Cos'è una minaccia persistente avanzata (advanced persistent threat, APT)?

Esplora il mondo delle APT, caratterizzato da tattiche e strategie sofisticate in continua evoluzione, che creano nuove sfide per la cybersecurity a livello globale.

Panoramica

Definizione
Come funziona
Tipi di ATP
Fasi di attacco
Rilevamento e risposta

Soluzioni di sicurezza

Una ATP (advanced persistent threat, minaccia persistente avanzata) è una classe di attacchi che prende di mira un'organizzazione specifica, entra nell'ambiente e poi si nasconde al suo interno, senza essere individuata, esfiltra dati o aspetta il momento giusto per sferrare un attacco più devastante. I tratti distintivi di questo tipo di minaccia sono il prendere di mira bersagli strategici, la sua persistenza e le tattiche, le tecniche e le procedure avanzate che utilizza.

Lo scopo principale di un attacco di tipo APT è fare soldi. Gli intrusi a volte esfiltrano i dati, mentre in altre situazioni aspettano le condizioni migliori per portare a termine il loro attacco. Di solito, l'obiettivo finale è quello di rendere estremamente difficile la prevenzione, la protezione, il rilevamento e la risposta ad attacchi successivi. In parole povere, questi aggressori non vogliono che tu sappia che si trovano nel tuo ambiente.

Spesso vengono prese di mira entità di alto valore, in genere quelle che possiedono dati sensibili e significativi o che svolgono un ruolo importante per la sicurezza o la stabilità economica nazionale. Le organizzazioni vengono colpite in base al loro valore strategico e all'impatto potenziale della loro compromissione: enti governativi, enti con infrastrutture critiche, appaltatori in campo militare, venditori e fornitori della catena di approvvigionamento delle organizzazioni prese di mira.

Un altro tipico bersaglio sono le grandi aziende e le organizzazioni governative, per via dell'enorme volume di dati preziosi in loro possesso. Sempre più spesso le piccole imprese sono vittima di exploit perché fanno parte della catena di approvvigionamento di un'organizzazione più grande. Questo permette all'attaccante di infiltrarsi nell'obiettivo principale, di maggiore dimensione.

I criminali che sfruttano le APT gettano i loro ami in tutte le verticali. Tra gli obiettivi di alto valore ci sono quelli dei settori della difesa, della finanza, del diritto, dell'industria, delle telecomunicazioni e dei beni di consumo.

Come funziona?

Le minacce persistenti avanzate (advanced persistent threat, APT) si distinguono dalle altre minacce informatiche per la loro sofisticazione e per la loro complessità, poiché combinano tecniche avanzate con tattiche sociali in cui è facile imbattersi, come ilphishing o lo spam. Sono pianificate ed eseguite meticolosamente, concentrandosi su un singolo obiettivo dopo un'approfondita ricerca della superficie di attacco della vittima. Nella fase di esecuzione di un'APT, l'obiettivo è rimanere inosservati all'interno della rete il più a lungo possibile. Questa fase può durare settimane o perfino anni.

Vedi altro

Utilizzando risorse di intelligence commerciali e open-source, le APT impiegano una gamma completa di tecniche di raccolta di informazioni, dal malware di base amstrumenti di spionaggio di livello statale. La natura molto concreta delle APT si riflette anche nelle metodologie utilizzate. Viene preferita un'esecuzione manuale rispetto agli script automatizzati, poiché gli aggressori cercano di personalizzare gli attacchi e di utilizzare metodi come gli attacchi fileless e Living off the Land.

Vengono spesso utilizzate tecniche di attacco comuni e molto efficaci, come RFI, SQL injection e XSS. Tra i sintomi caratteristici di un attacco APT ci sono trojan backdoor, attività insolite degli account e anomalie nei flussi di dati una volta che l'aggressore ha stabilito un punto d'appoggio ed è attivo in un ambiente.

