Cos’è una minaccia persistente avanzata?

Una minaccia persistente avanzata (APT) è un evento di sicurezza complesso e articolato in più fasi, mirato a specifici asset aziendali. Un’APT consiste in un attore non autorizzato che entra in un ambiente organizzativo, si sposta attraverso i sistemi per ottenere risorse, trasferisce informazioni sensibili e tenta di uscire senza essere rilevato. Le APT sono particolarmente difficili da individuare e contrastare a causa delle tattiche sofisticate utilizzate e dell’approccio altamente mirato adottato dagli attacker. La protezione efficace contro le APT richiede un approccio multisistema e multidisciplinare.

Un evento di tipo APT può essere condotto con uno o più dei seguenti obiettivi.

Furto di proprietà intellettuale

La proprietà intellettuale, come i segreti commerciali o governativi, il codice sorgente proprietario o le comunicazioni private, comprende dati altamente sensibili appartenenti a un’organizzazione. Ottenendo accesso iniziale a queste informazioni, i gruppi APT le acquisiscono illegalmente per ottenere un vantaggio competitivo o per arrecare danni all’azienda bersaglio.

Frode finanziaria

Le APT possono assumere il controllo di sistemi e processi aziendali, fornendo agli attacker l’accesso privilegiato necessario per commettere frodi finanziarie. Queste operazioni possono includere l’esecuzione di trasferimenti di denaro dai conti aziendali o il furto di dati sensibili utilizzati per impersonare figure autorizzate all’interno dell’organizzazione.

Ransomware 

Un evento APT può avere come obiettivo l’implementazione di un attacco ransomware. In questo scenario, gli attacker cifrano i dati sensibili e impediscono agli utenti di accedere alla rete o ai sistemi compromessi. Il gruppo non autorizzato richiede quindi un riscatto elevato in cambio delle chiavi di decifratura. 

Danni reputazionali

Alcuni gruppi APT mirano esplicitamente a danneggiare la reputazione dell’organizzazione, ad esempio diffondendo pubblicamente informazioni riservate o compromettenti.

Le minacce persistenti avanzate (APT) prendono di mira esclusivamente obiettivi di alto valore. Sono più complesse da identificare rispetto alle minacce informatiche tradizionali, perché non seguono schemi convenzionali. Non esiste infatti un vettore di attacco standard, una tempistica prevedibile o una firma riconoscibile, il che rende più difficile localizzare e neutralizzare questi eventi di sicurezza. 

Negli incidenti di sicurezza più comuni si osservano spesso segnali evidenti, come improvvisi picchi nelle operazioni sui database o nel traffico dei dati. Le APT, invece, adottano un approccio graduale e metodico, studiato per rimanere nascosto.

Inoltre, un APT potrebbe non puntare a un guadagno immediato, scegliendo deliberatamente di operare ne tempo per costruire una minaccia più ampia e profonda. Restando inosservate all’interno dei sistemi, le APT possono persistere per lunghi periodi all'interno di un’organizzazione, fino a quando il gruppo che le ha orchestrate decide di entrare in azione.

Di seguito sono riportate le caratteristiche e i segnali più comuni associati a una minaccia persistente avanzata.

Eventi sofisticati e multistadio per ottenere l'accesso

Le minacce persistenti avanzate si sviluppano attraverso una serie di fasi complesse e ben strutturate.

Inizialmente, un attore non autorizzato svolge attività di ricognizione sull’organizzazione bersaglio e sui suoi sistemi, raccogliendo informazioni su asset e su potenziali vulnerabilità. Sulla base di questi informazioni, vengono poi definiti metodi per sfruttare i punti deboli individuati.

Una volta ottenuto l'accesso ai sistemi aziendali, un attacker si muove lateralmente all’interno dell’infrastruttura, acquisendo privilegi più elevati tramite tecniche di ingegneria sociale, attraversamento dei segmenti di rete e altri stratagemmi. In alcuni casi, vengono messe in atto azioni di distrazione per distogliere l’attenzione dei team di sicurezza. Vengono inoltre configurati server di comando e controllo per coordinare le comunicazioni.

Quando gli asset di interesse diventano accessibili, un attore non autorizzato procedere in genere con l’esfiltrazione dei dati o con la manipolazione dei sistemi compromessi, in base all’obiettivo dell’operazione. Alcune minacce persistenti avanzate concludono questa fase tentando di cancellare le proprie tracce, così da ridurre la probabilità che l’incidente venga scoperto.

Condotte da gruppi APT altamente motivati

Gli eventi APT provengono da attori non autorizzati altamente motivati che operano in gruppi strutturati. Questi gruppi possono assumere molte forme: entità sponsorizzate da Stati, organizzazioni criminali professionali, gruppi di hacktivisti o piccoli team di hacker a pagamento.

Sebbene il guadagno economico sia spesso un obiettivo primario, alcune APT mirano anche alla raccolta di informazioni sensibili, all’esposizione di dati riservati, al sabotaggio di infrastrutture o al danneggiamento della reputazione di un’organizzazione. 

Operazioni prolungate nel tempo e distribuite su più sistemi

Le fasi descritte possono svolgersi nell’arco di lunghi periodi. Data la natura mirata delle APT, i gruppi pianificano attentamente di muoversi a un ritmo lento per evitare di attirare l'attenzione o attivare avvisi nei sistemi. In alcuni casi, una APT può rimanere inosservata per mesi o addirittura anni prima di passare all’azione per raggiungere l’obiettivo finale.

Progettate per non lasciare tracce

L’ultima fase di un’APT consiste spesso nell’eliminare ogni evidenza dell’attacco. Ciò può includere la cancellazione di file, la modifica dei log o l’occultamento di informazioni all’interno dei database. Riducendo le probabilità che un team di cybersecurity individui anomalie nei sistemi, gli attaccanti aumentano le possibilità di uscire senza conseguenze.

