- Parte 1. Come mitigare le APT. Teoria applicata
- Parte 2. Top-4: le quattro strategie di base in grado di mitigare l’85% delle minacce
- Parte 3. Le ulteriori strategie di mitigazione. Per una vera protezione di tipo “bullet-proof”
- Parte 4. Uomo avvisato, mezzo salvato: la Strategia da adottare per il Rilevamento delle Minacce Persistenti Avanzate (APT)
Parte 1. Come mitigare le APT. Teoria applicata
È molto probabile che gli attuali attacchi mirati, quali, ad esempio, l’operazione Turla, o la campagna El Machete, siano ancora attivi. E anche se non lo fossero più, il GReAT (Global Research and Analysis Team) di Kaspersky Lab continua ad ogni caso a rilevare regolarmente, in tutto il mondo, la conduzione di campagne di spionaggio simili, di considerevole portata ed estensione.
Le Minacce Persistenti Avanzate (APT) sono attacchi informatici complessi, caratterizzati da numerosi componenti di vario genere, tra cui specifici strumenti di penetrazione (messaggi e-mail di spear-phishing, exploit, etc.), meccanismi di propagazione in rete, spyware, appositi tool per l’occultamento del malware (root/boot kit), ed altri ancora; si tratta, molto spesso, di tecniche particolarmente sofisticate, sviluppate con l’intento di raggiungere un preciso obiettivo: evitare che venga rilevato l’accesso furtivo alle informazioni di natura sensibile.
Le APT prendono di mira i dati sensibili di qualsiasi genere; non è quindi per forza necessario essere un ente governativo, un istituto finanziario di primaria importanza, oppure una società del settore energetico, per divenire vittima delle stesse. Persino le piccole imprese che effettuano vendite al dettaglio sono in possesso di informazioni confidenziali, relative alla propria clientela; inoltre, come è noto, anche le banche di piccole dimensioni operano attraverso piattaforme per servizi remoti, sulle quali interagiscono utenti privati ed imprese di ogni genere, processano e custodiscono le informazioni sensibili inerenti ai pagamenti; queste ultime, ovviamente, possono divenire estremamente pericolose, se vanno a finire nelle mani sbagliate. Per gli attacker, quindi, le dimensioni della società o dell’organizzazione presa di mira non rivestono particolare importanza: il loro intento è esclusivamente quello di entrare in possesso di informazioni di natura sensibile. Quindi, persino le società di piccole dimensioni si rivelano potenzialmente vulnerabili nei confronti delle APT; è per tale motivo che anch’esse necessitano di una precisa strategia per poter mitigare le temibili Minacce Persistenti Avanzate.
Le APT sono divenute un fenomeno ormai comune. Epic Turla è il perfetto esempio di una campagna estremamente attiva ed efficace.
Gli approcci necessari per contrastare al meglio le APT: teorie attuali
Numerose organizzazioni di primaria importanza, incentrate sulle attività tecnologiche, hanno già sviluppato apposite strategie intese a far fronte agli attacchi mirati. Gartner, ad esempio, ha provveduto a pubblicare speciali linee guida per consentire agli utenti di affrontare al meglio le astute tecniche di ingegneria sociale via via messe in atto dai malintenzionati, e per permettere di stare al passo con la rapida ed incessante evoluzione dell’attuale panorama delle minacce IT, attraverso un continuo processo educativo inerente ai temi della sicurezza informatica1.
Per ciò che riguarda le problematiche di natura tecnica legate alla sicurezza IT, affrontate da Gartner, emergono due raccomandazioni chiave: “Aggiornare la sicurezza sia a livello perimetrale che di rete” e “Focalizzare le strategie di protezione sui contenuti dannosi”. In questo contesto, Gartner cita Kaspersky Lab tra i vendor leader nell’ambito delle soluzioni di protezione Application Control e Whitelisting2, in grado di fornire tutte le funzionalità necessarie per mitigare le APT.
Lo stesso IAD (US Information Assurance Directorate) ha pubblicato un proprio documento, Information Assurance Mitigation Strategies, contenente vari riferimenti alle APT. In esso, il Directorate statunitense ha suddiviso le possibili misure di sicurezza in quattro aree chiave: integrità dei dispositivi, contenimento dei danni, protezione degli account e trasmissioni dati sicure ed affidabili. Una delle guide pratiche più interessanti, relativamente al tema della mitigazione delle Cyber-Intrusioni Mirate, è stata elaborata dall’Australian Signals Directorate. Ne riferiamo in dettaglio qui di seguito.
Alcuni esempi di efficaci strategie di mitigazione
Come è noto, nessuna infrastruttura ICT può essere ritenuta sicura al 100%; esistono, tuttavia, particolari misure e linee di azione che ogni società od organizzazione può ragionevolmente adottare per ridurre in maniera significativa il rischio di una possibile cyber-intrusione. Attraverso un’analisi dettagliata ed esaustiva degli attacchi e delle minacce locali, l’Australian Signals Directorate (ASD) ha rilevato come almeno l’85 percento delle cyber-intrusioni mirate a cui tale organizzazione si premura di rispondere potrebbe essere mitigato dall’impiego di quattro strategie di base.
