ADVANCED PERSISTENT THREAT

APT: cosa sono e in che modo mettono a rischio la sicurezza aziendale

Home TechTarget Search Security
Indirizzo copiato

Gli Advanced Persistent Threat rappresentano una delle forme più sofisticate di attacco alla sicurezza aziendale. 7 cose da sapere, per impostare una governance efficace e giocare d’anticipo, pianificando una strategia anti ATP funzionale e veramente proattiva

Pubblicato il 22 mar 2021
advanced-persistent-threat-150613124050
  • Gli Advanced Persistent Threat (APT) sono attacchi sofisticati e multilivello che mirano a compromettere i network aziendali.
  • Approfondisci le tecniche di difesa contro gli attacchi multicanale.
  • Impara a riconoscere i segnali di un attacco APT.

Gli esperti ribadiscono come lo start della protezione abbia come punto fermo un progetto di formazione continua non solo per la continua evoluzione di spam, malware, trojan &Co ma anche e soprattutto per una crescente digitalizzazione del business che se da un lato porta valore, varietà, velocità e visibilità nei processi informativi, dall’altro estende il raggio di azione su cui la cybercriminalità può intervenire a livello di rete (e a cascata a livello di dati, risorse, servizi, dispositivi, applicazioni e sistemi) se non viene attuata una strategia capace di ragionare prima, durante e dopo un’attacco.

Si parla da sempre di sicurezza e da anni di attacchi perpetrati ai sistemi aziendali. Gli Advanced Persistent Threat (APT) in questo senso sono una delle forme più sofisticate di minaccia. Si tratta, infatti, di un vera e propria strategia di attacco multilivello e multicanale, sferrato partendo dall’identificazione di un network aziendale che, una volta preso di mira, viene minato in vari modi e su più fronti.

Perché serve un approccio olistico alla sicurezza

Tra le aziende purtroppo esiste ancora un approccio alla sicurezza di stampo puramente tecnico orientato alla rimozione delle vulnerabilità. Quello che invece serve è un approccio olistico, ovvero integrato e capace di includere un’analisi preliminare rispetto a un programma completo di gestione del rischio. Servono soluzioni di Advanced Malware Protection per soddisfare le esigenze dei clienti nella lotta contro gli attacchi zero-day e le minacce persistenti avanzate (APT) che proteggono contro le minacce lungo l’intero ciclo di un attacco prima, durante e dopo l’attacco. Le minacce APT, infatti, sono attacchi sofisticati ma anche estremamente mirati, che iniziano con l’intrusione dei cybercriminali all’interno della rete aziendale presa di mira. La strategia di azione si sviluppa su più orizzonti di intervento per scandagliare e intercettare le vulnerabilità delle infrastrutture, prende di mira identità e privilegi di accesso per iniziare a viralizzare attacchi di ogni tipo: furti di dati, blocchi di servizio, danni permanenti ai sistemi, che si tratti di server, dispositivi fissi e mobili, applicazioni e patrimoni informativi on premise o in cloud.

Che cosa sono gli Advanced Persistent Threat (APT) e come funzionano

Per capire meglio cosa sono e come funzionano gli Advanced Persistent Threat bisogna innazitutto capire che ci si trova di fronte a una strategia molto programmata, che comporta una serie di azioni malevole innescate a breve, medio e lungo raggio.

7 le fasi in cui è possibile scomporre un attacco APT:

1) Ricognizione

Gli hacker, utilizzando fonti pubbliche e cybermetodologie, ottengono indirizzi e-mail o i riferimenti di instant messaging, per identificare le persone che saranno bersaglio dei loro attacchi

2) Intrusione nella rete

Con una mail di phishing l’attaccante inizia a infettare la macchina iniziando così il suo primo accesso all’interno dell’infrastruttura aziendale. Il messaggio di posta elettronica fasullo, infatti, contiene link pericolosi o dannosi, oppure file malevoli allegati

3) Furto di identità

Gli hacker ottengono la maggior parte delle informazioni di cui hanno bisogno intercettando e clonando delle credenziali utente valide. Utilizzando queste credenziali, infatti, gli attaccanti riescono ad accedere a una media di 40 sistemi aziendali diversi, compromettendo in vario modo la sicurezza aziendale.

