Che cos'è una minaccia persistente avanzata?

Pubblicato: 2021-06-10

Una minaccia persistente avanzata è un tipo di attacco in cui un hacker o qualsiasi utente non autorizzato accede con forza a un sistema oa una rete per un tempo considerevole e rimane lì senza che nessuno se ne accorga.

Le minacce persistenti avanzate (APT) sono eccezionalmente pericolose, in particolare per le aziende perché questi hacker hanno accesso coerente a dati aziendali altamente riservati. L'obiettivo principale delle minacce persistenti avanzate non è quello di causare danni a macchine o reti locali, ma più legato al furto di dati.

In questo articolo
  • Come funziona APT
  • Stages è l'evoluzione degli attacchi APT (Advanced Persistent Threat).
  • Come identificare le minacce persistenti avanzate
  • Esempi avanzati di minacce persistenti
  • Misure di sicurezza APT
  • Best practice per la sicurezza di rete

Quali sono i passaggi avanzati di minaccia persistente e come funziona?

Le minacce persistenti avanzate vengono solitamente eseguite in modo graduale, che inizia con l'hacking della rete seguito dall'evitare qualsiasi rilevamento dell'hacking. Inoltre, gli hacker costruiscono un piano di attacco, in cui mappano i dati dell'azienda per scoprire dove la percentuale è più facilmente accessibile. Infine, raccolgono questi dati sensibili e li sottraggono.

Si dice che queste minacce causino molte violazioni dei dati con un grande impatto finanziario. La sua capacità di non essere rilevata da alcune delle tradizionali misure di sicurezza è il punto preoccupante per le aziende. E per aumentare ulteriormente le preoccupazioni delle aziende, gli hacker stanno creando metodi più sofisticati per raggiungere i propri obiettivi, provocando un aumento dilagante delle minacce persistenti avanzate.

Le minacce persistenti avanzate utilizzano metodi diversi per ottenere l'accesso iniziale a una rete; in alcuni casi, gli aggressori possono utilizzare Internet per inviare malware e ottenere l'accesso. A volte inducono anche infezioni fisiche da malware o sfruttamento esterno in modo che possano entrare in una rete protetta.

Rispetto a molte delle minacce tradizionali come virus e malware che mostrano lo stesso comportamento in modo coerente, ogni volta le minacce persistenti avanzate sono molto diverse. Le minacce persistenti avanzate non hanno un approccio ampio o generico.

Al contrario, sono minacce meticolosamente e attentamente pianificate, con un obiettivo chiaramente definito di prendere di mira un'organizzazione specifica. Pertanto, le minacce persistenti avanzate sono estremamente personalizzate e progettate in modo molto sofisticato per sfuggire alle misure di sicurezza esistenti in un'azienda.

Più spesso, gli hacker hanno utilizzato connessioni affidabili per ottenere l'accesso iniziale. Ciò significa che gli hacker possono ottenere l'accesso tramite le credenziali di dipendenti o partner commerciali, a cui si accede nuovamente tramite attacchi di phishing. Utilizzando queste credenziali, gli aggressori possono rimanere inosservati nel sistema per molto tempo, abbastanza per mappare i sistemi ei dati dell'organizzazione e preparare un piano di attacco per drenare i dati dell'azienda.

Dal punto di vista del successo delle minacce persistenti avanzate, il malware è un componente critico. Una volta che una particolare rete viene violata, il malware può facilmente nascondersi da alcuni dei sistemi di navigazione standard, spostarsi da un sistema all'altro, iniziare a raccogliere dati e monitorare l'attività della rete.

Un altro aspetto fondamentale è la capacità di questi hacker di operare in remoto e controllare in remoto queste avanzate minacce persistenti. Dà agli hacker l'opportunità di navigare attraverso la rete aziendale alla ricerca di dati critici, ottenere l'accesso alle informazioni e quindi iniziare a sottrarre quei dati.

Cinque fasi di un attacco persistente avanzato in evoluzione

L'attacco di una minaccia persistente avanzata può essere condotto in cinque diverse fasi come:

  • Fase 1: ottieni l'accesso

    È qui che gli hacker o gli hacktivist ottengono l'accesso iniziale a una rete in uno dei tre modi. Sia attraverso sistemi basati sul web, reti o utenti umani. Cercano le vulnerabilità delle applicazioni e caricano file dannosi.

