Molte aziende fanno del loro meglio per raccogliere quanti più dati possibili sui clienti. Alcuni addirittura regalano i loro prodotti gratuitamente in cambio dell'autorizzazione a raccogliere informazioni personali.

Di conseguenza, anche le aziende più piccole dispongono ora di una grande quantità di dati preziosi. E sempre più attori delle minacce sono alla ricerca di modi per rubarlo. Un esempio di ciò è un tipo di attacco informatico noto come minaccia persistente avanzata.

Allora, qual è una minaccia persistente avanzata? Come si individua uno? E cosa dovresti fare se pensi che il tuo sistema sia stato colpito da un APT?

Che cos'è una minaccia persistente avanzata (APT)?

Una minaccia persistente avanzata è un tipo di attacco in base al quale un intruso ottiene l'accesso a un sistema e quindi riesce a rimanere lì inosservato per un lungo periodo di tempo.

Questo tipo di attacco viene generalmente effettuato con l'obiettivo di spionaggio. Se l'obiettivo fosse semplicemente danneggiare un sistema, non ci sarebbe motivo di restare. Le persone che eseguono questi attacchi non stanno cercando di distruggere i sistemi informatici. Vogliono semplicemente accedere ai dati che possiedono.

instagram viewer

Le minacce persistenti più avanzate utilizzano tecniche di hacking sofisticate e sono adattate ai singoli sistemi di computer.

Ciò rende questi attacchi molto difficili da rilevare. Ma un vantaggio della loro complessità è che l'utente medio di computer di solito non deve preoccuparsi di loro.

A differenza del malware che è generalmente progettato per prendere di mira il maggior numero di computer possibile, le minacce persistenti avanzate sono in genere progettate con un obiettivo specifico in mente.

Come avviene un APT?

La minaccia persistente avanzata è un termine relativamente ampio. Il livello di sofisticazione impiegato in un attacco di questo tipo varia pertanto notevolmente.

La maggior parte, tuttavia, può essere facilmente suddivisa in tre fasi distinte.

Fase 1: infiltrazione

Nella fase di apertura, gli hacker stanno semplicemente cercando un modo per entrare. Le opzioni a loro disposizione dipenderanno ovviamente dalla sicurezza del sistema.

Un'opzione potrebbe essere il phishing. Forse possono convincere qualcuno a rivelare accidentalmente le proprie credenziali di accesso inviando loro un'e-mail dannosa. Oppure, se ciò non è possibile, potrebbero provare a ottenere lo stesso risultato attraverso l'ingegneria sociale.

Fase 2: espansione

Il passo successivo è l'espansione. Una volta che gli aggressori hanno un accesso valido al sistema, vorranno espandere la loro portata e probabilmente assicurarsi che il loro accesso esistente non possa essere revocato.

Di solito lo fanno con qualche tipo di malware. Un keylogger, ad esempio, consentirà loro di raccogliere password aggiuntive per altri server.

Relazionato: Cos'è un keylogger?

E un trojan backdoor garantirà future intrusioni anche se la password originale rubata viene modificata.

Fase 3: estrazione

Durante la terza fase, è il momento di rubare effettivamente i dati. Le informazioni vengono generalmente raccolte da più server e quindi depositate in un'unica posizione fino a quando non sono pronte per il recupero.

A questo punto, gli aggressori potrebbero tentare di sopraffare la sicurezza del sistema con qualcosa come un attacco DDOS. Alla fine di questa fase, i dati vengono effettivamente rubati e, se non vengono rilevati, la porta viene lasciata aperta per futuri attacchi.

Segnali di pericolo di un APT

Sebbene un APT sia in genere progettato specificamente per evitare il rilevamento, ciò non è sempre possibile. Il più delle volte, ci saranno almeno alcune prove che un simile attacco si sta verificando.

Spear phishing

Un'email di spear phishing può essere un segno che un APT sta per accadere o è nelle fasi iniziali. Le e-mail di phishing sono progettate per rubare dati da grandi quantità di persone in modo indiscriminato. Le e-mail di spear phishing sono versioni personalizzate realizzate su misura per mirare a persone e / o aziende specifiche.

