I cyber attacchi alle aziende sono sempre più sofisticati. Gli Advanced Persistent Threats mirati richiedono nuove contromisure, come evidenzia il Cybersecurity Report di Swisscom. E l’intervento dell’uomo.
Testo: Andreas Heer, 15 marzo 2019
L’attacco era stato pianificato nei dettagli. Durante mesi di ricerche i cybercriminali hanno spiato l’azienda e il suo entourage. Persone importanti, i loro contatti, le loro preferenze e attività, nonché l’infrastruttura IT vista dall’esterno. Solo in un secondo momento gli hacker hanno infestato due computer delle vittime designate con un malware, mediante spear phishing, vale a dire mediante e-mail mirate. Gli hacker sono riusciti ad eludere le difese dell’azienda grazie a conoscenze avanzate e a una tecnologia sofisticata. Con uno script sono entrati nel computer sfruttando una vulnerabilità zero day, senza lasciare alcuna traccia sospetta sotto forma di file.
Nei mesi successivi gli hacker hanno penetrato la rete e i sistemi dell’azienda in modo sempre più capillare. Fino a raggiungere il loro bersaglio: i dati riservati sui clienti e sui progetti. Tramite canali ben mimetizzati hanno trafugato i documenti all’azienda.
Oggi un attacco informatico potrebbe articolarsi così. Il Cybersecurity Report 2019 di Swisscom rivela che gli Advanced Persistent Threats (APT), attacchi frutto di enormi risorse e know-how all’avanguardia, sono ancora particolarmente popolari tra i cybercriminali.
Per via delle loro caratteristiche, questi attacchi sono difficili da scoprire. Il produttore specializzato di software per la sicurezza Kaspersky Lab sta monitorando oltre 100 di questi gruppi di APT che lanciano attacchi mirati. Hanno nomi pittoreschi come LuckyMouse, OceanLotus o Comment Crew e pare che operino, almeno in parte, con la complicità di governi. Nel mirino degli attacchi ci sono organizzazioni statali, governi e aziende attive in settori sensibili. I moventi vanno dallo spionaggio, al furto di dati o al sabotaggio, come è avvenuto, ad esempio, per l’attacco all’infrastruttura delle olimpiadi invernali in Corea del Sud.
Le misure di sicurezza IT classiche, come la protezione perimetrale, da sole non bastano a respingere gli attacchi APT. Le aziende dovrebbero calibrare sempre di più la loro sicurezza informatica su hacker che si sono già introdotti nella rete aziendale, spiega Costin Raiu nell’intervista del Cybersecurity Report di Swisscom.
Il responsabile del team di ricerca e analisi GReAT di Kaspersky si dichiara pertanto favorevole a un cambio di paradigma. Perché gli hacker opererebbero soprattutto per diffondersi nella rete aziendale e per risucchiarne letteralmente i dati. Quindi le aziende dovrebbero proteggersi in modo mirato da queste attività.
Una misura importante, in tal senso, è il monitoraggio di processi in atto, operazioni di file e login, che contribuisce a scoprire eventi sospetti. Le informazioni di Threat Intelligence aiutano, a loro volta, a riconoscere modelli tipici e indirizzi internet dei cyber attacchi. L’altra faccia della medaglia: queste misure di monitoraggio sono più dispendiose in termini di tempo e risorse rispetto alla classica sicurezza perimetrale.
Tuttavia, le misure puramente tecniche non bastano a neutralizzare gli Advanced Persistent Threats. Per una difesa efficace è importante il fattore umano. Secondo Costin Raiu, i responsabili e gli specialisti della sicurezza dovrebbero calarsi nei panni di un hacker per comprenderne il comportamento. Poiché gli APT rappresentano attacchi lanciati manualmente, spesso sono anche pilotati da una mano umana. Pertanto è utile chiedersi «che cosa mi rende interessante per gli ATP come azienda?», «quali informazioni e sistemi sono interessanti per lo spionaggio e il sabotaggio?», «come potrebbe configurarsi una mail di phishing o un attacco di ingegneria sociale ai danni del responsabile finanziario?».
Questo tipo di prospettiva aiuta anche a riconoscere modelli nei file log, perché così la ricerca di anomalie diventa più mirata. Ad esempio, mediante un monitoraggio ad hoc del traffico di rete del responsabile finanziario oppure dell’ERP.
Nell’ambito dei meccanismi di difesa umani, la lotta contro gli APT è una missione per cui è predestinato un Security Operations Center (SOC). Infatti è qui che operano gli specialisti capaci di interpretare i modelli registrati e smascherare gli aggressori umani, nonché di immedesimarsi in un aggressore grazie al loro know-how. Perché capire la mentalità degli hacker altamente professionali e conoscerne gli strumenti è una componente centrale della lotta contro gli APT.
Per saperne di più sui servizi di cybersecurity di Swisscom.
Maggiori informazioni