4) Installazione di malware

Per poter amministrare il sistema e svolgere attività come l’installazione di backdoor, il furto di password, la ricezione di email e l’ascolto di processi in esecuzione, gli attaccanti installano sulla rete che hanno preso di mira varie utility malevole.

5) Creazione di una backdoor

Gli attaccanti lavorano per estrarre dalla rete le credenziali di amministratore del dominio. Questo gli consentirà di muoversi in modo trasversale all’interno della rete e di installare backdoor e malware, utilizzando metodi diversi: process injection, modifiche al registro a livello di sistema o servizi schedulati.

6) Esfiltrazione dei dati

Una volta creata un’infrastruttura malevola di comando e controllo gli hacker iniziano a intercettare le mail, gli allegati e i file dai server. Di solito veicolano i dati rubati verso server intermedi: li cifrano, li comprimono e quindi li indirizzano verso la destinazione finale.

7) Persistenza

Anche se alcuni degli attacchi vengono scoperti o inattivati i cybercriminali cercano in ogni modo di mantenere la loro presenza nelle reti che hanno preso di mira.

APT

Come si evince dallo schema, il ventaglio di azioni intraprese dagli hacker comporta prima l’identificazione di una rete che diventa il bersaglio di una serie di azioni precise e mirate volte a intaccare in tutti i modi possibili i sistemi. Le azioni includono la disseminazione di malware di ogni tipo e il furto delle identità: identificando le credenziali di accesso di utenti, arrivando poi a quelle degli amministratori, gli hacker in modo nascosto riescono a creare una loro vita digitale malevola (backdoor) all’interno della rete aziendale, iniziando a intaccare ogni tipo di servizio.

Il particolare livello di sofisticazione che caratterizza gli attacchi APT e la difficoltà di rilevamento che li caratterizza, fanno si che possano passare diversi mesi tra il momento della breccia iniziale e la sua scoperta e neutralizzazione. Un altro elemento da considerare è che gli APT sono minacce che fanno ricorso a tecniche di hackeraggio diversificate, con un uso massiccio delle tecniche di social engineering.

Caratteristiche delle minacce persistenti avanzate

Spesso le minacce persistenti avanzate hanno alcune caratteristiche comuni. Ad esempio, la maggior parte degli APT viene eseguita in più fasi, riflettendo la stessa sequenza di base per ottenere l’accesso, mantenerlo ed espanderlo e gli stessi tentativi di non essere rilevati nella rete della vittima fino a quando gli obiettivi dell’attacco non sono stati raggiunti.

Le minacce persistenti avanzate si distinguono anche per la loro focalizzazione sullo stabilire più punti di compromesso. Gli APT di solito tentano di stabilire più punti di accesso alle reti mirate, il che consente di mantenere l’accesso anche se l’attività dannosa viene scoperta e viene attivata la risposta agli incidenti, consentendo ai difensori della sicurezza informatica di chiudere una compromissione.

White Paper - Quanto ti costa un attacco informatico? Gioca d’anticipo grazie all’Intelligenza Artificiale

Rilevamento di minacce persistenti avanzate

Nonostante siano molto difficili da rilevare, le minacce persistenti avanzate presentano alcuni segnali di avvertimento. Un’organizzazione può notare alcuni sintomi dopo essere stata presa di mira da un APT, tra cui:

  • attività insolita sugli account utente
  • uso estensivo di malware backdoor Trojan horse (metodo che consente agli APT di mantenere l’accesso)
  • attività di database strana o insolita, come un improvviso aumento delle operazioni di database che coinvolgono enormi quantità di dati
  • presenza di file di dati insoliti, che possono indicare dati che sono stati raggruppati in file per facilitare il processo di esfiltrazione.

Il rilevamento delle anomalie nei dati in uscita è forse il modo migliore per i professionisti della sicurezza informatica per determinare se una rete è stata l’obiettivo di un attacco APT.