Le APT spesso distribuiscono malware personalizzato (malware APT) progettato per eludere il rilevamento e fornire il comando e il controllo remoto dei sistemi compromessi. Strumenti, tattiche, tecniche e procedure vengono spesso aggiornati per eludere il rilevamento. Anche quando alcune parti dell'operazione vengono scoperte, gli aggressori possono comunque riconquistare l'accesso. Questo approccio "a basso profilo" è dovuto al perseguimento di obiettivi strategici a lungo termine come lo spionaggio, l'interruzione puntuale di servizi, il furto di dati, ed è preferito all'impiego di serie incessanti di attacchi o di ransomware che colpiscono all'improvviso e in modo devastante.

Tipi di minacce persistenti avanzate

Le APT vengono classificate in base a diversi criteri, dalla loro origine e dai loro metodi di infiltrazione fino al loro focus geografico.

Nonostante non esista un insieme compiuto di caratteristiche che permetta di definire ogni minaccia persistente avanzata, queste sono le categorie di APT più comunemente riscontrate e di cui si dpiù si parla:

· APT di stati-nazione: grazie agli enormi budget a disposizione e all'accesso a tecnologie all'avanguardia, oltre che alla copertura legale, questi aggressori portano a termine alcune delle azioni più sofisticate, come operazioni di spionaggio a lungo termine, furti di dati, manipolazione dell'opinione pubblica, ecc. Hanno obiettivi politici o militari ben definiti e prendono di mira organizzazioni governative, installazioni militari, infrastrutture chiave, operatori economici e, in sostanza, chiunque o qualsiasi cosa possa aiutarli a raggiungere i loro obiettivi finali.

· APT di gruppi criminali: alcuni gruppi impegnati in attività APT si concentrano sul furto di denaro o di altri dati di valore come la proprietà intellettuale, o sulla compromissione dei dati a scopo di ricatto o di estorsione. Spesso l'obiettivo finale di questi aggressori è quello di distribuire ransomware in reti di alto valore, commettere frodi bancarie, rubare e vendere dati sulle carte di credito o addirittura estrarre criptovalute illegalmente utilizzando l'infrastruttura delle vittime.

· APT di hacktivisti: alcuni gruppi sfruttano le loro capacità informatiche per sostenere programmi politici, favorire cambiamenti sociali o promuovere ideologie attraverso attacchi mirati che puntano a spegnere le critiche, diffondere propaganda o distruggere gli oppositori. Le loro tattiche includono attacchi DDoS (Distributed Denial of Service), defacement di siti web e divulgazione di informazioni sensibili. Questi gruppi sono in cerca di pubblicità e spesso si esprimono attraverso manifesti o messaggi pubblici.

· APT corporate/aziendali: impiegate o sponsorizzate da organizzazioni commerciali, queste APT spiano i concorrenti, di solito a livello di grandi aziende. Con l'emergere dell'APT-as-a-service, oggi esistono gruppi di criminali informatici qualificati che offrono i propri servizi per lo spionaggio industriale. Gli aggressori di questa categoria mirano a ottenere un vantaggio competitivo, un guadagno finanziario o ad acquisire informazioni preziose per lo spionaggio aziendale.

Fasi di un attacco persistente avanzato

1. Infiltrazione – ottenere un punto d'appoggio: nella prima fase, gli aggressori sfruttano le vulnerabilità o utilizzano tecniche di social engineering per ottenere un accesso non autorizzato. I metodi vanno dall'exploit di vulnerabilità zero-day o di debolezze della rete allo spear-phishing, che prende di mira persone chiave dell'organizzazione. L'obiettivo è quello di stabilire un punto di ingresso discreto, creando le premesse per l'attacco.

2. Espansione – esplorazione per instaurare una persistenza: dopo il successo dell'infiltrazione, gli aggressori si spostano lateralmente sulla rete per espandere il loro controllo e penetrare più a fondo nel sistema. In genere cercano account con privilegi elevati, che godono di un migliore accesso ai sistemi critici e ai dati sensibili. Gli aggressori possono utilizzare malware per creare una rete di backdoor e tunnel, che rende più facile muoversi senza essere scoperti all'interno del sistema. Gli sforzi degli aggressori sono volti a trincerarsi in una posizione più adatta a raggiungere i loro obiettivi primari.

