APT (minaccia persistente avanzata)

Un attacco APT è un tipo di attacco informatico condotto da un attaccante motivato e dotato di buone risorse, che mira a ottenere l'accesso a lungo termine alla rete di un obiettivo. L'attacco si svolge in diverse fasi:

1. Raccolta di informazioni: L'attaccante APT raccoglie informazioni sulla rete target, spesso attraverso e-mail di phishing, allegati di malware e vulnerabilità del software.
2. Punto di ingresso: L'attaccante trova un modo per entrare nel sistema e installare il malware, utilizzando tecniche come le e-mail di phishing o sfruttando le vulnerabilità del software.
3. Server di comando e controllo: L'aggressore imposta un canale di comunicazione con il malware, di solito attraverso un indirizzo IP situato in un altro Paese.
4. Movimento laterale: L'attaccante ottiene l'accesso a più macchine della rete sfruttando le vulnerabilità del software e utilizzando le credenziali rubate.
5. Trasferimento dei dati: L'attaccante ruba i dati esfiltrandoli, di solito comprimendoli e criptandoli per evitare il rilevamento.
6. Copertura: L'attaccante nasconde le proprie tracce, eliminando i file, disabilitando la registrazione o utilizzando altri mezzi per rendere l'attacco difficile da rilevare.

Come eseguire una sicurezza adeguata contro le minacce avanzate

Siamo giunti a un punto di svolta nella sicurezza, in cui le organizzazioni devono accettare di essere violate. È anche lecito supporre che tutti i sistemi critici collegati a una rete ed esposti a Internet siano già stati compromessi.

Non ci sono garanzie che un'organizzazione sia esente da questa minaccia. Un'organizzazione può sperare di non essere violata, ma ha senso adottare precauzioni di rilevamento per ogni evenienza. E quando si verifica una violazione, è possibile individuarla il prima possibile.

È fondamentale individuare rapidamente il problema per evitare che si ripeta.

La nostra priorità assoluta è quella di mantenere la nostra azienda in movimento, e il modo migliore per farlo è individuare tempestivamente le violazioni dei dati e reagire rapidamente per ridurre al minimo i danni. Purtroppo, gli eventi recenti hanno dimostrato che le aziende devono fare di più per accorgersi di queste compromissioni.

Comprendere i rischi

Le aziende dovrebbero mantenere lo stesso livello di cautela in materia di sicurezza che adottiamo nella vita di tutti i giorni. Mangereste una barretta di cioccolato da terra che qualcun altro ha già mangiato? Ovviamente no! Allo stesso modo, le aziende non dovrebbero correre rischi inutili quando non sanno cosa potrebbe accadere o come potrebbero andare a finire le cose.

Purtroppo, quando si tratta di sicurezza informatica, questi stessi concetti di buon senso non sono ancora stati instillati. Raccogliere e utilizzare una chiavetta USB caduta a terra è altrettanto rischioso che mangiare cibo dal pavimento. Tuttavia, alla maggior parte delle persone non è stato ancora insegnato a non fare quest'ultima cosa fin dall'infanzia. È fondamentale educare le persone ai pericoli del mondo digitale.

Concentrarsi sulle vulnerabilità dell'organizzazione

Naturalmente ci concentriamo sulle minacce che hanno le maggiori possibilità di essere sfruttate e di avere un impatto significativo. Dieci vulnerabilità principali sono più accessibili da risolvere rispetto a 100 vulnerabilità minori. Invece di migliorare un'esposizione alla volta fino a eliminarla, molte organizzazioni commettono questo errore e si iperfocalizzano sulla riparazione di una vulnerabilità fino a quando non viene risolta, invece di ridurre simultaneamente molti rischi.

Questa visione miope crea un falso senso di sicurezza e dà ai CISO l'impressione di fare il loro lavoro quando, in realtà, stanno apportando solo miglioramenti marginali.

Inoltre, quando la sicurezza di un'organizzazione viene violata, non è in gioco solo il lavoro del CISO. È in gioco la reputazione dell'intera azienda. Pertanto, tutti i membri dell'organizzazione devono essere aggiornati sulle ultime minacce alla sicurezza.

Infine, anche se un'azienda dispone di un'assicurazione per la sicurezza informatica, è necessario fare di più. Il costo medio di una violazione dei dati è di $3,86 milioni, e questa è solo la media! Il costo totale potrebbe essere molto più alto a seconda delle dimensioni dell'azienda e del tipo di dati rubati.

