Strategie per Mitigare le Minacce Persistenti Avanzate (APT) P.4

• Parte 1. Come mitigare le APT. Teoria applicata
• Parte 2. Top-4: le quattro strategie di base in grado di mitigare l’85% delle minacce
• Parte 3. Le ulteriori strategie di mitigazione. Per una vera protezione di tipo “bullet-proof”
• Parte 4. Uomo avvisato, mezzo salvato: la Strategia da adottare per il Rilevamento delle Minacce Persistenti Avanzate (APT)

Parte 4. Uomo avvisato, mezzo salvato: la Strategia da adottare per il Rilevamento delle Minacce Persistenti Avanzate (APT)

I prodotti Kaspersky Lab già esistenti, di per se stessi, sono in grado di mitigare¹ in maniera particolarmente efficace eventuali perdite e danni causati all’azienda dalle temibili minacce APT. Esistono, tuttavia, soluzioni di sicurezza specializzate, preposte ad emettere notifiche di allerta relativamente alla conduzione di attacchi informatici mirati da parte di persone malintenzionate, le quali rappresentano un livello di protezione aggiuntivo per la difesa dell’intera rete corporate. Tali notifiche di avvertimento non sostituiscono, ad ogni caso, le soluzioni di sicurezza, abitualmente implementate a livello di infrastruttura IT, in grado di bloccare e neutralizzare i moduli dannosi dispiegati nell’ambito delle APT. Il ruolo svolto dal sistema Anti-APT consiste nell’esercitare un’attenta funzione di controllo sull’ambiente IT, per poi fornire al responsabile della sicurezza informatica tutte le informazioni utili in materia. Questa particolare soluzione innalza ulteriormente il livello di efficacia complessivo della protezione IT multilivello implementata sul network aziendale.

La realizzazione di qualsiasi attacco di natura mirata passa attraverso una sequenza di fasi tipiche, ben distinte tra loro. Nella stragrande maggioranza dei casi, inoltre, vengono ugualmente applicate tecniche standard. Tali indicazioni costituiscono un preciso punto di partenza allo scopo di segnalare in tempo debito, alle potenziali vittime, il tentativo di attacco in corso. In molti casi la caratteristica di unicità di una minaccia APT non è affatto una questione di utilizzo, da parte degli attacker, di moduli nocivi inconsueti. Si tratta, piuttosto, di un’efficace “fusione” di componenti tipici, che assolvono in maniera decisamente “affidabile” i compiti ai quali risultano preposti. Indubbiamente, la conoscenza dei principi generali sui quali si basa l’attività dei malfattori aiuta in modo considerevole a contrastare con successo gli attacchi informatici di natura mirata.

Descriveremo, nel presente documento, la concezione di Kaspersky Lab in merito ad una soluzione di sicurezza Anti-APT specializzata, di elevata qualità. Come efficace esempio di attacco mirato prenderemo una delle APT attualmente più note, ovvero Dark Hotel². Questo grave attacco informatico, progettato e condotto con estrema cura dai malintenzionati, al pari di numerosi altri, eseguiti in precedenza (Careto, NetTraveler, Red October)³, è stato scoperto dagli esperti di Kaspersky Lab.

Fasi tipiche di un attacco APT

Figura 1. Le varie fasi di preparazione, elaborazione ed esecuzione di un attacco APT

Qualsiasi attacco mirato inizia con specifiche attività di ricognizione. Durante questa fase preliminare gli attori APT ottengono, ad esempio, le informazioni relative ai dipendenti chiave della società presa di mira, ovvero coloro che hanno accesso a dati sensibili particolarmente “pregiati”; nell’occasione, magari, gli attacker si “premurano” ugualmente di scoprire quali sono le tipologie di e-mail che suscitano in particolar modo l’interesse delle figure chiave dell’azienda; inoltre, ogni volta che si rivela possibile, i malfattori “assaggiano” in anticipo le caratteristiche dell’infrastruttura IT della vittima. Nella maggior parte dei casi tali attività preliminari vengono condotte senza ricorrere all’utilizzo di mezzi tecnici; per questo motivo risulta in pratica quasi impossibile accorgersi di esse mediante l’esclusivo impiego di software di vario genere. È di sicuro più appropriato, nella circostanza, parlare di controspionaggio, così come mettere in causa il grado di qualità complessivo della divisione che si occupa delle tematiche di sicurezza.