3. Estrazione – creazione di una via di uscita: Spesso, in questa fase, gli aggressori conoscono già le vulnerabilità del sistema e il modo in cui funziona. Questa familiarità permette loro di raccogliere le informazioni necessarie e magari di archiviarle in un luogo sicuro all'interno della rete. Per evitare di essere individuati durante l'estrazione, gli aggressori utilizzano distrazioni come gli attacchi DDoS (Distributed Denial-of-Service).

In alcuni casi, ottenere informazioni non è l'obiettivo finale dell'APT. Le risorse vengono invece dirette a minare un progetto, una missione o un programma importante dell'organizzazione presa di mira.

Indipendentemente dall'obiettivo, gli agressori cercano sempre di coprire le loro tracce per rimanere nelle rete senza essere scoperti per sferrare ulteriori attacchi.

Rilevamento e risposta alle APT

L'individuazione di una minaccia persistente avanzata (advanced persistent threat, APT) richiede una strategia di sicurezza completa che comprenda la ricerca delle minacce nei processi, nei workload e nelle piattaforme, il monitoraggio meticoloso dell'ambiente e l'analisi del traffico di rete in ingresso e in uscita. I team di cybersecurity devono essere abili nel riconoscere anche i "segnali" meno evidenti dell'attività di una APT, come gli schemi di traffico che spesso sono dietro a strategie di comando e controllo. Questi indicatori deboli devono venire raccolti o in un'analisi consolidata delle minacce che possa essere rapidamente consultata e gestita da un essere umano. Senza questo strumento, i team potrebbero avere difficoltà a reagire in modo tempestivo ed efficace.

Dopo il rilevamento, la risposta deve essere immediata e mirata. L'obiettivo è quello di identificare i sistemi interessati, rimuovere le backdoor e impedire movimenti laterali. Le organizzazioni devono anche investire tempo e sforzi in una meticolosa analisi post-incidente, per rafforzare le difese contro attacchi futuri. Analizzare sia gli aspetti tecnici della violazione che le procedure operative è fondamentale per ridurre il profilo di rischio dell'organizzazione.

Esistono alcune best practice che un'organizzazione può seguire per ridurre le vulnerabilità di sicurezza comunemente sfruttate dalle APT, come ad esempio, ma non solo:

· Ridurre la superficie di attacco con aggiornamenti regolari e l'applicazione della patch a software, applicazioni e dispositivi.

· Implementazione di un monitoraggio completo del traffico di rete, delle applicazioni e dei domini, oltre che di solide misure di controllo degli accessi, tra cui l'autenticazione a due fattori, per proteggere i punti chiave di accesso alla rete.

· Crittografia di tutte le connessioni remote.

· Ispezionare le e-mail in arrivo per mitigare i rischi associati allo spear-phishing.

· Analizzare e creare immediatamente dei registri degli eventi di sicurezza per facilitare l'identificazione e una risposta rapida alle minacce.

Misure di sicurezza e prevenzione dalle APT

Al livello più elementare, una formazione regolare del personale può ridurre in modo significativo il rischio rappresentato dai fattori umani. L'errore umano è spesso l'anello più debole nella cybersecurity e le APT lo sfruttano spesso attraverso tecniche di social engineering. Disporre di un piano di risposta agli incidenti formalizzato e testato consente di agire in modo efficace e coordinato durante una violazione della sicurezza.

Le minacce persistenti avanzate (advanced persistent threat (APT) sono in continua evoluzione e per questo rappresentano una vera e propria sfida per i team di sicurezza. Questa evoluzione mette a dura prova la loro capacità di monitorare e di mitigare le minacce, nonché di resistere alle loro conseguenze. I team di sicurezza possono rilevare e rispondere alle minacce avanzate utilizzando il MITRE ATT&CK Framework, una knowledge base globale delle tattiche e delle tecniche usate dagli aggressori.