L’approccio di Cisco alla sicurezza è un sistema anti APT capace di analizzare ripulire l’identificazione delle minacce dai ruomori di fondo, focalizzandosi su più livelli di analisi rispetto all’intero ecosistema aziendale: Next Generation Firewall (NGFW), Next Generation IPS (NGIPS), Web, Email, end point e contesto

Uno dei problemi delle violazioni della sicurezza è che difficilmente diventano argomento di confronto e di discussione tra le aziende. Per diversi motivi la maggior parte delle organizzazioni non raccontano volentieri di aver subito un attacco e questo spegne in parte l’attenzione che meriterebbero tutte le questioni collegate alla sicurezza.

Come sottolineano gli esperti, il messaggio importante che va trasmesso alle aziende è che affinché una soluzione anti-APT sia efficace è necessario che vengano prima implementate una serie di soluzioni atte ad eliminare i cosiddetti rumori di fondo, ovvero un serie di alert su problematiche non prioritarie e che non rientrano nella dinamica degli attacchi realmente pericolosi per il business. Spesso, infatti, accade che i sistemi di sicurezza tradizionali vengano resi inefficaci dalla numerosità di segnalazioni che non hanno una reale gerarchia dei pericoli, saturandosi di alert su spam, colli di bottiglia e tentativi degli utenti non identificati di accedere ad aree protette. Questa dinamica non aiuta la sicurezza, in quanto i sistemi non riescono più ad analizzare e identificare le reali minacce. Alcuni importanti attacchi negli ultimi anni dimostrano come anche in presenza di soluzioni specifiche di anti APT le intrusioni sono avvenute proprio perché gli allarmi generati dal rumore di fondo erano talmente numerosi che i veri APT sono passati inosservati.

Tecnologie emergenti per contrastare le APT

Le Advanced Persistent Threats (APT) rappresentano una delle minacce più complesse e sofisticate per la sicurezza informatica aziendale. Questi attacchi si distinguono per la loro persistenza, capacità di evasione e impiego di tecniche avanzate, tra cui malware polimorfico, attacchi fileless, e tecniche di living-off-the-land (LotL), che sfruttano strumenti legittimi del sistema per evitare il rilevamento. Le strategie di difesa tradizionali basate su firme e regole statiche risultano ormai insufficienti. Per questo motivo, le aziende devono adottare un approccio proattivo e adattivo, sfruttando tecnologie emergenti che combinano intelligenza artificiale, analisi comportamentale e deception technology, al fine di anticipare le minacce e mitigare i rischi in tempo reale.

Apprendimento automatico antagonista: una nuova frontiera nella sicurezza

L’adversarial machine learning è una metodologia emergente che mira a sfruttare le vulnerabilità dei sistemi di intelligenza artificiale per eludere i meccanismi di rilevamento. Gli attaccanti generano input appositamente manipolati, detti adversarial examples, che portano un modello di machine learning a prendere decisioni errate, aggirando i sistemi di intrusion detection (IDS) e le soluzioni di endpoint protection (EPP).

Tuttavia, questa stessa tecnica può essere utilizzata in ottica difensiva per rafforzare i modelli di sicurezza, adottando strategie come:

  • Adversarial Training: consiste nell’addestrare i modelli su dati alterati per migliorarne la resilienza agli attacchi.
  • Rilevamento delle anomalie basato su AI: l’impiego di reti neurali profonde e modelli di autoencoder consente di identificare pattern di attacco generati da avversarial examples.
  • Difesa tramite distillazione: una tecnica che riduce la sensibilità del modello a piccole perturbazioni nei dati di input, mitigando la possibilità di manipolazioni malevole.