- Utilizzo del whitelisting delle applicazioni per aiutare a prevenire l’esecuzione di software nocivi e programmi non approvati.
- Installazione delle apposite patch rilasciate per applicazioni quali Java, visualizzatori PDF, Flash, browser web e Microsoft Office.
- Correzione delle vulnerabilità individuate a livello di sistema operativo mediante le patch rese progressivamente disponibili dalla software house
- Limitazione dei privilegi di amministratore riguardo a sistemi operativi ed applicazioni, in base agli specifici compiti degli utenti.3
Tali misure di sicurezza sono ritenute altamente efficaci, al punto che l’applicazione delle stesse è stata raccomandata a tutte le agenzie governative australiane. Sulla base della considerevole esperienza acquisita da Kaspersky Lab relativamente alla lotta contro le minacce APT, frutto di analisi e ricerche particolarmente approfondite, riteniamo che l’approccio sopra descritto possa rivelarsi efficace non solo a livello di enti governativi e grandi imprese, ma anche per le organizzazioni commerciali che presentano dimensioni più contenute.
Nessuna società od organizzazione dovrebbe mai supporre che i dati di cui essa dispone siano di scarso valore, o addirittura di nessun valore. Gli attacker non sono soltanto alla ricerca di informazioni classificate; di fatto, sono ugualmente nel mirino degli aggressori le informazioni sensibili in possesso delle imprese, la proprietà intellettuale, i dati di natura scientifica e le politiche governative. E anche nel caso in cui non siano interessati ai vostri dati sensibili, i cybercriminali potrebbero sempre avere intenzione di accedere al vostro network IT, per poi utilizzare lo stesso in qualità di testa di ponte per la conduzione di un assalto informatico verso un target ancor più “allettante”.
Gli esperti di Kaspersky Lab sono fermamente convinti che la Top-35 stilata dall’Australian Signals Directorate, in cui vengono elencate le possibili strategie di mitigazione, rappresenti una delle più importanti linee guida, pubblicamente disponibili, per combattere con successo le cyber-minacce di tipo mirato. Da parte nostra, abbiamo provveduto ad analizzare con cura tale documento, correlando ogni punto in esso contenuto alle soluzioni tecnologiche attualmente disponibili attraverso i nostri prodotti. Nel caso in cui scegliate di implementare, all’interno della vostra organizzazione, le strategie di mitigazione descritte nella Top-35 elaborata dall’ASD, l’utilizzo dei Prodotti Kaspersky Lab renderà tale operazione non solo particolarmente agevole, ma anche più efficace e sicura.
L’elenco completo delle possibili Strategie di Mitigazione, stilato dall’Australian Signals Directorate, comprende 35 punti
Ecco cosa offrono esattamente le ‘Strategie di Mitigazione’ incluse nella Top-35 elaborata dall’ASD
Come indicato sopra, l’elenco relativo alle varie Strategie di Mitigazione formulate dall’Australian Signals Directorate comprende 35 punti, i quali possono essere sommariamente suddivisi in quattro diverse aree logiche, secondo l’approccio di implementazione adottato: ognuna di tali aree chiave dovrebbe essere considerata parte integrante di qualsiasi efficace strategia di mitigazione delle minacce.
| Tipologia di misura | Breve descrizione |
| Amministrativa | Specifica formazione del personale; sicurezza fisica |
| Networking | L’implementazione di tali misure risulta più agevole a livello di hardware di rete |
| Amministrazione del sistema | Il sistema operativo è provvisto di tutto ciò che si rende necessario per effettuare l’implementazione |
| Soluzioni di sicurezza specializzate | È applicabile un software di sicurezza specializzato |
Le prime misure qui sopra elencate sono di natura puramente amministrativa: esse riguardano l’istruzione e la formazione del personale, il miglioramento del livello di sicurezza fisica presente nell’ambiente di lavoro, e via dicendo. Non vi è, in pratica, quasi nessuna menzione riguardo all’hardware o al software, a parte le indicazioni relative alle misure da adottare per predisporre appositi sistemi adibiti al controllo dell’accesso fisico, oppure inerenti alla formazione online.
A livello di hardware di rete possono essere intraprese numerose linee di azione, volte a mitigare le minacce IT. Ad esempio, la strategia di mitigazione che occupa la decima posizione nell’ambito della Top-35 sopra menzionata, ovvero “Segmentazione e segregazione della rete”, viene classificata come “eccellente” per ciò che riguarda l’efficacia complessiva in termini di sicurezza. Inoltre, al 23° posto della speciale graduatoria troviamo “Negare l’accesso diretto ad Internet dalle workstation”, valutata come “buona” (terzo grado di valutazione dopo “essenziale” ed “eccellente”) in termini di importanza a livello di sicurezza.