Una volta completati gli step preliminari sopra descritti, iniziano immediatamente le fasi tecniche dell’attacco. Innanzitutto, l’attaccante ha bisogno di ottenere i diritti per l’esecuzione del codice all’interno del perimetro di sicurezza dell’azienda. In questa fase vengono attivamente utilizzati i famigerati exploit. È questa la specifica denominazione assegnata ad un piccolo codice di programma, il quale sfrutta (to exploit, in inglese) le vulnerabilità individuate nei sistemi operativi o in applicazioni particolarmente diffuse sui PC degli utenti. In caso di successo, gli aggressori possono eseguire il loro proprio codice sul computer-vittima; tale codice malevolo genera, a sua volta, il download e l’esecuzione dei moduli principali utilizzati nel corso dell’attacco.

La fase finale è rappresentata dal target principale dell’intero attacco: la raccolta furtiva dei dati sensibili custoditi in seno all’azienda ed il successivo invio di questi ultimi ai malfattori. Per raggiungere tale obiettivo, i moduli APT debbono essere in primo luogo diffusi all’interno del perimetro di sicurezza che delimita l’infrastruttura IT dell’impresa o dell’organizzazione presa di mira. Le strategie che governano tale opera di distribuzione del malware possono variare in maniera significativa. Alcuni autori di attacchi mirati cercano, ad esempio, di infettare, all’interno del perimetro, il maggior numero possibile di PC. I malintenzionati si interessano, nella circostanza, sia ai computer contenenti i dati target, sia ai PC “ausiliari”; questo allo scopo di generare un’ulteriore diffusione dei moduli nocivi ed aumentare, in tal modo, le possibilità di riuscita dell’attacco informatico. Altri malfattori cercano invece di limitare l’attività APT ai soli dispositivi effettivamente “necessari” per raggiungere gli scopi prefissi; una simile scelta strategica diminuisce, di fatto, le probabilità che l’attacco possa essere rilevato.

Occorre infine sottolineare come gli sviluppatori dei moduli maligni cerchino di rendere i loro software sempre più resistenti agli eventuali tentativi di rimozione. I moduli, in pratica, cercano di sopravvivere all’interno del sistema infettato dal malware, e non hanno bisogno di una reiterazione delle prime fasi dell’attacco per le eventuali procedure di ripristino. Tutti gli step descritti attraverso il testo e il relativo schema qui sopra riportati presentano i propri indicatori e, di conseguenza, possono essere individuati attraverso l’utilizzo di appositi software di sicurezza specializzati.

Caratteristiche peculiari di Dark Hotel

L’APT Dark Hotel utilizza procedure standard di spear-phishing, tra le varie tattiche comunemente adottate dagli aggressori nell’ambito degli attacchi informatici mirati. Tale tecnica malevola, unitamente al waterholing (infezione di siti web che godono di particolare popolarità) rappresenta il metodo in assoluto più diffuso, presso gli attacker, per dare inizio ad un attacco di natura mirata. La ragione di una simile scelta risiede nella relativa semplicità del metodo, e nella potenziale esposizione ad esso da parte di qualsiasi società i cui dipendenti facciano uso del web e della posta elettronica. Un sistema di sicurezza completo deve necessariamente tenere conto del grado di popolarità delle suddette tecniche, e cercare quindi di inibire l’utilizzo di simili tattiche sia a livello di endpoint, sia nel momento in cui viene effettuato il filtraggio del traffico di rete.

Il diffuso impiego degli efficaci metodi standard sopra menzionati non impedisce tuttavia ai malfattori di aggiungere alcune interessanti peculiarità agli attacchi da essi specificamente condotti. Dark Hotel, ad esempio, ricorre al contemporaneo utilizzo di una tecnica d’infezione alquanto singolare e caratteristica. È grazie ad essa che tale APT ha ricevuto la sua particolare denominazione.

Figura 2. Dark Hotel, attacco all’esterno del perimetro di sicurezza dell’azienda

Nella fase preliminare di ricognizione gli attaccanti sono soliti conoscere in anticipo l’arrivo degli ospiti in possesso delle informazioni ad essi “occorrenti”. Dal punto di vista tecnico, nella fattispecie, è proprio la vulnerabilità dell’infrastruttura IT dell’hotel a consentire ai malintenzionati di dare inizio all’attacco informatico nei confronti dei PC degli ospiti della struttura alberghiera. Per questa specifica tipologia di attacco mirato, i malfattori scelgono hotel di classe business. L’operazione viene avviata attraverso la pagina che ogni ospite visualizza inizialmente, sul proprio browser, una volta ottenuto l’accesso al web tramite la rete Wi-Fi dell’hotel.