  • Fase 2: stabilire un punto d'appoggio

    Una volta ottenuto l'accesso iniziale, gli hacker compromettono il sistema inserito creando un trojan backdoor, che viene mascherato per farlo sembrare un software legittimo. In questo modo possono accedere alla rete controllando il sistema inserito da remoto.

  • Fase 3: Approfondire l'accesso

    Dopo aver stabilito il loro punto d'appoggio, gli aggressori raccolgono più informazioni sulla rete. Tentano di attaccare con forza e scoprire le vulnerabilità nella rete, attraverso le quali possono ottenere un accesso più profondo e quindi controllare sistemi aggiuntivi.

  • Fase 4: Muoversi lateralmente

    Una volta entrati in profondità nella rete, questi aggressori creano ulteriori canali backdoor, che danno loro l'opportunità di spostarsi lateralmente attraverso la rete e accedere ai dati quando e quando ne hanno bisogno.

  • Fase 5: Guarda, impara e rimani

    Una volta che iniziano a spostarsi attraverso la rete, inizieranno a raccogliere i dati e si prepareranno per trasferirli all'esterno del sistema, noto come esfiltrazione. Creeranno una deviazione sotto forma di un attacco DDoS, mentre gli aggressori sottraggono i dati. Se l'attacco APT non è stato rilevato, gli aggressori rimarranno all'interno della rete e continueranno a cercare opportunità per un altro attacco.

( Leggi anche : Cos'è la sicurezza nel cloud?)

Come rilevare una minaccia persistente avanzata?

A causa della loro natura, le minacce persistenti avanzate non sono facilmente rilevabili. Di fatto, queste minacce si basano sulla loro capacità di passare inosservate per svolgere il loro compito. Tuttavia, ci sono alcuni indicatori che la tua azienda può riscontrare, che possono essere trattati come segnali premonitori:

  • Un aumento del numero di accessi a tarda notte o quando i dipendenti non accedono alla rete.
  • Quando noti trojan backdoor su larga scala. Questi vengono solitamente utilizzati dagli hacker che utilizzano minacce persistenti avanzate per garantire che possano mantenere l'accesso alla rete.
  • Dovresti cercare un flusso di dati improvviso e ampio, dalle origini interne alle macchine interne ed esterne.
  • Dai un'occhiata ai pacchetti di dati. Viene solitamente utilizzato dagli aggressori che pianificano minacce persistenti avanzate poiché aggregano i dati all'interno della rete prima che gli hacker spostino i dati all'esterno della rete.
  • Identificazione degli attacchi pass-the-hash. Questi sono solitamente mirati allo storage pass-the-hash o alla memoria in cui vengono conservati i dati della password. L'accesso darà l'opportunità di creare nuove sessioni di autenticazione. Anche se potrebbe non essere una minaccia persistente avanzata, in tutti i casi l'identificazione di una tale condizione è soggetta a ulteriori indagini.

Ciò che in precedenza si pensava fosse un obiettivo solo per le organizzazioni più grandi, le minacce persistenti avanzate non stanno penetrando anche nelle aziende di piccole e medie dimensioni. Poiché questi hacker utilizzano metodi sofisticati per attaccare, le organizzazioni, indipendentemente dalle loro dimensioni, dovrebbero implementare solide misure di sicurezza per affrontare questo problema.

Quali sono alcuni degli esempi avanzati di minacce persistenti?

Società di sicurezza informatica come Crowdstrike(1) hanno monitorato oltre 150 situazioni avverse di questo tipo in tutto il mondo; che include attivisti di hacking ed eCriminal. In realtà hanno un metodo per usare nomi di attori e animali associati alla regione.

Ad esempio, BEAR si riferisce alla Russia, PANDA si riferisce alla Cina, KITTEN all'Iran e SPIDER è un eCrime che non è limitato a una regione. Ecco alcuni degli esempi di minacce persistenti avanzate rilevate da Crowdstrike.

  1. APT 27 (GOBLIN PANDA)

    Ciò è stato rilevato per la prima volta nel 2013 quando gli hacker hanno attaccato la rete di una grande azienda tecnologica con attività commerciali in più settori.

