February 2014 | PR software | www.prsoftware.it Anno 2014 - Numero 1 Attacchi mirati APT Evoluzione attacchi informatici Sommario Articoli di particolare interesse Negli ultimi anni Internet ha assunto un'importanza vitale nel mondo industriale e produttivo. L’utilizzo di Internet e della posta elettronica, dei siti web, dei trasferimenti FTP e VPN per il collegamento remoto, sono all'ordine del giorno e alla portata di tutti. Il proliferare inoltre della tecnologia "mobile" porta oggi la connettività dal livello "azienda" al livello "utente" in quanto ogni impiegato possedendo un tablet o uno smartphone può collegarsi alla rete dell'azienda per scambiare dati, introducendo tante nuove vulnerabilità difficili da controllare. Parallelamente il "Cybercrime" si è evoluto per sfruttare queste vulnerabilità , continuando sempre di più a comportarsi come una vera e propria industria dedita al profitto. Non si tende più a creare virus per la sola gratificazione personale o per dimostrazione di valore nel mondo underground degli hacker, ma i nuovi "malware" vengono creati, spesso su ordinazione, appositamente con lo scopo di penetrare nella rete aziendale, rimanerci nascosti il più possibile e trafugare dati "sensibili" o di valore dai computer aziendali. Intorno agli anni 2000, fecero scalpore i virus di nome "Melissa" e "I love you" che si distinsero per l'impressionante velocità di diffusione e di attivazione, attaccando i messaggi di posta elettronica, e acquisendo la massima popolarità in brevissimo tempo. L’evoluzione tecnologica ha prodotto attacchi di nuova concezione, come "Flame" o "Stuxnet". In effetti quest'ultimo, fu creato con lo scopo bene preciso di sabotare il programma nucleare iraniano danneggiando un determinato modello di turbine presenti appunto nelle loro centrali nucleari. Oltre lo scopo molto "mirato", la grande differenza è che l'attacco iniziò nel 2006 ma fu scoperto solamente nel 2010, dopo quattro anni di invisibilità. A partire dal 2013 assistiamo a numerose campagne di attacchi come "Red October", "Genie" e "Bullrun" che coprono azioni di spionaggio diplomatico ed industriale. Sono nati sono i nuovi tipi di minaccia chiamata Attacchi mirati (APT). Evoluzione attacchi informatici 1 Attacchi mirati (APT) 2 Il costo per le aziende 3 Come difendersi 4 Notizie singole Le fasi di un attacco APT 2 Alcune statistiche 3 Le fasi della Difesa 4 Attacchi mirati (APT) 2 Con il termine APT o Advanced Persistent Threat si indica la nuova tipologia di "attacco mirato". Il termine "mirato" indica, per l'appunto, il nuovo scopo di tali attacchi che è quello di compromettere l'infrastruttura informatica aziendale con l'intento di trafugare i dati sensibili dell'Azienda attaccata. La differenza sostanziale con i malware di vecchia generazione, risiede nella componente "persistente". In effetti l'attaccante, una volta individuata la vittima, inizia a raccogliere informazioni pubblicamente disponibili (spesso con tecniche di Social Engineering) e sferra una serie di attacchi continuativi, fino a trovare il punto di accesso che gli permetterà di penetrare nella rete. Dopo la compromissione iniziale, l'intruso crea delle "backdoor" che gli permettono di acquisire credenziali di accesso e di attaccare altre macchine della rete (spostamento laterale). Lo scopo degli attacchi mirati è quello di compromettere l'infrastruttura informatica aziendale con l'intento di trafugare i dati sensibili o di valore dell'azienda attaccata. Le fasi di un attacco APT L'aggressore identifica gli obiettivi tramite risorse pubbliche (Linkedin, Facebook, ecc) e prepara un attacco. Punto di accesso La compromissione avviene attraverso attacchi zero-day Comunicazione C&C Permette di controllare le macchine compromesse da usare nelle seguenti fasi Spostamento laterale L'intruso compromette altre macchine per mantenere un controllo costante Rilevamento risorse / dati Vengono identificati i dati sensibili Estrazione illecita di dati I dati da trafugare vengono criptati e trasferiti su server esterni Queste operazioni avvengono con credenziali compromesse, ma reali quindi risultano assolutamente invisibili ai sistemi di protezione perimetrale come i Firewall o i sistemi di IDS (intrusion detection system). Anche se l'azienda ripulisce un terminale compromesso, lo spostamento laterale garantisce all'attaccante, un immediato ripristino del controllo sulla rete. A questo punto vengono raccolti i dati sensibili e di valore, salvati all'interno di un server chiamato "C&C" (comando e controllo) che provvederà a spedire, in maniera anonima e criptata tali informazioni ad uno o più server esterni di pertinenza dell'aggressore. Tutto questo avviene nella totale insaputa dell'azienda per mesi e a volte per anni. Il costo per le aziende 3 Il settore del cyber crime, che sconfina sempre più spesso nel cyber-spionaggio, è oggi argomento corrente nel comparto sicurezza delle aziende; resta tuttavia un tabù il lato costi, intesi in termini di perdite. Questo per due ragioni principali: da una parte vi è la relativa reticenza delle imprese ad ammettere di essere vittime di attacchi (rischio di un ritorno negativo in termini di immagine) e dall'altra l'effettiva difficoltà nel poter quantificare il danno ricevuto. La caratteristica fondamentale delle minacce APT è la