Advanced Persistent Threat hacker

Estimated reading time: 7 minutes

Una advanced persistent threat (APT) è un termine ampio utilizzato per descrivere una campagna di attacco in cui un intruso, o un gruppo di intrusi, stabilisce una presenza illecita e a lungo termine su una rete al fine di estrarre dati altamente sensibili. Gli obiettivi di questi assalti, che sono scelti e studiati con molta attenzione, includono tipicamente grandi imprese o reti governative. Le conseguenze di tali intrusioni sono vaste, e includono:

– Furto di proprietà intellettuale (ad esempio, segreti commerciali o brevetti)
– Compromissione di informazioni sensibili (ad esempio, dati privati di dipendenti e utenti)
– Il sabotaggio di infrastrutture organizzative critiche (ad esempio, la cancellazione di database)
– Prendere il controllo totale del sito

L’esecuzione di un assalto APT richiede più risorse di un attacco standard alle applicazioni web. Gli autori sono di solito squadre di criminali informatici esperti che hanno un sostanziale sostegno finanziario. Alcuni attacchi APT sono finanziati dal governo e utilizzati come armi di guerra informatica.

Gli attacchi più comuni, come il Remote File Inclusion (RFI), la SQL injection e il cross-site scripting (XSS), sono frequentemente utilizzati dagli autori per stabilire un punto d’appoggio in una rete mirata. Poi, Trojan e backdoor shell sono spesso utilizzati per espandere quel punto d’appoggio e creare una presenza persistente all’interno del perimetro.

Advanced Persistent Threat Laptop

Progressione delle advanced persistent threat

Un attacco APT di successo può essere suddiviso in tre fasi: 1) infiltrazione nella rete, 2) espansione della presenza dell’attaccante e 3) estrazione dei dati accumulati, il tutto senza essere rilevato.

1. Infiltrazione nella rete

Come abbiamo detto, ogni advanced persistent threat parte da un’infiltrazione. Le aziende sono tipicamente infiltrate attraverso la compromissione di una delle seguenti aree: risorse web, risorse di rete o utenti umani autorizzati. Questo si ottiene sia attraverso upload maligni o attacchi di ingegneria sociale. Sono tutte minacce affrontate regolarmente dalle grandi organizzazioni.

Gli infiltrati possono eseguire contemporaneamente un attacco DDoS contro il loro obiettivo. Questo serve sia come cortina per distrarre il personale della rete sia come mezzo per indebolire un perimetro di sicurezza, rendendo più facile la violazione.

Una volta ottenuto l’accesso iniziale, gli aggressori installano rapidamente una shell-malware backdoor che garantisce l’accesso alla rete e permette operazioni remote e furtive. Le backdoor possono anche presentarsi sotto forma di Trojan mascherati da software legittimi.

2. Espansione della presenza

Dopo che il punto d’appoggio è stabilito, gli aggressori si muovono per ampliare la loro presenza all’interno della rete e quindi “creare” la advanced persistent threat vera e proprio.

Questo comporta lo spostamento verso l’alto della gerarchia di un’organizzazione, compromettendo i membri del personale con accesso ai dati più sensibili. Così facendo, gli attaccanti sono in grado di raccogliere informazioni aziendali critiche, comprese le informazioni sulla linea di prodotti, i dati dei dipendenti e i record finanziari.

A seconda dell’obiettivo finale dell’attacco, i dati accumulati possono essere venduti a un’impresa concorrente, alterati per sabotare la linea di prodotti di un’azienda o utilizzati per abbattere un’intera organizzazione. Se il sabotaggio è il motivo, questa fase viene utilizzata per ottenere sottilmente il controllo di più funzioni critiche e manipolarle in una sequenza specifica per causare il massimo danno.

Per esempio, gli aggressori potrebbero cancellare interi database all’interno di un’azienda e poi interrompere le comunicazioni di rete al fine di prolungare il processo di recupero.

3. Estrazione dei dati

Mentre un evento APT è in corso, le informazioni rubate sono tipicamente memorizzate in un luogo sicuro all’interno della rete assaltata. Una volta che sono stati raccolti abbastanza dati, i ladri devono estrarli senza essere rilevati.

Tipicamente, vengono utilizzate tattiche di white noise per distrarre il team di sicurezza in modo che le informazioni possano essere spostate fuori. Questo potrebbe prendere la forma di un attacco DDoS, ancora una volta legando il personale di rete e/o indebolendo le difese del sito per facilitare l’estrazione.