A differenza dello spear-phishing e del waterholing, tale tecnica, utilizzata per gli hotel, richiede, ovviamente, una lunga e dispendiosa fase di preparazione iniziale (ricognizione); in seguito, tuttavia, le “scoperte” effettuate sui PC degli utenti-vittima, accuratamente selezionati, possono rivelarsi estremamente “preziose”, per i malintenzionati. Assume particolare rilievo il fatto che, in questo singolare scenario, in cui si produce l’infezione informatica, la vittima si trova al di fuori del perimetro di sicurezza della società. Per allestire una protezione multilivello completa, nei confronti delle APT, è di fondamentale importanza tenere ben presente questo tipo di scenario, ed installare quindi, simultaneamente, appositi sistemi di sicurezza locali sui dispositivi utilizzati dal dipendente di alto profilo. In tal modo, le installazioni preposte alla sicurezza locale informeranno tempestivamente il responsabile della sicurezza IT (agente Anti-APT) e bloccheranno l’esecuzione dei moduli nocivi (protezione degli endpoint).

Architettura della soluzione

L’analisi degli oggetti presenti nel traffico in entrata richiede, indubbiamente, un certo impiego di tempo. In modalità “blocco”, la soluzione Anti-APT specializzata ritarderà in maniera significativa il download degli allegati ai messaggi di posta elettronica, così come dei file che giungono all’interno della rete aziendale attraverso il protocollo HTTP. Per tale motivo, riteniamo che la soluzione dovrebbe agire in modalità di “avviso”. L’addetto alla sicurezza informatica riceve tutti i dati necessari attraverso la propria console di gestione. Il ruolo svolto dal software Anti-APT consiste nel registrare tutti gli eventi necessari e nel fornire un valido aiuto per l’analisi degli incidenti, ma non nel bloccare l’esecuzione dei programmi. La protezione degli endpoint è responsabile della neutralizzazione, in tempo debito, dei moduli maligni. Nella fattispecie, nel caso dei prodotti Kaspersky Lab dedicati agli utenti corporate, si tratta della soluzione Kaspersky Endpoint Security (KES).⁴.

Per il responsabile della sicurezza IT si rivela di importanza cruciale disporre di un significativo volume di dati, correttamente selezionati. Tale quantità deve essere sufficiente per poter effettuare un’analisi di qualità; allo stesso tempo, tuttavia, non dovrebbero interferire con la specifica attività svolta dall’addetto alla sicurezza informatica continue allerte riguardo a potenziali minacce, così come la presenza di dati non necessari.

Figura 3. Architettura completa della soluzione

L’intero sistema Anti-APT consiste, innanzitutto, in appositi sensori di rete, “responsabili” dell’analisi del traffico all’interno del network aziendale, della creazione di metadati che descrivono il contenuto di tale traffico, e della separazione degli oggetti per la conduzione di ulteriori analisi. Il rilevatore statistico delle anomalie è a sua volta “incaricato” delle funzionalità euristiche. Questo modulo determina la presenza di eventuali differenze, rispetto ai modelli standard, nel traffico di rete dell’impresa. Il modulo sandbox, da parte sua, provvede ad analizzare il comportamento degli oggetti estratti.

La persona responsabile della sicurezza informatica visualizza i risultati dell’attività svolta dall’insieme dei moduli Anti-APT sulla console di gestione, la quale raccoglie in un singolo centro, unificato, tutti i dati provenienti dai suddetti moduli. In aggiunta a tale soluzione centralizzata, che necessita perlomeno di alcuni server dedicati per la sua implementazione, è possibile effettuare un’installazione parallela di appositi agenti Anti-APT direttamente sulle workstation degli utenti.

Con l’ausilio degli agenti locali, la soluzione Anti-APT specializzata è in grado di ottenere informazioni riguardo ai processi responsabili dell’insorgere di traffico sospetto. Questo consente di trasmettere al responsabile della sicurezza IT notifiche di allerta molto più precise. Quest’ultimo, ad esempio, deve necessariamente venire a conoscenza di eventuale traffico insolito da parte di svchost.exe ed altri processi di sistema. Infine, gli agenti in questione consentono alla soluzione Anti-APT di conoscere l’attività condotta dal software che giunge sui PC degli utenti non attraverso la rete aziendale, ma tramite flash drive USB ed ulteriori modalità.