capacità dell'aggressore di sottrarre dati sensibili. Questo favorisce la compravendita di dati trafugati per le attività di spionaggio industriale. Conoscere i segreti o gli intenti di un'azienda permette di anticipare le sue mosse e quindi di poter praticare una concorrenza senza alcun rischio. Per quanto riguarda il nostro paese i dati dimostrano infatti come la maggioranza degli attacchi subiti dal settore produttivo negli ultimi anni provenissero da paesi UE, seguiti da America Latina, Russia e paesi asiatici. Secondo uno studio della MAGLAN Information Defense Technologies Ltd, la stima dei costi riferita al nostro paese, oscilla dai 200 mln ai 650 mln di euro riferiti all'anno appena trascorso. Come però già accennato la quantificazione del danno è solo parziale perchè non tiene conto delle perdite intangibili per le aziende, come il furto di dati, know how, propietà intellettuale e via discorrendo. A livello mondiale, stime della McAfee e CSIS parlano di un danno economico complessivo tra i 300 ed i 1000 miliardi di dollari con un impatto sul PIL mondiale che oscilla dallo 0,4 all'1,4%. Secondo il rapporto CLUSIT 2013, gli attacchi al comparto economico aumentano in maniera esponenziale: +254% nel 2012 rispetto all'anno precedente, con un giro d'affari pari a circa 7 miliardi di dollari. Per lo studio Ponemon del 2013, i costi medi degli attacchi informatici per 56 grandi aziende statunitensi sono stimabili in 11,56 mln di dollari. Lo stesso studio evidenzia che le perdite in termini economici e reputazione per le aziende di vendita al dettaglio online ammontano a 3,4 mln di dollari all'ora. Alcune statistiche Di seguito alcuni dati statistici riguardo gli attacchi mirati: Il 21.6% delle aziende ha subito attacchi APT Il 93% delle aziende ritengono gli attachi APT una seria minaccia il 63% delle aziende pensano che a breve subiranno un attacco mirato Il 79% delle aziende ritengono le difese attuali non adeguate a questo tipo di attacchi. (fonte: ISACA - Advanced Persistent Threat Awareness - 2012 ) 1.8 Attacchi settimanali riusciti / per organizzazione 67% delle infrastrutture non sono strutturate per bloccare gli attacchi mirati (fonte: Ponemon Institute 2012) 4 Come difendersi Gli attacchi mirati sono per loro natura personalizzati e quindi sviluppati "su misura" per contrastare le difese dell'azienda da attaccare. Spesso utilizzano vulnerabilità zero-day, quindi ancora sconosciute, e sono mutevoli nel tempo in quanto si devono adattare alle contromisure che l'azienda mette in atto per proteggersi. In questo scenario è facile intuire che le difese tradizionali non sono più sufficienti per contrastare questo tipo di attacco. Il traffico illecito avviene anche dall'interno verso l'esterno della rete, e l'aggressore spesso utilizza credenziali reali, ma compromesse. Per contrastare un attacco mirato occorre una soluzione "personalizzata" che sia in grado di riconoscere l'attacco e predisporre le corrette contromisure Le fasi della Difesa Per contrastare un attacco mirato occorre una soluzione personalizzata che sia in grado di: Identificare l'attacco Analizzarne le componenti Predisporre le contromisure Rispondere in modo rapido e completo L'obiettivo è impedire all'aggressore di trafugare i dati sensibili dell' azienda Per contrastare un attacco "mirato" occorre una soluzione "mirata" che sia in grado di identificare l'attacco, analizzarne le componenti rilevanti, predisporre le contromisure e rispondere rapidamente ed in maniera completa. Occorre spostare le protezioni dal livello "utente" verso il bene da proteggere, rappresentato dai dati aziendali. La crescita esponenziale dei possibili punti di accesso alla rete, dovuta all'introduzione in azienda dei dispositivi mobili (smartphone e tablet), e la non conoscenza preventiva del tipo di attacco, ci porta a considerare che se un aggressore vuole entrare nella rete, in un modo o nell'altro lo farà. La nostra difesa, non potendo impedire l'ingresso, può però controllare gli spostamenti dell'intruso e bloccare le azioni illecite come il tentativo di acquisire credenziali e privilegi di accesso cosi come il trafugamento di dati sensibili. Dobbiamo quindi attivare il concetto di "trust no one" e rendere protette e criptate tutte le connessioni aziendali sia interne che esterne, aumentando il controllo accessi interno, in modo da limitare lo spostamento laterale. Un'altro punto chiave è l'analisi approfondita dei log per TUTTO il traffico, sia interno che esterno perché questo aumenta la visibilità della rete e permette di riconoscere comportamenti tipici di attacchi APT. L'analisi euristica di codice sospetto inoltre può essere effettuato con la tecnologia definita "sandbox", ovvero piattaforme virtuali personalizzabili sulle quali mandare in esecuzione il codice in modo sicuro ed analizzarne gli effetti. Se il codice produce azioni illecite, i pacchetti vengono bloccati e non eseguiti nella rete aziendale. E' molto simile ad una partita a scacchi: l'aggressore modifica le modalità di attacco fino ad ottenere l'accesso illecito e il difensore deve analizzare le sue mosse e fornire la contromisura adatta, ricordando che non è importante impedire all'aggressore di entrare nella rete, ma è fondamentale impedirgli di trafugare i dati sensibili
© Copyright 2024 ExpyDoc