che il punto d’appoggio \u00e8 stabilito, gli aggressori si muovono per ampliare la loro presenza all’interno della rete<\/a> e quindi “creare” la advanced persistent threat<\/em> vera e proprio.<\/p>\n\n\n\n

Questo comporta lo spostamento verso l’alto della gerarchia di un’organizzazione, compromettendo i membri del personale con accesso ai dati pi\u00f9 sensibili.<\/strong> Cos\u00ec facendo, gli attaccanti sono in grado di raccogliere informazioni aziendali critiche, comprese le informazioni sulla linea di prodotti, i dati dei dipendenti e i record finanziari.<\/p>\n\n\n\n

A seconda dell’obiettivo finale dell’attacco, i dati accumulati possono essere venduti a un’impresa concorrente, alterati per sabotare la linea di prodotti di un’azienda o utilizzati per abbattere un’intera organizzazione.<\/strong> Se il sabotaggio \u00e8 il motivo, questa fase viene utilizzata per ottenere sottilmente il controllo di pi\u00f9 funzioni critiche e manipolarle in una sequenza specifica per causare il massimo danno. <\/p>\n\n\n\n

Per esempio, gli aggressori potrebbero cancellare interi database all’interno di un’azienda e poi interrompere le comunicazioni di rete al fine di prolungare il processo di recupero.<\/p>\n\n\n\n

3. Estrazione dei dati<\/h3>\n\n\n\n

Mentre un evento APT \u00e8 in corso, le informazioni rubate sono tipicamente memorizzate in un luogo sicuro all’interno della rete assaltata.<\/strong> Una volta che sono stati raccolti abbastanza dati, i ladri devono estrarli senza essere rilevati.<\/p>\n\n\n\n

Tipicamente, vengono utilizzate tattiche di white noise<\/em> per distrarre il team di sicurezza in modo che le informazioni possano essere spostate fuori.<\/strong> Questo potrebbe prendere la forma di un attacco DDoS, ancora una volta legando il personale di rete e\/o indebolendo le difese del sito per facilitare l’estrazione.<\/p>\n\n\n\n

\"Advanced<\/a><\/figure>\n\n\n\n

Misure di sicurezza contro le advanced persistent threat<\/em><\/h2>\n\n\n\n

Un rilevamento e una protezione adeguati contro le APT richiedono un approccio multiplo da parte degli amministratori di rete, dei fornitori di sicurezza e dei singoli utenti.<\/strong><\/p>\n\n\n\n

Monitoraggio del traffico<\/h3>\n\n\n\n

Il monitoraggio del traffico in entrata e in uscita \u00e8 considerato la pratica migliore per prevenire l’installazione di backdoor<\/em> e bloccare l’estrazione di dati rubati.<\/strong> Ispezionare il traffico all’interno del perimetro aziendale di rete pu\u00f2 anche aiutare ad avvisare il personale di sicurezza di qualsiasi comportamento insolito che pu\u00f2 puntare ad attivit\u00e0 dannose.<\/strong><\/p>\n\n\n\n

Un web application firewall<\/em> (WAF) distribuito sul bordo della rete filtra il traffico verso i server web proteggendo cos\u00ec una delle vostre superfici di attacco pi\u00f9 vulnerabili.<\/strong> Tra le altre funzioni, un WAF pu\u00f2 aiutare ad eliminare gli attacchi a livello di applicazione, come gli attacchi RFI<\/em> e SQL injection<\/em>, comunemente utilizzati durante la fase di infiltrazione APT.<\/p>\n\n\n\n

I servizi di monitoraggio del traffico interno, come i firewall di rete, sono l’altro lato di questa equazione.<\/strong> Essi possono fornire una visione granulare che mostra come gli utenti stanno interagendo all’interno della vostra rete, mentre aiutano a identificare le anomalie del traffico interno, (ad esempio, login irregolari o trasferimenti di dati insolitamente grandi). Quest’ultimo potrebbe segnalare un attacco APT in corso. \u00c8 anche possibile monitorare l’accesso alle condivisioni di file o agli honeypots<\/em> di sistema.<\/strong><\/p>\n\n\n\n