La precisione della soluzione Anti-APT specializzata si accresce in maniera considerevole con l’utilizzo di uno speciale knowledge database situato nel cloud. Tale repository centralizzato viene abitualmente collocato sul sito del vendor; esso fornisce informazioni relativamente alla reputazione di file, nomi di dominio e indirizzi IP. Il cloud permette ugualmente di distinguere gli attacchi mirati dalle infezioni di massa, mediante apposite query inviate al database centralizzato relativamente all’unicità delle attività sospette rilevate.

Gli attacchi informatici compiuti negli hotel avvengono, come abbiamo visto, al di fuori del perimetro di sicurezza dell’azienda; indubbiamente, essi forniscono un’idea ben precisa del motivo per il quale una protezione IT completa dovrebbe comprendere sia un efficace sistema Anti-APT centralizzato, sia una protezione avanzata degli endpoint locali. Questi due distinti approcci debbono essere realizzati congiuntamente.

Siamo ben sicuri e convinti del fatto che soltanto un’architettura multilivello è in grado di fornire una protezione qualitativamente adeguata. I vari componenti della stessa raccolgono i dati relativi agli eventi che si producono sugli endpoint, analizzano il traffico di rete utilizzando, tra le altre cose, algoritmi euristici; a questo si aggiungono gli innegabili vantaggi derivanti dall’impiego di sofisticati elementi di sicurezza IT basati su cloud, i quali permettono di ricevere con maggiore rapidità le informazioni sulle nuove minacce, così come di migliorare sensibilmente il livello di rilevamento del malware. Si tratta di un vero e proprio “lavoro di squadra”, compiuto dal sistema Anti-APT specializzato – incentrato in primo luogo sull’invio, al security officer, di apposite notifiche di avvertimento riguardo ai tentativi di attacco informatico in corso – e dalla soluzione di sicurezza locale preposta all’esecuzione di specifiche azioni di contrasto nei confronti dei codici dannosi.

L’approccio comunemente adottato presuppone l’installazione di una singola soluzione provvista delle funzionalità necessarie, la quale comprende sandbox e sensore di rete. A differenza di questa, la soluzione che prevede l’utilizzo di molteplici sensori, in grado di fornire dati per la successiva analisi centralizzata, si rivela molto più efficace.

Il primo e principale vantaggio derivante dall’impiego di sensori distinti e separati tra loro è costituito dall’ottenimento di un modello di implementazione più flessibile, riguardo alla soluzione di sicurezza, nell’ambito dell’infrastruttura IT dell’impresa. Nelle società di grandi dimensioni l’intercettazione del traffico deve essere necessariamente organizzata attraverso molteplici punti. Questo è dovuto a vari fattori: l’utilizzo della tecnica denominata Network Address Translation (NAT, Traduzione degli indirizzi di rete), la quale comporta inevitabilmente la perdita di una parte dei dati trasmessi attraverso i pacchetti di rete; l’allestimento di rami di rete provvisti di un elevato livello di autonomia; la possibilità di accedere al traffico solo in determinati segmenti della rete, etc. L’installazione della soluzione combinata (sandbox + sensore di rete) su qualsiasi punto che lo necessiti si rivela inefficiente dal punto di vista finanziario. L’impiego di numerosi sensori più “leggeri” su ogni segmento occorrente è, di fatto, molto più efficace.

Tali sensori vengono originariamente progettati per poter raccogliere tutti i dati in una singola console di gestione. Per contro, alcuni dispositivi combinati risultano esclusivamente orientati sulla propria interfaccia web. In pratica, nel caso in cui venga adottato tale schema si rende necessario l’utilizzo di un dispositivo supplementare, adibito alla raccolta centralizzata dei dati.

Un ulteriore argomento a favore dell’implementazione di molteplici sensori, anziché di un singolo dispositivo, è rappresentato dal volume del traffico indirizzato attraverso i vari dispositivi. In caso di connessione con utilizzo della tecnologia SPAN (Switch Port Analyzer, diffuso metodo di mirroring per l’analisi del traffico) non si hanno ad esempio conferme riguardo all’integrità dei pacchetti di rete. La distribuzione del traffico su molteplici dispositivi, in sostanza, protegge nei confronti del possibile aumento del tasso di errore dovuto all’incremento dei flussi. Allo stesso tempo, permane l’impiego di una singola console di gestione unificata per lo svolgimento delle operazioni di controllo ed analisi.

