Tutto quello che dovete sapere sulle APT

18 Nov 2013

Oggigiorno si sente spesso parlare dei malware, questa minaccia che mette in pericolo le nostre attività quotidiane. Alcune tipologie di malware sono più pericolose di altre e interessano tutti, sia utenti privati che aziende. Infatti, anche le aziende possono essere attaccate dagli hacker dato che la proprietà intellettuale è un elemento chiave per una azienda. Advanced persistent threat (APTs) sono tra le minacce più pericolose che esistono nel panorama informatico di oggi. Durante la RSA Conference Europe 2013 tenutasi ad Adsterdam, abbiamo incontrato Neil Thacker, Security Strategist di WebSense, Jaime Blasco direttore di Alien Vault Labs, e Costin Raiu, direttore del Global Research and Analysis Team (GReAT) di Kaspersky Lab. Questi esperti ci hanno svelato il funzionamento di questi attacchi e il modo in cui le aziende e gli individui possono proteggersi.

APTAdvanced Persistent Threat, un nome piuttosto “spaventoso”, non è vero? In realtà esistono da molto tempo. “Advanced” perché gli strumenti usati in questi attacchi sono molto più sofisticati rispetto a quelli utilizzati normalmente dai cybercriminali. “Persistent” perché una volta nata, la breccia può durare mesi, se non anni in certi casi. Questi attacchi colpiscono principalmente le aziende. Nonostante ciò, anche i singoli utenti potrebbero non essere al sicuro: forse potreste non essere esattamente il target perfetto, ma potreste essere comunque utili ai criminali che protrebbero usarvi per colpire quegli amici o familiari che ricoprono un ruolo importante all’interno di una determinata azienda. Come ha spiegato Neil Thacker, i danni causati dalle APT sono molto più importanti di quelli provocati dai semplici malware: “usano diversi vettori, diversi tipi di exploit, diversi tipi di vulnerabilità per accedere ai dati sensibili delle aziende”. Tuttavia, forse vi starete chiedendo: perché i cybercriminali colpiscono attraverso questo tipo di attacchi?

Proprietà intellettuale, il principale target

La maggior parte delle aziende immagazzina i dati importanti nelle loro reti. Brevetti, idee e modelli innovativi, e persino dati sensibili o confidenziali. I cybercriminali identificano un impiegato che abbia accesso a tali dati – possibilmente qualcuno che non sia consapevole di tutte le misure di sicurezza – con il fine di  infiltrarsi nella rete e raccogliere tutti i dati che transitano sul suo computer. “Se la vostra azienda possiede dati di questo tipo, è bene stare in guardia da queste minacce e mettere in atto tutte le misure necessarie che esistono oggigiorno per proteggere la proprietà intellettuale”, ha affermato Jaime Blasco. Ma chi organizza tali attacchi potrebbe andare oltre lo spionaggio. Come ha spiegato Costin Raiu, direttore del GReAT Team di Kaspersky Lab, potrebbero causare seri danni e paralizzare l’intero funzionamento dell’azienda in questione: “abbiamo assistito a casi in cui questi attacchi hanno causato danni diretti alle attività dell’azienda. Un esempio, l’attacco contro Saudi Aramco, una compagnia petrolifera: nell’agosto dello scorso anno, 30.000 computer sono stati paralizzati da un attacco mirato. Ebbene sì, la proprietà intellettuale è tra gli obiettivi principali, ma la paralisi di un’intera rete, e quindi di tutte le attività di un’azienda, può rappresentare un altro obiettivo o una conseguenza”. Una volta chiarito questo punto, probabilmente vi starete chiedendo: come e con quali strumenti le aziende si possono proteggere da questi attacchi?

Nessuna soluzione magica, la migliore arma è il contrattacco

La prima cosa da sapere è che, come i tre esperti ci hanno spiegato, non esiste una soluzione unica e ottimale per il risolvere il problema. Ciononostante, ogni esperto ha dato qualche consiglio per minimizzare il più possibile il problema. Secondo Jaime Blasco, non c’è nessuna “pozione magica”, piuttosto dei comportamenti e dei processi che dovrebbero essere adottati: “ovviamente sono necessarie determinate tecnologie per proteggersi da queste minacce, ma secondo me la soluzione migliore è una combinazione di processi, tecnologie e azioni umane. Prevenzione e formazione sono i fattori più importanti”. Costin Raiu ha aggiunto che “studiare le vittime delle APT è stato molto utile. Così facendo, abbiamo osservato che il 95% di questi attacchi colpiscono aziende con standard di sicurezza molto bassi. Non conoscono i rischi o le pratiche in termini di sicurezza, non installano le ultime patch di sicurezza, né usano software antivirus. E così subiscono violazioni. In primo luogo, le aziende devono assicurarsi di avere installato le ultime patch, di star utilizzando il sistema operativo più aggiornato, così come un browser sicuro [come Chrome o Firefox] con gli ultimi patch installati. È inoltre molto importante formare gli utenti. Se riuscirete a mettere insieme tutti questi ingredienti, sarete maggiormente protetti dagli attacchi mirati”. Questa formazione deve essere data a tutti i livelli dell’azienda. Non sottovalutate i cybercriminali: se conoscete i rischi e avete preso tutte le precauzioni necessarie, non esiteranno ad attaccare qualcuno dei vostri partner meno attenti e usarli per raggiungere la vostra azienda.

In conclusione, ricordiamo che gli attacchi mirati o APT continueranno ad esistere e ad espandersi nella misura in cui le aziende avranno dati interessanti. Non esiste una soluzione miracolosa: prevenzione e formazione dei dipendenti all’interno dell’azienda sono i primi passi verso una maggiore sicurezza. Tenete sempre presente che il 100% della sicurezza non esiste ancora e che bisogna rimanere vigili.