Accessi sospetti

Durante un APT in corso, è probabile che l'aggressore acceda regolarmente al tuo sistema. Se un utente legittimo accede improvvisamente al proprio account in orari dispari, questo potrebbe quindi essere un segno che le sue credenziali sono state rubate. Altri segnali includono l'accesso con maggiore frequenza e l'osservazione di cose che non dovrebbero essere.

Trojan

Un Trojan è un'applicazione nascosta che, una volta installata, può fornire l'accesso remoto al tuo sistema. Tali applicazioni hanno il potenziale per essere una minaccia ancora più grande delle credenziali rubate. Questo perché non lasciano impronte, ovvero non c'è una cronologia di accesso da controllare e non sono influenzati dalle modifiche della password.

Trasferimenti di dati insoliti

Il più grande segno di un APT che si verifica è semplicemente che i dati vengono improvvisamente spostati, apparentemente senza una ragione apparente. La stessa logica si applica se vedi che i dati vengono archiviati dove non dovrebbero essere o, peggio, sono effettivamente in fase di trasferimento a un server esterno al di fuori del tuo controllo.

Cosa fare se sospetti un APT

Una volta rilevato un APT, è importante muoversi velocemente. Più tempo ha un utente malintenzionato nel tuo sistema, maggiore è il danno che può verificarsi. È anche possibile che i tuoi dati non siano stati ancora rubati, ma piuttosto che lo siano. Ecco cosa devi fare.

  1. Ferma l'attacco: I passaggi per arrestare un APT dipendono in gran parte dalla sua natura. Se ritieni che solo un segmento del tuo sistema sia stato compromesso, dovresti iniziare isolandolo da tutto il resto. Successivamente, lavora sulla rimozione dell'accesso. Ciò può significare la revoca delle credenziali rubate o, nel caso di un Trojan, la pulizia del sistema.
  2. Valuta il danno: Il prossimo passo è capire cosa è successo. Se non capisci come si è verificato l'APT, non c'è niente per impedire che accada di nuovo. È anche possibile che una minaccia simile sia attualmente in corso. Ciò significa analizzare i registri degli eventi dei sistemi o semplicemente capire il percorso utilizzato da un utente malintenzionato per ottenere l'accesso.
  3. Notifica a terze parti: A seconda dei dati memorizzati nel sistema, il danno causato da un APT potrebbe essere di lunga durata. Se al momento stai archiviando dati che non ti appartengono solo, ad esempio i dettagli personali di clienti, clienti o dipendenti, potresti dover comunicarlo a queste persone. Nella maggior parte dei casi, la mancata osservanza di questa precauzione può diventare un problema legale.

Conosci i segni di un APT

È importante capire che non esiste una protezione completa. L'errore umano può portare alla compromissione di qualsiasi sistema. E questi attacchi, per definizione, utilizzano tecniche avanzate per sfruttare tali errori.

L'unica vera protezione da un APT è quindi sapere che esistono e capire come riconoscere i segni che si verificano.

E-mail
Che cos'è la sicurezza adattiva e in che modo aiuta con la prevenzione delle minacce?

Un modello di monitoraggio della sicurezza in tempo reale, la sicurezza adattiva utilizza tattiche moderne per mitigare le minacce informatiche in continua evoluzione.

Leggi Avanti

Argomenti correlati
  • Sicurezza
  • Sicurezza in linea
  • Sicurezza del computer
Circa l'autore
Elliot Nesbo (6 articoli pubblicati)

Elliot è uno scrittore di tecnologia freelance. Scrive principalmente di fintech e cybersecurity.

Altro di Elliot Nesbo

Iscriviti alla nostra Newsletter

Iscriviti alla nostra newsletter per suggerimenti tecnici, recensioni, ebook gratuiti e offerte esclusive!

Ancora un passo…!

Conferma il tuo indirizzo e-mail nell'e-mail che ti abbiamo appena inviato.

.