Il mondo ormai è invaso da advanced persistent threat

Un primo bilancio degli attacchi del 2011 con Massimo Vulpiani di Rsa.

Il 2011 è stato un anno critico in termini di incidenti di sicurezza, dato che gli attacchi sono stati più incisivi e frequenti, diretti contro obiettivi di alto livello, personalizzati in base ai target, basati su ricerche approfondite e, in molti casi, hanno impiegato componenti sia tecniche che sociali.
Il termine che serve per descrivere questi attacchi è minacce avanzate e persistenti o Apt, Advanced persistent threat.

Massimo Vulpiani, country manager di Rsa, la divisione sicurezza di Emc, trae la conclusione che le imprese colpite da hacker altamente organizzati non possono avere come unici mezzi di difesa gli strumenti di sicurezza classici basati su signature.

Si parte sempre dal social engineering...
Gli hacker usano di solito i siti di social network per trovare le informazioni necessarie e individuare specifici utenti di un'organizzazione.
Alcuni dei principali vettori di infezioni sono le e-mail, Skype e i messaggi delle chat, con i payload del malware che si presentano sotto forma di pdf, html compresso, script file, eseguibili e allegati.

... per sottrarre dati
La personalizzazione delle tecniche di attacco si estende alla sottrazione dei dati.
Le minacce
sofisticate utilizzano spesso metodi evoluti per comprimere, crittografare e trasmettere dati
ad altre organizzazioni compromesse, lasciando poche tracce sull'origine dell'attacco o la
destinazione delle informazioni rubate.
Questo passaggio da un approccio generico a uno
studiato ad hoc, da un attacco standardizzato a uno adattivo, significa che i dipartimenti
responsabili della sicurezza aziendale devono andare oltre la definizione delle signature e
riconsiderare la reale efficacia delle loro attuali difese.

Il comportamento delle persone è il vulnus
Infatti, nella maggior parte delle strategie di difesa, il vero tallone d'Achille sono le persone, non le tecnologie.

La disciplina della sicurezza delle informazioni, per Vulpiani, richiede un atteggiamento più collaborativo di quanto ci si potrebbe attendere dall'esterno.
Si evidenzia così una delle più importanti debolezze del settore: la mancanza di intelligence in tempo reale contro le minacce.
I criminali informatici sono sempre più sofisticati, ma gli attacchi di tipo avanzato sono qualcosa di completamente diverso.
Questi ultimi, infatti, sono sempre più orientati verso lo spionaggio e il furto di dati specifici che possono avere elevato valore e importanza per l'entità che ne commissiona il furto. Questa entità può essere un governo straniero, un'azienda rivale o gruppi criminali organizzati, ma in ogni caso un'entità in grado di mettere in campo considerevoli risorse finanziarie per arrivare al proprio obiettivo.

Psicologia dell'hacker
Gli hacktivisti puntano a creare imbarazzo e a denunciare apertamente le attività dei loro obiettivi, pubblicizzando con orgoglio i loro successi. Molti attacchi avanzati hanno invece l'obiettivo dell'invisibilità.
I protagonisti non vogliono essere scoperti, né cercano pubblicità.
Per Vulpiani le minacce sofisticate hanno dimostrato che la sicurezza è un problema di ecosistema.

Gli hacker investono tempo per infiltrarsi in obiettivi intermedi, che fanno parte della catena
logistica del target primario. Fra questi si trovano fornitori di servizi ed esperti commerciali, come consulenti e avvocati.
La sicurezza, insomma, ruota intorno al problema dell'anello più debole.

Pensare di tenere gli avversari lontani non è realistico. Per le aziende è consigliabile comportarsi come se la loro sicurezza fosse stata già violata.

I tre principi cardine della sicurezza
I tre principi cardine della sicurezza, allora, sono compartimentalizzazione, difesa approfondita e
riduzione dei privilegi amministrativi.
La combinazione di questi tre elementi fa sì che se una
parte del sistema (o persona) viene compromesso, non venga compromesso l'intero sistema.

Per quanto semplici a livello concettuale, questi principi si sono dimostrati complicati da
implementare.

Passato perimetro
Le aziende si sono a lungo basate sulla nozione di perimetro.
I perimetri di sicurezza sono oggi considerati una struttura del passato. Nelle moderne
organizzazioni definire i confini è praticamente un'impresa.
L'inclusione di utenti parzialmente
affidabili come clienti, venditori, partner a contratto, fornitori di servizi e di cloud e altri hanno reso i confini delle organizzazioni a dir poco permeabili.
E, andando oltre, c'è da dire che la consumerizzazione dell'It ha portato all'interno delle imprese una quantità di dispositivi non prima gestiti, rendendo molto meno marcata quella linea che divideva la vita professionale dei dipendenti dalla loro vita privata.

Conoscere l'asset
La sicurezza migliora quando vi è maggiore consapevolezza della situazione: per individuare
le minacce all'orizzonte è fondamentale imparare a capire cosa sta accadendo oltre i confini
della rete.

La realtà delle minacce sofisticate, secondo Vulpiani, richiede un approccio innovativo per difendersi, nel quale le imprese possano muoversi agilmente ed essere produttive pur nell'ambito di un ambiente in costante allerta.
Considerato che la sicurezza delle informazioni è un problema di anello più debol”, solo la comprensione degli asset, dei processi e degli endpoint in possesso può permetterr di predisporre un valido sistema di difesa.

CONDIVIDI

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here