Le Minacce Persistenti Avanzate (APT) sono degli attacchi che sono emersi come fonti di notevole preoccupazione per ogni organizzazione, sia essa governativa o una semplice azienda strategica. Possiamo definire gli APT come attori delle minacce che violano reti e infrastrutture nascondendosi in modo estremamente efficace al loro interno per periodi di tempo relativamente lunghi.
Un APT dunque viene appositamente creato per rimanere nascosto per il più a lungo possibile. Il suo obiettivo finale infatti non è quello di causare un danno effettivo, ma, più in generale, di rubare dei dati particolarmente riservati, la cui divulgazione potrebbe compromettere in modo significativo l’operatività di un’azienda o , in casi ancora peggiori, la sicurezza di una nazione (in questo caso infatti vengono carpiti segreti di stato, dati riservati provenienti dal mondo politico, o perché no, dalla difesa).
Questa minaccia, nel panorama della cyber security mondiale, è una minaccia molto persistente, per quale risulta molto difficile individuare una protezione efficiente. Nessuna azienda o società è esente da questa minaccia. Gli hacker dietro questi attacchi infatti usano spesso dei bot completamente automatizzati per accedere alle reti delle strutture attaccate. Ciascun attacco dunque per completeremo in modo chiaro la sua natura, viene classificato in base alle sua capacità di essere lesivo nei confronti del soggetto che infetta. Queste classificazioni sono in generale 3:
-
Avanzata: Il nemico ha familiarità con gli strumenti e le tecniche per l’intrusione all’interno dei sistemi informatici. In questo particolare caso è in grado di sviluppare exploit completamente personalizzati in modo da assicurarsi l’acceso al terminale che ha deciso di violare.
-
Persistente: In questo caso l’obbiettivo è quello di riuscire ad attaccare obbiettivi specifici mediante la realizzazione di uno scopo preciso.
-
Minaccia: L’hacker in questo caso agisce con una notevole coordinazione, è supportato e particolarmente motivato.
Come rilavare dunque in modo efficace le APT?
Per rilevare in modo efficace e tempestivo le ATP, solitamente si procede cercando di individuare quelli che in gergo vengono chiamati accessi sospetti. Gli APT infatti molto spesso si basano su credenziali di accesso che vengo compromesse con l’obiettivo di ottenere un accesso continuativo alle rete della struttura infettata.
Un altro mezzo molto gradito dagli hacker per infettare i dispositivi ai quali vogliano carpire informazioni, sono i malware. Questo infatti permettono di sfruttare la potenza di calcolo del singolo dispositivo per portare avanti l’attacco. Solitamente inoltre gli hacker accumulano i dati che hanno acquisito all’interno di un server. Questo con il preciso scopo di non insospettire la vittima facendo registrare un notevole traffico di dati in uscita.
Fra le operazioni che sono in grado di permetterci di individuare le APT ( ovvero le Advannced Persistent Threats) possiamo individuare ad esempio l’ analisi dei registri. Questa procedura è da considerarsi come forse il metodo più efficace. Con l’analisi dei registri infatti si possono mostrare accuratamente le varie attività che sono imputabili ai vari dispositivi o sistemi o, in alternativa, alle applicazioni. L’obiettivo dunque, in fase di costituzione del sistema di difesa, è quello di puntare sull’ottenimento di una buona capacità di di riduzione dei tempi di analisi con come obiettivo quello di contenere l’attacco evitando, per quanto possibile, una diffusione eccessiva del malware. Ad una buona capacità di analisi inoltre, sarebbe consigliabile disporre di uno strumento di ricerca efficace delle varie azioni compiute dal malware: questi due strumenti messi insieme sono in grado di fornire una mappa precisa del meccanismo d’azione dell’APT, permettendo una sua individuazione e un suo successivo tentativo di rimozione molto più rapido. Doveroso è inoltre ricordare che in realtà un APT è un malware non malware. Le ragioni che portano a questa affermazione sono essenzialmente due:
La prima vera e propria azione di violazione viene concessa direttamente dall’utente.
La seconda è che un ATP non va direttamente a danneggiare il terminale, ma concede, all’attaccante esterno di compiere tutta una serie di azioni che verrebbero normalmente compiute dall’utente del computer ( navigazione in internet, invio e-mal, download, upload, etc).
In conclusione dunque si può affermare ancora una volta che un sistema capace di individuare in modo tempestivo gli eventuali accessi sospetti possa essere l’unico modo forse realmente capace di prevenire in modo efficace la diffusione degli APT. Per garantire tuttavia una efficacia ancora maggiore del sistema di difesa ( a volte alcuni anti-virus di fascia alta sono in grado di offrire loro stessi queste protezioni) è necessario mantenerlo aggiornato, in modo che sia in grado di rilevare anche le minacce più recenti.