L’azione di contrasto nella fase di implementazione del malware

Esamineremo, qui di seguito, le modalità attraverso le quali opera la soluzione Anti-APT multilivello nelle varie fasi di un attacco informatico mirato. Quando la propagazione del malware viene effettuata mediante pratiche di spear-phishing, gli autori di Dark Hotel inviano alle potenziali vittime messaggi e-mail contenenti un link malevolo destinato a condurre verso un exploit per il browser Internet Explorer, oppure allegano direttamente al messaggio di posta elettronica un exploit appositamente creato dai virus writer per colpire il software Adobe. Un ulteriore scenario di attacco prevede poi l’utilizzo di documenti Microsoft Word provvisti di apposito exploit Flash incorporato (quando è stata scoperta l’attività di tale gruppo APT è stato rilevato che si trattava di un exploit destinato allo sfruttamento di una vulnerabilità di tipo “zero-day”).

Il secondo metodo di iniezione del malware è costituito dall’aggiunta dei moduli nocivi Dark Hotel agli archivi circolanti sulle reti P2P torrent. Il terzo vettore, infine, già menzionato in precedenza, è rappresentato dall’infezione dei dispositivi posseduti dagli ospiti degli hotel. In questo caso, gli utenti-vittima vengono rediretti, attraverso un apposito tag “iframe”, sulla pagina web iniziale della rete Wi-Fi dell’hotel, espressamente modificata dai malfattori. Il risultato di tale sostituzione malevola è che la vittima visualizza una proposta standard relativa al download della toolbar di Google o di un aggiornamento per il software Adobe. Se l’utente fornisce il proprio consenso, il PC da egli utilizzato riceverà il file contaminato.

Il lavoro di squadra svolto dalla sandbox e dai sensori di rete garantisce la necessaria azione di contrasto. I file, estratti dal traffico di rete, vengono inviati alla sandbox. A sua volta, la sandbox farà sapere se essi contengono o meno codice potenzialmente dannoso. In caso di esecuzione di codice nocivo, la sandbox crea appositi log e trasmette i dati riguardanti il rilevamento effettuato alla dashboard di cui fa uso il responsabile della sicurezza IT. Quest’ultimo riceve informazioni dettagliate relativamente all’attività dei file sul PC, e alle azioni che il software di sicurezza considera sospette. Nel caso delle infezioni generate sui dispositivi utilizzati dagli ospiti degli hotel, tali azioni sarebbero state bloccate e neutralizzate dalla soluzione di sicurezza locale adibita alla protezione degli endpoint.

Il sensore di rete rileva gli attacchi mirati in base agli indirizzi IP e ai domini utilizzati dai malfattori durante l’azione. Esso prende in considerazione anche il contenuto del traffico di rete: in alcuni casi, le APT fanno uso dei propri specifici protocolli. La sandbox può utilizzare il sensore di rete per controllare il traffico generato dai programmi sospetti eseguiti nella sandbox stessa.

Inoltre, il sensore di rete è in grado di rilevare gli attacchi informatici mirati sulla base di specifiche anomalie del traffico. Per tale motivo, la soluzione di sicurezza deve necessariamente contenere modelli comportamentali di elevato livello, preposti a descrivere i comportamenti tipici manifestati dai software malevoli. Possono rappresentare segnali specifici, per tali modelli, le connessioni esterne con domini sconosciuti di recente creazione, la periodicità del traffico in uscita, l’ubicazione dei server e così via. Ad esempio, se l’impresa non ha mai lavorato, in precedenza, con un determinato paese, ed improvvisamente, nel corso della notte, vengono trasmesse verso tale destinazione notevoli quantità di dati, ci troviamo verosimilmente di fronte ad un chiaro motivo per far scattare l’allerta.

L’azione di contrasto nella fase di attività del malware

Se, tuttavia, nel corso dell’attacco informatico viene eseguito il codice malevolo di cui si compone l’exploit, tale codice genererà, successivamente, l’avvio delle operazioni di download – sul PC infetto – di ulteriori moduli APT. In questa fase possono entrare in azione tutti i meccanismi di rilevamento del malware sopra menzionati; allo stesso tempo, il sistema Anti-APT sarà in grado di rilevare con precisione i moduli dannosi utilizzati dai malintenzionati nel quadro dell’attacco mirato.

