Menu

Sicurezza IT: come difendersi dalle minacce APT

Gli attacchi di tipo APT (Advanced Persistent Threat) costituiscono il trend attualmente in maggior crescita tra i pericoli per la sicurezza dei sistemi, grazie anche al diffondersi dei Social Media e del BYOD. Fortinet fornisce una serie di suggerimenti sui criteri per rilevarle e proteggersene in tempo pressoché reale.

In fatto di Sicurezza IT, le Advanced Persistent Threat - o APT - costituiscono oggi uno dei fronti più caldi sui quali si sviluppano gli attacchi informatici. L'interesse che sta rendendo popolare questo genere di attacchi è determinato da un lato dagli elevati danni che riescono ad arrecare alle proprie vittime, dall'altro dalle oggettive difficoltà di fronteggiarli con efficaci soluzioni di protezione. La caratteristica principali di questo genere di attacchi è che puntano ad insinuarsi nei sistemi per poi continuare nel tempo la propria azione estendendo progressivamente le aree di intervento. Percorso che risulta facilitato dalla sempre più pervasiva delle persone e delle aziende nei Social Network e dal diffondersi delle pratiche BYOD (Bring Your Own Device).

Evoluzione nel tempo degli attacchi APT

Gli attacchi APT non sono mai traversali e generici, ma si concentrano di solito su obiettivi ben mirati, tipo un'azienda, una persona, un determinato sito. Nella prima fase, l'attacco APT viene quindi preparato dagli hacker rilevando tutte le informazioni possibili sul bersaglio da colpire. Usando vari strumenti e fonti, gli hacker raccolgono tutte le informazioni possibili sulle proprie future vittime e su quanto le circonda: dipendenti, amici, fornitori, partner, clienti dai quali, agendo in vari modi, si cerca di ottenere le informazioni che potranno esser poi utili per sferrare i successivi attacchi. Dopo di che, gli attaccanti cercano di installare sui sistemi della vittima designata il Malware che costituirà la testa di ponte per attivare la vera e propria piattaforma di attacco. Da questa piattaforma, che può essere anche un semplice PC, uno SmartPhone o un Tablet, gli hacker cominciano ad espandere la propria presenza nel sistema, cercando talvolta di assicurarsente persino l'intero controllo.

Ovviamente, con i Social Media ed il diffondersi del BYOD, che induce gli utenti ad usare i propri SmartPhone e Tablet anche per il lavoro, la vulerabilità agli attacchi APT cresce per qualsiasi organizzazione, specie se non sono state attivate specifiche linee di difesa o Policy.

A questo punto, scatta la fase di individuazione delle vulnerabilità del sistema, usando una porta nascosta per l'invio delle informazioni. Dopo di che, il più è fatto: scoperte le vulnerabilità e le opportunità di creare danni a proprio vantaggio - ad esempio sottraendo codici di accesso, informazioni riservate o altri elementi di valore presenti sui sistemi - si tratterà semplicemente di cominciare a prelevarle e sfruttarle al meglio.

Giusto per dare una sensazione della rilevanza del problema, stando ai dati di una ricerca condotta recentemente dall’associazione IT internazionale ISACA su oltre 1.500 professionisti del settore sicurezza, è risultato che ormai gli attacchi APT colpiscono 1 azienda su 5. Non a caso, per il 94% degli intervistati, gli attacchi APT costituiscono una seria minaccia per la sicurezza non solo delle persone o delle aziende, ma persino per la propria nazione e la stabilità economica.

I cinque comportamenti "zero-day" suggeriti da Fortinet per contrastare le minacce APT

Data l'importanza del fenomeno, Fortinet ha identificato cinque segnali che possono corrispondere con elevata probabilità all'insorgere di un potenziale attacco APT. Vediamoli in sintesi:

  1. Generazione casuale di indirizzi IP: molto spesso, i meccanismi di raccolta di informazioni utilizzati dagli hacker APT si basano su del software che genera casualmente stringhe di indirizzi IP per favorire la diffusione.
  2. Tentativi di connessione per assumere il comando e il controllo. Una volta infiltrate, l'obiettivo degli hacker APT è ottenere il controllo dei Server di gestione così da esser facilitati nella successiva estrazione di dati e nell'individuazione di ulteriori aree sulle quali agire, ad esempio installandovi una botnet. L’identificazione si basa su firme di controllo e rilevamento di tipo rendezvous.
  3. Imitazione dell'host. Un'APT può iniziare a imitare il comportamento del dispositivo o dell'applicazione host nel tentativo di eludere il rilevamento.
  4. Oscuramento JavaScript. Un gran numero di attacchi APT è stato rilevato che hanno fatto ricorso a varie tecniche per cammuffare il comportamento del codice JavaScript inserito nel sistema per crearvi dei danni.
  5. Traffico crittografato. La tendenza all'uso di Malware crittografato all'interno dei payload APT mette a serio rischio tutto il traffico crittografato.

Sulla base di queste osservazioni, con l'intento di semplificare la difesa delle aziende contro questo genere di attacchi, Fortinet ha messo a punto un nuovo sistema chiamato FortiOS 5.

FortiOS 5 offre una serie di oltre 150 funzionalità finalizzate a contrastare le minacce APT (Advanced Persistent Threat), integrandole con funzionalità di sandboxing on-board e basate su Cloud per l'eliminazione di malware sconosciuto, a complemento del suo esclusivo processore "Compact Pattern Recognition Language" che consente a singole firme di coprire oltre 50.000 virus diversi, incluse le varianti zero-day.

Disponibile dall'inizio del 2013, FortiOS 5 è un vero e proprio sistema operativo per la sicurezza delle reti, base per l'architettura dei sistemi di sicurezza di Fortinet sia per i sistemi tradizionali, che nei contesti dove il BYOD sta divenendo regola.

Ultima modifica ilMercoledì, 13 Giugno 2018 17:38

Aggiungi commento


Codice di sicurezza
Aggiorna

Torna in alto

I cookie rendono più facile per noi fornirti i nostri servizi. Con l'utilizzo dei nostri servizi ci autorizzi a utilizzare i cookie.
Maggiori informazioni Ok