Advanced Persistent Threats: minacce avanzate

6. Dicembre 2021
| Non ci sono commenti

Condividi post

Le minacce persistenti avanzate (APT) sono attacchi in cui gli hacker ottengono l'accesso a un sistema o a una rete e vi rimangono inosservati per un periodo di tempo più lungo. Ciò è particolarmente pericoloso per le aziende, in quanto offre ai criminali informatici un accesso costante ai dati sensibili.

Questi attacchi APT eludono anche il rilevamento da parte delle tradizionali misure di sicurezza grazie alle loro sofisticate tattiche di evasione e offuscamento. Il seguente articolo descrive come i criminali informatici affrontano i loro attacchi, come le organizzazioni possono individuare i segnali di allarme di un attacco APT e le best practice per mitigare il rischio di queste minacce.

Come funzionano le Advanced Persistent Threats – APT

Gli APT di solito non causano alcun danno nelle reti aziendali o sui computer locali. Invece, il loro obiettivo è solitamente il furto di dati. Queste minacce utilizzano una varietà di tecniche per ottenere l'accesso iniziale a una rete. Ad esempio, gli aggressori possono diffondere malware online, infettare fisicamente i dispositivi direttamente con malware o sfruttare le vulnerabilità nei sistemi per ottenere l'accesso a reti protette.

Questi attacchi differiscono da molte minacce tradizionali, come i tipi di virus e malware, che si comportano allo stesso modo più e più volte e vengono semplicemente riutilizzati per attaccare sistemi o organizzazioni diversi. Gli APT non seguono un approccio generale e di ampia portata, ma sono attentamente pianificati e progettati con l'obiettivo di prendere di mira un'organizzazione specifica e aggirare le misure di sicurezza in atto.

Gli hacker usano spesso il phishing

Gli hacker utilizzano spesso connessioni attendibili per ottenere l'accesso iniziale. In questo modo, gli aggressori possono utilizzare in modo improprio i dati di accesso di dipendenti o partner commerciali che hanno intercettato, ad esempio, tramite attacchi di phishing o altri metodi. Ciò consente loro di rimanere inosservati abbastanza a lungo da esplorare i sistemi ei dati dell'azienda e sviluppare un piano di attacco strategico per il furto di dati.

Il malware avanzato è fondamentale per il successo di un attacco APT. Una volta attaccata la rete, il malware avanzato può nascondersi da determinati sistemi di rilevamento, navigare nella rete da un sistema all'altro, raccogliere dati e monitorare l'attività di rete. Anche la capacità dei criminali di controllare a distanza una minaccia persistente avanzata è fondamentale. Ciò consente agli hacker di navigare nell'intera rete aziendale per identificare i dati critici, ottenere l'accesso alle informazioni desiderate e avviarne l'esfiltrazione.

Segnale di avvertimento per le minacce persistenti avanzate

Le minacce persistenti avanzate sono intrinsecamente difficili da rilevare. In effetti, questi tipi di attacchi si basano sulla loro capacità di non essere rilevati per raggiungere il loro obiettivo. Tuttavia, ci sono alcuni importanti segnali di allarme che indicano che un'organizzazione potrebbe essere interessata da un attacco APT:

  • Un aumento degli accessi al di fuori dell'orario di lavoro o quando alcuni dipendenti normalmente non accedono alla rete.
  • Rilevamento di trojan backdoor diffusi: i trojan backdoor sono comunemente utilizzati dagli hacker quando tentano un attacco APT per assicurarsi di mantenere l'accesso alla rete anche se un utente le cui credenziali sono state compromesse scopre la violazione e le modifiche alle credenziali.
  • Flussi di dati grandi e insoliti: i team di sicurezza devono essere consapevoli di grandi flussi di dati da origini interne a computer interni o esterni. Questi flussi dovrebbero differire dalla linea di base tipica dell'azienda.
  • Rilevamento di pacchetti di dati insoliti: gli aggressori che eseguono un attacco Advanced Persistent Threat spesso raggruppano i dati all'interno della rete prima di tentare di estruderli. Questi pacchetti di dati vengono spesso scoperti dove i dati non sono generalmente archiviati all'interno dell'organizzazione e talvolta sono impacchettati in formati di archiviazione che l'organizzazione normalmente non utilizzerebbe.
  • Rileva gli attacchi pass-the-hash: gli attacchi che rubano gli hash delle password dai database o dall'archiviazione per creare nuove sessioni autenticate non vengono sempre utilizzati con gli APT. Tuttavia, la scoperta di questi attacchi alla rete dell'azienda richiede sempre ulteriori indagini.

Le minacce persistenti avanzate, che in passato prendevano di mira principalmente organizzazioni o aziende di alto livello con dati preziosi, sono ora sempre più comuni anche nelle organizzazioni più piccole. Poiché gli aggressori utilizzano metodi di attacco sempre più sofisticati, le organizzazioni di tutte le dimensioni devono fare attenzione a implementare solide misure di sicurezza in grado di rilevare e rispondere a queste minacce.

