L’evoluzione degli attacchi informatici



A cura di Alessio Sciuto,


L’evoluzione degli attacchi informatici

In questi ultimi anni Internet ha assunto un'importanza vitale nel mondo industriale e produttivo. L’utilizzo di Internet e della posta elettronica, dei siti web, dei trasferimenti FTP e VPN per il collegamento remoto, è ormai all'ordine del giorno e alla portata di tutti. Inoltre, la diffusione della tecnologia "mobile" porta oggi la connettività dal livello "azienda" al livello "utente", in quanto ogni impiegato, possedendo un tablet o uno smartphone, può collegarsi alla rete dell'azienda per scambiare dati, introducendo tante nuove vulnerabilità difficili da controllare. Parallelamente il "Cybercrime" si è evoluto per sfruttare queste vulnerabilità, continuando sempre di più a comportarsi come una vera e propria industria dedita al profitto. Non si tende più a creare virus per la sola gratificazione personale o per dimostrazione di valore nel mondo underground degli hacker, ma i nuovi malware vengono creati, spesso su ordinazione, appositamente con lo scopo di penetrare nella rete aziendale, rimanerci nascosti il più possibile e trafugare dati sensibili o di valore dai computer aziendali. Intorno agli anni 2000, fecero scalpore i virus di nome "Melissa" e "I love you" che si distinsero per l'impressionante velocità di diffusione e di attivazione, attaccando i messaggi di posta elettronica e acquisendo la massima popolarità in brevissimo tempo. L’evoluzione tecnologica ha prodotto attacchi di nuova concezione, creati con scopi ben precisi e che spesso vengono scoperti dopo anni di invisibilità. A tal proposito assistiamo a numerose campagne di attacchi che coprono azioni di spionaggio diplomatico ed industriale. È così nata un nuovo tipo di minaccia chiamata APT.

 

Minaccia mirata APT

 

Con il termine APT o Advanced Persistent Threat si indica la nuova tipologia di "attacco mirato". Il termine "mirato" indica, per l'appunto, il nuovo scopo di tali attacchi che è quello di compromettere l'infrastruttura informatica aziendale con l'intento di trafugare i dati sensibili dell'Azienda attaccata. La differenza sostanziale con i malware di vecchia generazione, risiede nella componente "persistente". In effetti, “l'attaccante”, una volta individuata la vittima, inizia a raccogliere informazioni pubblicamente disponibili (spesso con tecniche di Social Engineering) e sferra una serie di attacchi continuativi, fino a trovare il punto di accesso che gli permetterà di penetrare nella rete. Dopo la compromissione iniziale, l'intruso crea delle "backdoor" che gli permettono di acquisire credenziali di accesso e di attaccare altre macchine della rete, processo definito “spostamento laterale”.

Queste operazioni avvengono con credenziali compromesse ma reali, quindi risultano assolutamente invisibili ai sistemi di protezione perimetrale come i Firewall. Anche se l'azienda ripulisce un terminale compromesso, lo “spostamento laterale” garantisce all'attaccante un immediato ripristino del controllo sulla rete. A questo punto vengono raccolti i dati sensibili e di valore, salvati all'interno di un server chiamato C&C (Command and Control) che provvederà a spedire in maniera anonima e criptata tali informazioni ad uno o più server esterni di pertinenza dell'aggressore. Tutto questo avviene a totale insaputa dell'azienda per mesi e a volte per anni.

 

Come difendersi

Gli attacchi mirati sono per loro natura personalizzati e quindi sviluppati su misura per contrastare le difese dell'azienda da attaccare. Spesso utilizzano vulnerabilità zero-day, quindi ancora sconosciute, essendo inoltre mutevoli nel tempo, in quanto si devono adattare alle contromisure che l'azienda mette in atto per proteggersi. In questo scenario è facile intuire che le difese tradizionali non sono più sufficienti per contrastare questo tipo di attacco. Il traffico illecito avviene anche dall'interno verso l'esterno della rete e l'aggressore spesso utilizza credenziali reali, ma compromesse.

Per contrastare un attacco "mirato" occorre una soluzione "mirata" che sia in grado di identificare l'attacco, analizzarne le componenti rilevanti, predisporre le contromisure e rispondere rapidamente ed in maniera completa. Occorre spostare le protezioni dal livello "utente" verso il bene da proteggere, rappresentato dai dati aziendali. 

La crescita esponenziale dei possibili punti di accesso alla rete, dovuta all'introduzione in azienda dei dispositivi mobili (smartphone e tablet), e la non conoscenza preventiva del tipo di attacco, ci porta a considerare che se un aggressore vuole entrare nella rete, in un modo o nell'altro lo farà. La nostra difesa, non potendo impedire l'ingresso, può però controllare gli spostamenti dell'intruso e bloccare le azioni illecite, come il tentativo di acquisire credenziali e privilegi di accesso o il trafugamento di dati sensibili. Dobbiamo quindi attivare il concetto di "trust no one" e rendere protette 

e criptate tutte le connessioni aziendali sia interne che esterne, aumentando il controllo sugli accessi interni, in modo da limitare lo spostamento laterale.

Un altro punto chiave è l'analisi approfondita dei log per tutto il traffico, sia interno che esterno perché questo aumenta la visibilità della rete e permette di riconoscere comportamenti tipici di attacchi APT. L'analisi euristica di codice sospetto può essere effettuato con la tecnologia definita "sandbox", ovvero piattaforme virtuali personalizzabili sulle quali mandare in esecuzione il codice in modo sicuro ed analizzarne gli effetti. Se il codice produce azioni illecite, i pacchetti vengono bloccati e non eseguiti nella rete aziendale.

È molto simile ad una partita a scacchi: l'aggressore modifica le modalità di attacco fino ad ottenere l'accesso illecito e il difensore deve analizzare le sue mosse e fornire la contromisura adatta, ricordando che non è importante impedire all'aggressore di entrare nella rete, ma è fondamentale impedirgli di trafugare i dati sensibili.

Esistono sul mercato diverse soluzioni, tra cui negli ultimi anni emerge quella offerta da Cisco con la soluzione Threat Defence che è una delle parti della strategia Self-Defending Network, costituita da più tecnologie e dispositivi. Impiega infatti firewall, router di accesso, switch, concentratori di accesso VPN, filtri URL e sistemi di prevenzione delle intrusioni (IPS). L’approccio flessibile garantisce la protezione mediante il software Cisco IOS, i client hardware e gli applicativi con funzionalità di sicurezza intelligente integrate oppure una combinazione di tutto ciò. La modularità della soluzione Cisco Threat Prevention permette altresì di adattarla facilmente all’evolversi degli attacchi alla sicurezza e alle nuove esigenze aziendali.