L'assicurazione per la sicurezza informatica copre solo una parte del costo totale e non contribuisce a migliorare la posizione di sicurezza dell'azienda. Quindi, anche se un'azienda ha un'assicurazione, è comunque nel suo interesse fare tutto il possibile per evitare che si verifichi una violazione.

Ridurre la superficie di attacco

Una delle aree critiche della prevenzione delle minacce APT è la riduzione della superficie di attacco o la rimozione dei componenti estranei che non vengono utilizzati. Procedure di hardening ragionevoli e una solida gestione della configurazione sono la chiave del successo.

Le porte aperte e gli script possono rendere un'organizzazione vulnerabile alle violazioni della sicurezza. Se questi servizi vengono violati, le conseguenze potrebbero essere disastrose. Tuttavia, se un'organizzazione utilizza servizi non per scopi legittimi e questi vengono compromessi, avete tutto il diritto di preoccuparvi.

Molti attacchi APT di successo hanno sfruttato le capacità abilitate, ma non vengono utilizzati per scopi pratici.

Le organizzazioni possono migliorare la sicurezza riducendo il numero di funzionalità di software, applicazioni e sistemi. Meno funzioni significano meno opportunità per gli aggressori di trovare una via d'accesso.

Attenzione ai contenuti HTML incorporati nelle e-mail

Le organizzazioni che utilizzano contenuti incorporati in HTML nelle loro e-mail sono più suscettibili agli attacchi di spear phishing delle minacce costanti evolute. Sebbene alcuni utilizzino le funzioni HTML di un'e-mail per giocare con i colori e gli sfondi o per incorporare contenuti, la maggior parte delle aziende non ha bisogno dell'HTML per le proprie operazioni quotidiane.

A volte le persone inviano e-mail contenenti link. Le persone potrebbero cliccare sul link, pensando che li porterà dove vogliono. Ma i criminali informatici hanno trovato un modo per nascondere la destinazione reale nel codice dell'e-mail. 

Se le organizzazioni disattivassero le e-mail HTML, fermerebbero molti attacchi di spear phishing.

Sensibilizzare gli utenti

Molti pericoli entrano in rete con mezzi fraudolenti, ad esempio inducendo l'utente ad aprire un allegato o a fare clic su un link che non dovrebbe. Le sessioni possono contribuire a ridurre l'esposizione complessiva limitando le azioni che l'utente può eseguire con la dovuta consapevolezza.

Classifica dei comportamenti

Spesso gli aggressori più sofisticati utilizzano tattiche standard per determinare se qualcosa è sicuro. Anche se questo metodo non è molto affidabile, è comunque ampiamente utilizzato da innumerevoli aggressori.

Gli aggressori vogliono passare inosservati, quindi è necessario prestare attenzione alle loro azioni. Molti aggressori cercano di apparire come traffico normale. In questo modo riescono a superare i controlli di sicurezza senza essere notati. Ma una volta entrati, mostrano le loro vere intenzioni. È quindi necessario prestare attenzione a determinati tipi di comportamento e capire se si tratta più di un utente normale o di qualcuno con motivazioni malvagie.

Creare un ambiente di sandboxing

Una sandbox è un ambiente di test isolato che consente agli utenti di eseguire programmi o file senza influenzare il resto del sistema.

In un ambiente aziendale tipico ci sono molti utenti che hanno bisogno di accedere a diverse applicazioni e dati. Tuttavia, non tutti gli utenti hanno bisogno di accedere a tutte le applicazioni e a tutti i dati. La maggior parte degli utenti ha bisogno di accedere solo a un piccolo sottoinsieme di applicazioni e dati.

Creando un ambiente sandbox, le aziende possono limitare la quantità di dati e applicazioni a cui gli utenti possono accedere. Una sandbox riduce al minimo le possibilità di violazione dei dati e l'impatto in caso di violazione.

Inoltre, il sandboxing può anche aiutare a prevenire la diffusione del malware. Se un utente apre un file contenente malware, quest'ultimo viene isolato nella sandbox e non può infettare il resto del sistema.

Implementare il privilegio minimo

Il minimo privilegio è un principio di sicurezza che afferma che agli utenti deve essere concesso solo il livello minimo di accesso necessario per svolgere il proprio lavoro.