Una volta configurato l’hardware di rete, si può fare davvero molto, semplicemente avvalendosi delle funzionalità di cui dispone il sistema operativo (OS). Le operazioni di rafforzamento e consolidamento dei sistemi nei confronti di possibili attacchi mirati possono generare una mole di lavoro piuttosto considerevole, per gli amministratori di sistema. Per iniziare, la prima delle quattro misure previste in merito, ritenuta “essenziale” per la sicurezza, è rappresentata dalla limitazione dei privilegi di amministratore. È inoltre fortemente raccomandato attivare ogni possibile meccanismo incorporato (ASLR ed altri), adibito alla protezione del software. Dal punto di vista di Kaspersky Lab, risulta particolarmente significativa la funzionalità definita come “soluzioni di sicurezza specializzate”; si tratta di un’area chiave in cui il software e le tecnologie di Kaspersky Lab possono essere di notevole aiuto, come si vedrà qui di seguito.
La maggior parte delle misure e delle linee di azione inerenti alle strategie di mitigazione possono essere implementate mediante l’utilizzo delle soluzioni di sicurezza IT sviluppate da Kaspersky Lab.
Almeno l’85% delle cyber-intrusioni mirate alle quali l’ASD ha risposto nel corso del 2011 hanno riguardato avversari che hanno fatto uso di tecniche di attacco non sofisticate, le quali possono essere di fatto mitigate adottando l’insieme delle strategie che occupano i primi quattro posti della Top-35 in questione: whitelisting delle applicazioni, aggiornamento/patching delle applicazioni, aggiornamento/patching dei sistemi operativi, restrizione dei privilegi di amministratore. I prodotti Kaspersky Lab offrono le soluzioni tecnologiche in grado di coprire le prime tre delle quattro Strategie principali; inoltre, più della metà dei punti elencati nella lista elaborata da ASD può essere implementata mediante l’utilizzo delle nostre soluzioni di sicurezza IT specializzate. Nella seconda parte della nostra speciale serie dedicata alle Strategie per Mitigare le APT analizzeremo in dettaglio tale tematica.
| Ranking ASD | Strategie di mitigazione, denominazione in breve | Tecnologie Kaspersky Lab |
| 1 | Whitelisting delle applicazioni | Whitelisting dinamico |
| 2 | Correzione vulnerabilità delle applicazioni tramite patch | Componenti “Vulnerability Assessment” e “Patch Management” (Valutazione delle vulnerabilità e Gestione delle patch) |
| 3 | Correzione vulnerabilità del sistema operativo tramite patch | |
| 5 | Hardening della configurazione applicazioni utente | Componenti “Controllo Web” (blocco degli script nei browser web) e “Anti-Virus Web” |
| 6 | Analisi dinamica automatizzata dei contenuti e-mail e web | Anti-Virus Posta e Anti-Virus Web, Security for Mail Server, Security for Internet Gateway, DLP per E-mail e Collaboration add-on |
| 7 | Mitigazione degli exploit generici per gli OS | Prevenzione Automatica degli Exploit |
| 8 | HIDS/HIPS | Componenti “System Watcher” e “Controllo Privilegi Applicazioni” |
| 12 | Firewall delle applicazioni, basato su software, per il traffico in entrata | Firewall avanzato |
| 13 | Firewall delle applicazioni, basato su software, per il traffico in uscita | Firewall avanzato |
| 15 | Registrazione degli eventi del computer | Kaspersky Security Center |
| 16 | Registrazione delle attività di rete | Kaspersky Security Center |
| 17 | Filtraggio contenuti e-mail | Kaspersky Security for Mail Sever |
| 18 | Filtraggio contenuti web | Controllo Web |
| 19 | Whitelisting domini web | Controllo Web |
| 20 | Blocco e-mail di spoofing | Anti-Spam |
| 22 | Software antivirus che fa uso di euristici e rating di reputazione automatici, basati su Internet | Anti-Malware |
| 26 | Controllo dispositivi rimovibili e portatili | Componente “Controllo Dispositivi” |
| 29 | Ispezione a livello di workstation dei file di Microsoft Office | Anti-Malware |
| 30 | Software antivirus basato sulle firme | Anti-Malware |
Le Strategie ASD che possono essere efficacemente implementate utilizzando la gamma dei prodotti Kaspersky Lab.
- Gartner: Best Practice for Mitigating Advanced Persistent Threats (Le migliori pratiche per mitigare le minacce persistenti avanzate) – documento ID G00256438.
- Se necessario, controllare i termini nel Glossario Tecnologico.
- Australian Signals Directorate, Strategies to Mitigate Targeted Cyber Intrusions (Strategie per mitigare le cyber-intrusioni mirate)