Infine, i servizi di monitoraggio del traffico in entrata potrebbero essere utili per rilevare e rimuovere le shell backdoor<\/em>. Per un servizio di controllo a 360\u00b0, l’adozione del SOCaaS di SOD<\/a> potrebbe fare al caso vostro. <\/p>\n\n\n\n

Controllo degli accessi<\/h3>\n\n\n\n

Per gli attaccanti, i dipendenti dell’azienda rappresentano tipicamente il soft-spot pi\u00f9 grande e vulnerabile nel vostro perimetro di sicurezza.<\/strong> Il pi\u00f9 delle volte, questo \u00e8 il motivo per cui gli utenti della vostra rete sono visti dagli intrusi come un facile gateway<\/em> per infiltrarsi nelle vostre difese, mentre espandono la loro presa all’interno del vostro perimetro di sicurezza.<\/p>\n\n\n\n

In questo caso, gli obiettivi probabili rientrano in una delle seguenti tre categorie:<\/p>\n\n\n\n

Utenti disattenti<\/strong> che ignorano le politiche di sicurezza della rete e concedono inconsapevolmente l’accesso a potenziali minacce
Insider malintenzionati<\/strong> che abusano intenzionalmente delle loro credenziali per concedere l’accesso al criminale
Utenti compromessi<\/strong> i cui privilegi di accesso alla rete sono compromessi e utilizzati dagli aggressori<\/p>\n\n\n\n

Lo sviluppo di controlli efficaci richiede una revisione completa di tutti i membri della vostra organizzazione, specialmente delle informazioni a cui hanno accesso.<\/strong> Per esempio, classificare i dati sulla need-to-know basis<\/em> aiuta a bloccare la capacit\u00e0 di un intruso di dirottare le credenziali di accesso da un membro del personale di basso livello, usandole per accedere a materiali sensibili.<\/p>\n\n\n\n

I punti chiave di accesso alla rete dovrebbero essere protetti con l’autenticazione a due fattori (2FA)<\/strong>. Essa richiede agli utenti di utilizzare una seconda forma di verifica quando si accede alle aree sensibili (in genere un codice di accesso inviato al dispositivo mobile dell’utente). Questo impedisce ad attori non autorizzati, travestiti da utenti legittimi<\/em>, di muoversi nella rete.<\/p>\n\n\n\n

\"advanced<\/a><\/figure>\n\n\n\n

Misure ulteriori contro gli advanced persistent threat<\/h3>\n\n\n\n

Oltre alle gi\u00e0 citate best practice<\/em> per prevenire il verificarsi di un advanced persistent threat<\/em> sulla rete aziendale, \u00e8 bene intervenire su pi\u00f9 fronti. In numerosi altri articoli abbiamo trattato quanto sia vantaggioso, per il team di sicurezza, avere un unico luogo in cui monitorare ogni punto della rete. Uno strumento eccellente per questo scopo \u00e8 un SOC.<\/p>\n\n\n\n

Il nostro SOCaaS<\/a> offre tutte le funzionalit\u00e0 di un Centro Operativo di Sicurezza senza l’incombenza degli investimenti in attrezzature e personale specializzato. Inoltre, grazie alla tecnologia UEBA<\/a>, non solo il nostro SOC \u00e8 in grado di recuperare i log e archiviarli in modo sistematico, ma \u00e8 anche attivamente coinvolto nell’individuare comportamenti sospetti degli utenti. <\/strong><\/p>\n\n\n\n

Queste caratteristiche sono ottime per aumentare la reattivit\u00e0 del team di sicurezza e scongiurare anche i tentativi di advanced persistent threat<\/em> ai danni della rete aziendale.<\/strong><\/p>\n\n\n\n

Per sapere come possiamo aiutare la vostra azienda a alzare la propria sicurezza, non esitare a contattarci, saremo lieti di rispondere a ogni domanda.<\/p>\n\n\n\n

\n
Contattaci<\/a><\/div>\n<\/div>\n\n\n\n

Useful links:<\/span><\/strong><\/p>\n\n\n\n

Link utili:<\/span><\/strong><\/p>\n\n\n\n