Ad esempio, gli utenti dovrebbero avere accesso alla modifica solo se leggono i dati da un database. Limitando gli utenti al livello di accesso minimo necessario, le aziende possono ridurre le possibilità di violazione dei dati.

Inoltre, le aziende dovrebbero prendere in considerazione l'implementazione del minimo privilegio per le applicazioni. Se un'applicazione deve solo leggere i dati da un database, non deve avere accesso in scrittura. Limitando le applicazioni al livello di accesso minimo necessario, le aziende possono ridurre ulteriormente le possibilità di violazione dei dati.

Proteggere il traffico in uscita dalla rete

Poiché è più probabile che il traffico in uscita contenga dati rubati da una rete, il suo monitoraggio è ancora più critico. Esaminando il traffico in uscita, è possibile identificare qualsiasi attività insolita e prendere provvedimenti per evitare che l'azienda venga danneggiata.

Capire come funziona il reato

Per proteggere la vostra organizzazione dagli attacchi APT, dovete capire come funzionano gli attacchi. Dovete inoltre rimanere aggiornati sugli ultimi metodi di attacco per preparare le vostre difese.

Controllare l'endpoint

Gli aggressori possono utilizzare un endpoint per entrare in una rete, ma il loro obiettivo principale è solitamente quello di rubare i dati. Se volete proteggere i vostri dati e ridurre al minimo l'impatto di un attacco, concentrarsi sulla protezione e sul monitoraggio dell'endpoint.

Le organizzazioni possono utilizzare diverse tecniche per controllare l'endpoint. Un metodo standard consiste nel richiedere l'autenticazione a due fattori (TFA) per tutti gli utenti. La TFA garantisce che solo gli utenti autorizzati possano accedere ai dati.

Un altro metodo consiste nell'utilizzare il whitelisting delle applicazioni. Questa tecnica consente di eseguire su un endpoint solo applicazioni approvate. Controllando quali applicazioni possono essere eseguite, è possibile ridurre il rischio di un attacco.

È inoltre possibile utilizzare strumenti di monitoraggio per controllare l'endpoint. Questi strumenti possono aiutare a rilevare e rispondere alle attività sospette.

Implementare un sistema di classificazione dei dati

Per proteggere la vostra azienda dalle minacce informatiche, dovete disporre di una procedura di classificazione dei dati adeguata. Un dato sistema di classificazione significa sapere quali informazioni sono abbastanza sensibili da richiedere protezione. Uno dei problemi delle minacce costanti evolutive è che cercano costantemente di sottrarre dati alla vostra organizzazione. È possibile impedire che solo alcune cose lascino la vostra azienda, ma una procedura di classificazione dei dati adeguata vi aiuterà a difendervi da questi attacchi.

Il modo migliore per archiviare i dati è una rete di archiviazione basata su Internet. Questa rete di archiviazione è molto sicura e consente di mantenere i dati al sicuro. È inoltre importante consentire che solo le informazioni necessarie lascino l'azienda, in modo che i dati sensibili rimangano intatti.

Se si dispone di due file, uno di dominio pubblico e l'altro riservato, il file riservato è più a rischio perché le persone potrebbero non sapere che è segreto. Un'organizzazione può ora regolare e gestire il flusso di informazioni con una soluzione di prevenzione della perdita di dati (DLP) strettamente legata alla gestione dei diritti digitali (DRM).

Una procedura di classificazione dei dati adeguata prevede diverse fasi:

1. Determinare l'amministratore

2. Specificare i tipi di dati

3. Categorizzare i dati

4. Impostare i controlli di sicurezza

5. Formare i dipendenti sulla procedura

6. Monitoraggio e revisione della procedura

3. Determinare il valore dei dati

4. Classificare i dati

5. Creare una politica

6. Formazione dei dipendenti

7. Applicare la politica

8. Monitoraggio della conformità

Una procedura di classificazione dei dati è una parte essenziale di qualsiasi piano di sicurezza. Implementando una procedura di classificazione, potete contribuire a proteggere la vostra azienda dalle minacce costanti evolutive.

La sicurezza informatica è fondamentale. Le organizzazioni continueranno a essere violate, ma noi continuiamo a combattere. 

Non possiamo sempre fermare ogni attacco, ma essendo preparati e diligenti, possiamo limitare i danni che gli hacker possono fare.