  2. APT28 (ORSO FANTASIA)

    Questa particolare minaccia persistente avanzata utilizza spoofing di siti Web e messaggi di phishing che sono in realtà simili a quelli legittimi per accedere a dispositivi come computer e telefoni cellulari.

  3. APT32 (bufalo oceanico)

    Questo è un avversario con sede fuori dal Vietnam ed è attivo dal 2012. Questa minaccia persistente avanzata utilizza una combinazione di strumenti standard insieme alla distribuzione di malware tramite Strategic Web Compromise, noto anche come SWC.

Oltre a quelli sopra menzionati, che sono stati rilevati da Crowstrike, ci sono altri esempi di minacce persistenti avanzate come:

  • Ghostnet: ha sede fuori dalla Cina, dove gli attacchi sono stati pianificati ed eseguiti tramite e-mail di phishing che contenevano malware. Il gruppo ha effettivamente preso di mira dispositivi in ​​più di 100 paesi
  • Stuxnet: questo è un malware che prende di mira principalmente i sistemi SCADA (applicazioni industriali pesanti), il che è stato evidente dal suo successo nel penetrare le macchine utilizzate nel programma nucleare iraniano.
  • Sykipot: questo è un tipo di malware che attacca principalmente le smart card.

Misure di sicurezza APT

È chiaro che la minaccia persistente avanzata è un attacco multiforme e che è necessario adottare più misure di sicurezza, sotto forma di strumenti e tecniche.

  • Monitoraggio del traffico: questo consentirà alle aziende di identificare le penetrazioni, qualsiasi tipo di movimento laterale e l'esfiltrazione dei dati.
  • Whitelist di applicazioni e domini: assicurati che i domini e le applicazioni noti e affidabili siano inseriti nella whitelist.
  • Controllo degli accessi: è necessario impostare protocolli di autenticazione avanzati e gestione degli account utente. Se ci sono account privilegiati, devono avere un'attenzione speciale.

Misure di best practice da adottare per la protezione della rete.

La dura realtà delle minacce persistenti avanzate è che non esiste un'unica soluzione efficace al 100%. Pertanto, esamineremo alcune delle migliori pratiche per la protezione APT.

  • Installa un firewall:

    È importante scegliere la giusta struttura del firewall che fungerà da primo livello di difesa contro le minacce persistenti avanzate.

  • Attiva un firewall per applicazioni web:

    Questo può essere utile perché previene gli attacchi provenienti da Internet/applicazione Web, in particolare che utilizza il traffico HTTP.

  • Antivirus:

    Avere l'antivirus più recente e aggiornato in grado di rilevare e prevenire programmi come malware, trojan e virus.

  • Sistemi di prevenzione delle intrusioni:

    È importante disporre di sistemi di prevenzione delle intrusioni (IPS) poiché funzionano come un servizio di sicurezza che monitora la tua rete per qualsiasi codice dannoso e ti avvisa immediatamente.

  • Avere un ambiente sandbox:

    Ciò sarà utile per testare eventuali script o codici sospetti senza causare alcun danno al sistema live.

  • Configura una VPN:

    Ciò garantirà che gli hacker APT non ottengano un facile accesso alla tua rete.

  • Imposta la protezione della posta elettronica:

    Poiché le e-mail sono una delle applicazioni utilizzate più regolarmente, sono anche vulnerabili. Quindi, attiva la protezione da spam e malware per le tue e-mail.

Pensieri finali

Le minacce persistenti avanzate bussano costantemente alla porta e hanno solo bisogno di una piccola apertura nella tua rete per creare un danno su larga scala. Sì, questi attacchi non possono essere rilevati, ma con le misure adeguate in atto, le aziende possono essere vigili per evitare qualsiasi avversità dovuta a questi attacchi. Seguire le migliori pratiche e impostare misure di sicurezza si tradurrà in un'efficace prevenzione di tali attacchi.

Altre risorse utili:

Cinque consigli e strategie per evitare le minacce informatiche

10 modi per prevenire le minacce interne

Minacce informatiche da combattere nel 2021

Importanza della sicurezza informatica negli affari