Le limitazioni di budget e la persistente carenza di professionisti qualificati lasciano i Security Operations Center (SOC), i Managed Security Services Provider (MSSP) e i team di sicurezza interni privi delle risorse necessarie. Il continuo aumento di attacchi informatici sofisticati ha portato a un aumento dei team di sicurezza che integrano i dati provenienti dagli strumenti di rilevamento standard con dati pratici di intelligence sulle minacce.

Le informazioni sulle minacce, se affiancate da sistemi Endpoint Detection and Response (EDR), diventano un formidabile alleato. L'estensione dell'EDR ai feed e la creazione di Extended Detection and Response (XDR) aiutano le organizzazioni a sfruttare la visibilità su tutti gli asset e i dispositivi di rete per individuare potenziali punti di ingresso per le APT.

L'analisi approfondita dei log da parte di un team non permette di distinguere in tempo reale le attività malevole da quelle legittime. Pertanto, una buona difesa informatica è una soluzione di difesa informatica automatizzata e intelligente che sfrutta l'intelligence sulle minacce informatiche e meccanismi di difesa avanzati per dare la caccia agli aggressori.

Molte organizzazioni collaborano con aziende di cybersecurity per l'adozione di strategie di difesa avanzate, implementando sensori, utilizzando dati di intelligence sulle minacce, indicatori di compromissione (IOC) e web application firewall (WAF). Queste partnership sono fondamentali per fornire risultati facilmente consultabili nella caccia alle minacce, con l'obiettivo di ricercare in modo proattivo gli indicatori delle attività APT all'interno dell'impronta multicloud o ibrida di un'organizzazione.

Domande frequenti

Perché la community della cybersecurity ha sentito il bisogno di isolare le advanced persistent threat dalla categoria più ampia delle minacce informatiche?

Le APT rappresentano una categoria di minacce molto più complesse, metodiche e ad alta intensità di risorse rispetto ai tipici incidenti informatici.

La creazione di questa classificazione deriva dalla necessità di identificare e affrontare le sfide uniche poste da avversari le cui campagne non sono semplicemente opportunistiche o motivate da obiettivi finanziari, ma anche strategiche e persistenti.

Altri fattori di differenziazione che hanno fatto sì che APT si affermasse come un termine di uso comune sono le strategie di infiltrazione a lungo termine, i finanziamenti significativi e l'orgine di attacchi spesso sponsorizzati da uno stato.

Esiste un modo per assicurarsi che gli attori APT non mi considerino un bersaglio?

A causa della loro natura spesso imprevedibile e strategica, è quasi impossibile garantire che gli attori APT non considerino un'organizzazione o un individuo un obiettivo. Se hai un'impronta digitale, sei esposto a potenziali attacchi.

Nelle economie interconnesse di oggi, neppure le PMI più piccole possono ritenersi al sicuro, poiché le organizzazioni più grandi spesso vengono infiltrate attraverso le aziende più piccole della loro catena di approvvigionamento. Pertanto, una vigilanza costante, una valutazione regolare dei rischi e l'implementazione di pratiche di cybersecurity sono gli unici strumenti reali per ridurre al minimo le possibilità di diventare bersaglio delle APT.

È possibile che l'infiltrazione di APT avvenga attraverso l'inserimento intenzionale di una minaccia interna nell'organizzazione?

Le minacce interne sono rappresentate da individui in posizioni di fiducia all'interno di un'organizzazione che agiscono come aggressori. Può trattarsi di dipendenti scontenti che agiscono per motivi politici o finanziari, oppure di agenti piazzati intenzionalmente. Queste minacce interne possono essere estremamente difficili da individuare e da mitigare, poiché possono accedere in modo legittimo alla rete, oltre che avere una profonda conoscenza delle pratiche di sicurezza.

Per ridurre al minimo il rischio di infiltrazioni APT, le organizzazioni possono promuovere una cultura della sicurezza basata su una formazione regolare dei dipendenti, su controlli rigorosi dei precedenti, sull'applicazione del principio del minimo privilegio nel controllo degli accessi (zero-trust) e sul monitoraggio del comportamento del personale con sistemi SIEM (Security Information and Event Management).