Un interessante modulo dispiegato dagli autori di Dark Hotel è ad esempio rappresentato dal particolare keylogger a livello del kernel, provvisto di firma digitale. Installato come un normale driver di Windows, tale software legge le sequenze dei tasti premuti dall’utente direttamente dal controller della tastiera situato sulla scheda madre. Per eseguire nuovamente il keylogger viene poi utilizzata una tattica standard: l’aggiunta di una chiave di registro nel ramo HKCU.

Poiché la sandbox tiene costantemente d’occhio gli oggetti (file, URL) “segnalati” dal sensore di rete, ed invia apposite notifiche al responsabile della sicurezza informatica riguardo ad eventuali strane attività, l’aggiunta delle chiavi di registro, tipiche dell’OS Windows, non passa di certo inosservata.

Conclusioni

Già da molti anni Kaspersky Lab gestisce lo sviluppo della sandbox in qualità di processo tecnologico interno. Disponiamo, inoltre, di un enorme database cloud, contenente le reputazioni di file ed URL. La variante standalone della sandbox, per installazioni lato client, costituisce la diretta continuazione di un processo di sviluppo a lungo termine; essa rappresenta, a tutti gli effetti, un nuovo step nell’evoluzione di tale sofisticata tecnologia. Le risorse hardware di cui dispongono gli endpoint per realizzare l’analisi delle attività del software sono decisamente limitate, in confronto all’hardware dedicato e specializzato per sandbox anti-APT di tipo standalone. Si rivela di fondamentale importanza poter analizzare tutti gli eventi necessari, che si producono nell’ambito dell’infrastruttura di rete. Ciò diviene possibile dopo l’aggiunta di appositi sensori di rete alla sandbox. E dopo l’ulteriore aggiunta di una singola console di gestione unificata risulterà possibile analizzare lo sviluppo degli attacchi mirati in maniera molto più dettagliata.

Al tempo stesso, Kaspersky Lab possiede già una vasta esperienza nell’analisi delle minacce APT. Il nostro Global Research and Analysis Team (GReAT) vanta conoscenze e competenze davvero uniche, nello svolgimento di tale importante attività.

Sottolineiamo, poi, come l’enorme quantità di informazioni già esistenti, aggiornate in maniera simultanea, rese disponibili attraverso il KSN⁵, e raccolte tramite milioni di dispositivi ubicati in tutto il mondo, consenta di rispondere ad una domanda di importanza davvero cruciale per i clienti: l’incidente informatico occorso nel network aziendale è riconducibile a un’epidemia di massa o si tratta, piuttosto, di un vero e proprio attacco mirato rivolto ad una specifica infrastruttura dell’impresa? Tali dati sono accessibili attraverso il security cloud di Kaspersky Lab (KSN), il quale può essere ugualmente implementato sul lato client, come Kaspersky Private Security Network (KPSN). La felice combinazione delle elevate potenzialità di cui dispone il motore sandbox, elemento di provata efficacia, della lunga esperienza acquisita nella conduzione di approfondite indagini riguardo agli attacchi informatici, e del cospicuo volume di dati reputazionali, accumulati nel tempo, presenti nel nostro cloud – colloca indiscutibilmente Kaspersky Lab in una posizione davvero solida e all’avanguardia nello sviluppo delle soluzioni Anti-APT specializzate. Siamo ad ogni caso profondamente convinti del fatto che una simile soluzione debba essere considerata solo come un singolo stadio di un sistema completo di sicurezza IT multilivello. Persino disponendo di un solido impianto Anti-APT, una società non può certo permettersi di trascurare, o addirittura dimenticare, altri importanti livelli di protezione IT, quali un’avanzata endpoint security, specifiche protezioni per i sistemi di posta elettronica, e così via.

1. Descritto in dettaglio nel whitepaper di Kaspersky Lab “Strategie per Mitigare le Minacce Persistenti Avanzate (APT)”
2. Per informazioni dettagliate si prega di consultare >>>
3. Le informazioni relative alle attuali minacce IT sono disponibili su >>>
4. Per saperne di più sulle tecnologie Kaspersky Lab: >>>
5. Per ulteriori informazioni sulle tecnologie sviluppate da Kaspersky Lab si prega di consultare >>>