Protezione dell’azienda da APT e attacchi mirati

Lug 27, 2016 Marco Schiaffino 0

---

Gli attacchi mirati utilizzano strategie e strumenti che i sistemi di protezione convenzionali non sono in grado di bloccare. Per difendere le infrastrutture di rete, quindi, è necessario cambiare prospettiva e puntare tutto sulla rilevazione tempestiva degli attacchi.

 

C’erano una volta i malware: semplici, distribuiti tramite campagne di spam e facilmente individuabili con il sistema delle definizioni o dell’analisi euristica. Per i responsabili della sicurezza in azienda, a quei tempi, la vita era (relativamente) semplice e si riduceva a un attento controllo del perimetro, associato a una rigida policy di aggiornamenti e manutenzione degli endpoint protetti tramite l’antivirus.

Nel 99% dei casi, infatti, il pericolo per le aziende arrivava da malware generici, pensati per colpire utenti domestici. La minaccia arrivava da virus, worm e trojan progettati per diffondersi in maniera indiscriminata sul Web e pensati per danneggiare il sistema o sottrarre dati piuttosto comuni (credenziali di accesso alle caselle email o dati finanziari) attraverso procedure predefinite.

Minacce tutto sommato prevedibili e facili da individuare. Insomma: la complessità nella gestione di un’infrastruttura aziendale era rappresentata solo dal fatto di dover gestire un gran numero di macchine collegate in rete locale e servizi (database gestionali, siti Internet e Intranet) che in caso di infezione avrebbero potuto subire blocchi o perdite di dati.

Tutto è cambiato da quando le aziende sono diventate un obiettivo specifico del cyber-spionaggio. Il cambio di strategia dei pirati, infatti, rende obsoleti i sistemi di protezione che siamo abituati a utilizzare e pongono una serie di problemi ai quali è necessario rispondere in maniera del tutto diversa.

Il primo aspetto di cui bisogna tenere conto è che gli avversari che ci troviamo di fronte hanno caratteristiche diverse rispetto al profilo “classico” del pirata informatico. Non si tratta più di programmatori indipendenti o geniali smanettoni che si divertono a violare qualche rete per gusto personale.

Sempre più spesso si tratta di gruppi criminali organizzati o di professionisti che si mettono al servizio del miglior offerente per colpire un obiettivo ben definito.

La prima conseguenza di questo nuovo scenario è lo sviluppo di APT (Advanced Persistent Threat) sempre più complessi ed evoluti, che puntano a insediarsi all’interno del network e che consentono ai pirati informatici di muoversi in maniera laterale nella rete per raggiungere i loro obiettivi.

Spesso si tratta di software realizzati ad hoc, o versioni di malware modificati in modo da non essere individuabili. In aggiunta a ciò, è cambiato anche il tipo di ambiente che gli amministratori IT si trovano a gestire.

Il classico network composto da client e server collegati in rete è stato sostituito da strutture più complesse, in cui convivono servizi online, magari basati su cloud, e una quantità impressionante di dispositivi mobili personali che rappresentano un ulteriore elemento di complessità nella gestione della sicurezza.

Tutti questi fattori rendono le cose estremamente più complicate e permettono ai pirati un’agibilità che un tempo non avevano. A confermarlo è Gianfranco Vinucci, head of pre sales Kaspersky Lab Italia.

“L’uso di APT e l’estrema complessità delle infrastrutture informatiche consente agli attaccanti di infiltrarsi e agire indisturbati per lunghi periodi di tempo” spiega Vinucci. “Secondo le nostre statistiche, le aziende si accorgono di essere soggette a un attacco dopo una media di 214 giorni dall’intrusione”.

Insomma: considerando le condizioni e gli strumenti a disposizione dei criminali informatici, il problema non è più “se” un’azienda subirà un attacco, ma solo “quando”.

---

---

---