Advanced Persistent Threat hacker

Misure di sicurezza contro le advanced persistent threat

Un rilevamento e una protezione adeguati contro le APT richiedono un approccio multiplo da parte degli amministratori di rete, dei fornitori di sicurezza e dei singoli utenti.

Monitoraggio del traffico

Il monitoraggio del traffico in entrata e in uscita è considerato la pratica migliore per prevenire l’installazione di backdoor e bloccare l’estrazione di dati rubati. Ispezionare il traffico all’interno del perimetro aziendale di rete può anche aiutare ad avvisare il personale di sicurezza di qualsiasi comportamento insolito che può puntare ad attività dannose.

Un web application firewall (WAF) distribuito sul bordo della rete filtra il traffico verso i server web proteggendo così una delle vostre superfici di attacco più vulnerabili. Tra le altre funzioni, un WAF può aiutare ad eliminare gli attacchi a livello di applicazione, come gli attacchi RFI e SQL injection, comunemente utilizzati durante la fase di infiltrazione APT.

I servizi di monitoraggio del traffico interno, come i firewall di rete, sono l’altro lato di questa equazione. Essi possono fornire una visione granulare che mostra come gli utenti stanno interagendo all’interno della vostra rete, mentre aiutano a identificare le anomalie del traffico interno, (ad esempio, login irregolari o trasferimenti di dati insolitamente grandi). Quest’ultimo potrebbe segnalare un attacco APT in corso. È anche possibile monitorare l’accesso alle condivisioni di file o agli honeypots di sistema.

Infine, i servizi di monitoraggio del traffico in entrata potrebbero essere utili per rilevare e rimuovere le shell backdoor. Per un servizio di controllo a 360°, l’adozione del SOCaaS di SOD potrebbe fare al caso vostro.

Controllo degli accessi

Per gli attaccanti, i dipendenti dell’azienda rappresentano tipicamente il soft-spot più grande e vulnerabile nel vostro perimetro di sicurezza. Il più delle volte, questo è il motivo per cui gli utenti della vostra rete sono visti dagli intrusi come un facile gateway per infiltrarsi nelle vostre difese, mentre espandono la loro presa all’interno del vostro perimetro di sicurezza.

In questo caso, gli obiettivi probabili rientrano in una delle seguenti tre categorie:

Utenti disattenti che ignorano le politiche di sicurezza della rete e concedono inconsapevolmente l’accesso a potenziali minacce
Insider malintenzionati che abusano intenzionalmente delle loro credenziali per concedere l’accesso al criminale
Utenti compromessi i cui privilegi di accesso alla rete sono compromessi e utilizzati dagli aggressori

Lo sviluppo di controlli efficaci richiede una revisione completa di tutti i membri della vostra organizzazione, specialmente delle informazioni a cui hanno accesso. Per esempio, classificare i dati sulla need-to-know basis aiuta a bloccare la capacità di un intruso di dirottare le credenziali di accesso da un membro del personale di basso livello, usandole per accedere a materiali sensibili.

I punti chiave di accesso alla rete dovrebbero essere protetti con l’autenticazione a due fattori (2FA). Essa richiede agli utenti di utilizzare una seconda forma di verifica quando si accede alle aree sensibili (in genere un codice di accesso inviato al dispositivo mobile dell’utente). Questo impedisce ad attori non autorizzati, travestiti da utenti legittimi, di muoversi nella rete.

advanced persistent threat security

Misure ulteriori contro gli advanced persistent threat

Oltre alle già citate best practice per prevenire il verificarsi di un advanced persistent threat sulla rete aziendale, è bene intervenire su più fronti. In numerosi altri articoli abbiamo trattato quanto sia vantaggioso, per il team di sicurezza, avere un unico luogo in cui monitorare ogni punto della rete. Uno strumento eccellente per questo scopo è un SOC.

Il nostro SOCaaS offre tutte le funzionalità di un Centro Operativo di Sicurezza senza l’incombenza degli investimenti in attrezzature e personale specializzato. Inoltre, grazie alla tecnologia UEBA, non solo il nostro SOC è in grado di recuperare i log e archiviarli in modo sistematico, ma è anche attivamente coinvolto nell’individuare comportamenti sospetti degli utenti.

Queste caratteristiche sono ottime per aumentare la reattività del team di sicurezza e scongiurare anche i tentativi di advanced persistent threat ai danni della rete aziendale.

Per sapere come possiamo aiutare la vostra azienda a alzare la propria sicurezza, non esitare a contattarci, saremo lieti di rispondere a ogni domanda.

Link utili:

Customers

Newsletter