Tecnologie di inganno: una difesa proattiva contro le intrusioni

Le deception technologies sono soluzioni innovative che creano esche digitali all’interno dell’infrastruttura IT, inducendo gli attaccanti a rivelare le proprie tecniche e strategie. Questo approccio consente di:

  • Creare ambienti simulati come honeypot e honeytoken, progettati per attirare gli attaccanti e raccogliere informazioni sui loro movimenti.
  • Integrare trappole interattive che rispondono dinamicamente alle azioni degli hacker, fornendo dati falsificati o bloccando tentativi di exploit.
  • Analizzare il comportamento degli attaccanti in tempo reale, utilizzando algoritmi di threat intelligence per comprendere le TTP (Tactics, Techniques & Procedures) utilizzate dagli avversari.

Questa strategia consente alle aziende di ridurre il tempo di dwell time, ovvero il tempo in cui un attaccante rimane inosservato all’interno della rete, migliorando la capacità di individuare zero-day attack e movimenti laterali.

Intelligenza artificiale: doppio ruolo nella sicurezza informatica

L’IA è oggi un’arma a doppio taglio nella cybersecurity. Da un lato, consente di automatizzare e migliorare il rilevamento delle minacce attraverso tecniche di deep learning e analisi predittiva, dall’altro, viene sfruttata dai cybercriminali per potenziare attacchi sempre più sofisticati.

Le applicazioni difensive dell’IA includono:

  • AI-driven Threat Hunting: analizza grandi volumi di dati per individuare attività sospette prima che diventino incidenti reali.
  • Behavioral Analytics: utilizza il machine learning per identificare anomalie nei pattern di accesso e comportamento degli utenti, individuando minacce interne o tentativi di compromissione degli account.
  • Automated Incident Response: l’IA accelera la risposta agli incidenti, attivando in automatico contromisure basate su policy di sicurezza predefinite.

Tuttavia, gli attaccanti stanno già sfruttando l’intelligenza artificiale per:

  • Creare malware polimorfico capace di mutare autonomamente per sfuggire ai sistemi di rilevamento tradizionali.
  • Manipolare chatbot e assistenti virtuali per eseguire attacchi di social engineering più sofisticati.
  • Utilizzare deepfake per attacchi di impersonificazione, inducendo le vittime a divulgare credenziali sensibili.

Le aziende devono quindi bilanciare l’adozione dell’IA con adeguate strategie di mitigazione, sviluppando modelli di AI Explainability (XAI) per comprendere e controllare meglio i processi decisionali delle macchine.

Collaborazione e condivisione delle informazioni: una strategia vincente

La cybersecurity non può più essere considerata una questione puramente aziendale: la condivisione delle informazioni sulle minacce è essenziale per contrastare attacchi sempre più complessi. Le piattaforme di Threat Intelligence permettono alle aziende di condividere indicatori di compromissione (IoC) e TTP in tempo reale, migliorando la prevenzione e il rilevamento delle APT.

Le organizzazioni possono adottare strategie di collaborazione attraverso:

  • ISAC (Information Sharing and Analysis Centers): gruppi di settore che facilitano la condivisione di informazioni tra aziende dello stesso ambito.
  • Framework MITRE ATT&CK: un database che documenta le tecniche di attacco utilizzate dai cybercriminali, supportando la pianificazione delle strategie di difesa.
  • Automated Threat Intelligence Sharing (TIS): soluzioni basate su AI che raccolgono e distribuiscono intelligence sulle minacce in modo automatizzato.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

Speciale Digital Awards e CIOsumm.it

Tutti
Update
Keynote
Round table
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

  • Analisi

    DeepSeek: la nuova frontiera dell'AI per i CIO, tra opportunità e sfide

    31 Gen 2025

    di Veronica Balocco

    Condividi

  • Ricerca

    Il ruolo dei data center, fra benefici economici e accettazione sociale

    07 Nov 2024

    di Redazione

    Condividi

  • Opinioni

    Come cambiano le competenze tecnologiche

    04 Nov 2024

    di Gianni Anguilletti

    Condividi

  • NEWS

    Super batterie dinamiche per gestire i consumi dei data center

    18 Apr 2024

    Condividi

Prossimo

DeepSeek: la nuova frontiera dell'AI per i CIO, tra opportunità e sfide

Articolo 1 di 5