Best practice contro minacce persistenti avanzate

Tim Bandos, Chief Information Security Officer presso Digital Guardian

Tim Bandos, Chief Information Security Officer presso Digital Guardian

Le tecniche avanzate di evasione e offuscamento del malware rendono molte soluzioni di sicurezza tradizionali inefficaci nel rilevare o mitigare gli attacchi APT. Ecco perché i team di sicurezza hanno bisogno di soluzioni che utilizzino il rilevamento basato sul contesto e sul comportamento per identificare e bloccare il malware in base alle sue attività, non alle firme. Per migliorare il rilevamento degli attacchi APT, i team di sicurezza dovrebbero controllare l'aumento dell'attività delle minacce o altre anomalie nei sistemi. A livello di endpoint, fai attenzione ai segnali di allarme di un attacco APT, come la ricognizione della rete, i trasferimenti di file sospetti e la comunicazione con i server di comando e controllo sospetti.

Le moderne tecnologie avanzate di rilevamento delle minacce forniscono sandboxing e monitoraggio per rilevare gli attacchi APT. Il sandboxing consente al file sospetto di essere eseguito ed essere osservato in un ambiente isolato prima che venga consentito alla rete, rilevando potenzialmente una minaccia prima che abbia la possibilità di infiltrarsi nei sistemi e causare danni.

Prevenzione e protezione contro gli APT

La prevenzione e la protezione avanzate dal malware dovrebbero concentrarsi sulla protezione dei vettori delle minacce (sia punti di infiltrazione che di esfiltrazione) per ridurre al minimo il potenziale di infezione e furto di dati. L'applicazione di controlli a vettori come e-mail, connessioni Internet, trasferimenti di file e USB fornisce protezione contro le infezioni da malware avanzate per gli attacchi nella fase iniziale, nonché l'esfiltrazione di dati nel caso in cui un'infezione da malware tenti con successo le fasi finali del suo attacco. Come ultima linea di difesa, tutte le risorse di dati sensibili dovrebbero essere crittografate e tutte le chiavi dovrebbero essere mantenute al sicuro. Ciò garantisce che il danno rimanga basso anche se la rete viene infiltrata e l'incidente non viene rilevato.

Poiché gli attacchi di ingegneria sociale sono così diffusi, le organizzazioni dovrebbero anche fornire ai propri dipendenti una formazione completa e continua. Gli attacchi di phishing sono un metodo popolare per gli attacchi APT. È quindi importante che i dipendenti abbiano familiarità con le tattiche utilizzate dagli aggressori. Con un approccio a più livelli da diverse tecnologie di sicurezza e dipendenti addestrati, la difesa contro gli attacchi APT può essere notevolmente rafforzata.

Altro su Digitalguardian.com

 

A proposito di Digital Guardian

Digital Guardian offre una sicurezza dei dati senza compromessi. La piattaforma di protezione dei dati fornita dal cloud è appositamente creata per prevenire la perdita di dati da minacce interne e aggressori esterni su sistemi operativi Windows, Mac e Linux. La piattaforma di protezione dei dati di Digital Guardian può essere implementata attraverso la rete aziendale, gli endpoint tradizionali e le applicazioni cloud. Per più di 15 anni, Digital Guardian ha consentito alle aziende a uso intensivo di dati di proteggere le loro risorse più preziose su base SaaS o servizio completamente gestito. L'esclusiva visibilità dei dati e i controlli flessibili di Digital Guardian consentono alle organizzazioni di proteggere i propri dati senza rallentare le operazioni aziendali.

 

Articoli relativi all'argomento

Sicurezza IT: NIS-2 ne fa una priorità assoluta

Solo in un quarto delle aziende tedesche il management si assume la responsabilità della sicurezza informatica. Soprattutto nelle aziende più piccole ➡ Leggi di più

Gli attacchi informatici aumenteranno del 104% nel 2023

Una società di sicurezza informatica ha dato uno sguardo al panorama delle minacce dello scorso anno. I risultati forniscono informazioni cruciali su ➡ Leggi di più

MDR e XDR tramite Google Workspace

Che si tratti di un bar, di un terminal aeroportuale o di un ufficio a casa, i dipendenti lavorano in molti luoghi. Tuttavia, questo sviluppo comporta anche delle sfide ➡ Leggi di più

Lo spyware mobile rappresenta una minaccia per le aziende

Sempre più persone utilizzano i dispositivi mobili sia nella vita di tutti i giorni che in azienda. Ciò riduce anche il rischio di “mobile ➡ Leggi di più

La sicurezza in crowdsourcing individua molte vulnerabilità

La sicurezza in crowdsourcing è aumentata in modo significativo nell’ultimo anno. Nel settore pubblico sono state segnalate il 151% in più di vulnerabilità rispetto all’anno precedente. ➡ Leggi di più

L'intelligenza artificiale su Enterprise Storage combatte il ransomware in tempo reale

NetApp è uno dei primi a integrare l'intelligenza artificiale (AI) e il machine learning (ML) direttamente nello storage primario per combattere il ransomware ➡ Leggi di più

Sicurezza digitale: i consumatori hanno più fiducia nelle banche

Un sondaggio sulla fiducia digitale ha mostrato che le banche, la sanità e il governo sono i soggetti più fidati da parte dei consumatori. I media- ➡ Leggi di più

Borsa di lavoro nel Darknet: gli hacker cercano insider rinnegati

La Darknet non è solo uno scambio di beni illegali, ma anche un luogo dove gli hacker cercano nuovi complici ➡ Leggi di più

racconti
, , , , ,