Inoltre, nascondendo le prove della loro presenza, possono mantenere segreti i metodi di infiltrazione e riutilizzare la stessa strategia lenta e metodica contro altri obiettivi in futuro.

L’intelligence sulle minacce persistenti avanzate (APT) è una forma specializzata di intelligence sulle minacce che informa e indirizza le aziende sulle campagne APT in corso, sugli attori non autorizzati noti e sulle attuali tecniche di ingegneria sociale utilizzate. 

L’intelligence APT si differenzia dall'intelligence generale sulle minacce per quanto riguarda le fonti, le tecniche di triangolazione, i report, l'analisi e le applicazioni.

Di seguito sono riportate alcune misure di sicurezza efficaci per prevenire e contrastare le minacce persistenti avanzate (APT).

Intelligence sulle minacce

I sistemi di intelligence sulle minacce sono una strategia efficace per prevenire le APT. L'intelligence sulle minacce raccoglie e correla dati di sicurezza interni ed esterni per offrire una visione complessiva dello scenario delle minacce e dei vettori di attacco più comuni. Grazie a fonti pubbliche e private, è possibile identificare i potenziali avversari APT, comprenderne le tattiche e definire contromisure adeguate.

Le organizzazioni possono ottenere informazioni utili implementando piattaforme di intelligence sulle minacce, feed di open source e framework come MITRE ATT&CK.

Registrazione e telemetria

Un sistema di registrazione efficace e capillare, che includa dati su infrastruttura di sicurezza, rete, punti di accesso agli asset, monitoraggio degli endpoint e stato generale dei sistemi, consente ai team di sicurezza di costruire una visione completa dell’ambiente IT. La conservazione dei log granulari e l’uso di analisi avanzate migliorano la capacità di individuare anomalie e supportano le indagini retroattive su eventi di sicurezza di sicurezza inattesi.

Tecnologia

Esistono diverse tecnologie che rafforzano la capacità di rilevare, neutralizzare e mitigare le APT. Tra le più rilevanti in uno stack di sicurezza moderno:

• Sistemi di rilevamento delle intrusioni (IDS): strumenti che monitorano il traffico di rete per individuare attività sospette.
• Sistemi di gestione delle informazioni e degli eventi di sicurezza (SIEM): una soluzione che correlano dati provenienti da vari sistemi di sicurezza per fornire rilevamento delle minacce in tempo reale e risposte rapide agli incidenti.
• Rilevamento e risposta agli endpoint (EDR): sistemi che mappano e monitorano tutti i dispositivi endpoint aziendali, individuando anomalie e reagendo automaticamente.

Sicurezza a più livelli

Oltre alle misure specifiche contro le APT, è consigliabile adottare una strategia di sicurezza multilivello per ridurre le probabilità di incidenti. Ciò include la segmentazione della rete, l'archiviazione sicura dei dati, implementare l'accesso con privilegi minimi, applicare l’uso dell’autenticazione a più fattori per tutti gli account aziendali e l’adozione di solidi standard di crittografia sia per i dati a riposo sia in transito. Anche applicare regolarmente patch al software di rete, al software di sistema e al software applicativo contribuisce a mitigare vulnerabilità note.

Formazione

Uno dei punti di accesso più comuni per le APT e altri incidenti di cybersecurity è rappresentato dagli utenti interni. Attacchi di phishing o tecniche di ingegneria sociale, che inducono un dipendente a cliccare su link compromessi, sono spesso utilizzati dai gruppi malevoli. Con i progressi dell'intelligenza artificiale, le tecniche di impersonificazione avanzata sono sempre più diffuse.

Per questo motivo, è fondamentale organizzare regolarmente programmi di sensibilizzazione sulla sicurezza. I dipendenti devono essere in grado di riconoscere i primi segnali di un’APT e segnalarli tempestivamente al team di sicurezza.

AWS mette a disposizione diversi servizi progettati per aiutare le organizzazioni a proteggersi dalle minacce persistenti avanzate. AWS Security Hub trasforma la sicurezza nel cloud offrendo visibilità unificata, informazioni operative immediatamente utilizzabili e flussi di lavoro automatizzati.

Amazon GuardDuty fornisce un servizio di rilevamento delle minacce completamente gestito e scalabile per il cloud. Amazon GuardDuty può identificare, correla e rispondi rapidamente alle minacce con analisi automatizzate e consigli di correzione personalizzati per ridurre al minimo le interruzioni dell’attività. Grazie alle sue funzionalità di rilevamento intelligente, Amazon GuardDuty aiuta a proteggere account AWS, carichi di lavoro e dati da attività malevole sofisticate.

Amazon Inspector rileva automaticamente i carichi di lavoro, come le istanze Amazon Elastic Compute Cloud (Amazon EC2), le immagini dei container e le funzioni AWS Lambda, nonché i repository di codice, per poi sottoporli a scansione per rilevare le vulnerabilità del software e l'esposizione involontaria della rete.

Amazon Macie individua i dati sensibili utilizzando il machine learning e i criteri di ricerca, offre visibilità sui rischi per la sicurezza dei dati e consente di automatizzare la protezione contro tali rischi.

AWS Security Incident Response aiuta a prepararsi, rispondere e riprendersi dagli eventi di sicurezza. Il servizio Security Incident Response automatizza il monitoraggio e l'indagine, accelera la comunicazione e il coordinamento e offre accesso diretto 24 ore su 24, 7 giorni su 7 all'AWS Customer Incident Response Team (CIRT).

Inizia a proteggere la tua organizzazione dagli APT su AWS creando un account gratuito oggi stesso.