Risponde Marco Rottigni, Technical Director di SentinelOne
Autore: Redazione SecurityOpenLab
Le APT o minacce persistenti avanzate sono divenute nel tempo sinonimo di attacchi sofisticati, nonché simbolo dell’elevazione del Cyber a dominio di guerra, avvenuta intorno al 2010 e da allora evoluta con raffinazione di termini e contesti. Quello che non è cambiato nel tempo è la militarizzazione del termine, che definisce le APT come strategie che si sviluppano nel tempo, dotate di risorse certamente non alla portata di privati e quindi spesso allineate con le necessità offensive di Stati.
Uno dei primi e più importanti esempi di APT è stato sicuramente Stuxnet, progettato per colpire il programma nucleare iraniano. Sebbene sia stato scoperto nel 2010, si pensa che fosse in fase di sviluppo dal 2005. Al momento della scoperta, Stuxnet era un worm informatico di 500 kilobyte che ha infettato il software di oltre 14 siti industriali in Iran. Il worm ha preso di mira le macchine Microsoft Windows e si è diffuso da solo. Il risultato è stato che l'Iran ha perso quasi un quinto delle proprie centrali nucleari. Un esempio più recente di minaccia informatica di tipo APT è Wicked Panda, che è stato uno dei più prolifici avversari con base in Cina nell'ultimo decennio. Oltre a eseguire attacchi a scopo di lucro, opera nell'interesse dello Stato cinese.
Nel tempo e seguendo l’evoluzione del quadro geopolitico globale, è diventato sempre più importante il processo di attribuzione, cioè la capacità di qualificare un certo gruppo di attacco in base alle tattiche, tecniche e procedure utilizzate. Magari abbinandolo ad un particolare Stato. Questo è stato ed è possibile farlo utilizzando framework come ad esempio MITRE ATT&CK, dove l’intera catena di compromissione o kill-chain è suddivisa in documenti che spiegano in dettaglio le tattiche – cioè il perché l’attaccante effettua determinate mosse, come ad esempio ottenere persistenza nell’infrastruttura attaccata; oltre alle tecniche – cioè il come l’attaccante agisce per raggiungere il propri obiettivi, ad esempio utilizzando le procedure di partenza delle applicazioni Office; ogni tecnica è infine distinta da un identificativo, che consente di accedere a un documento descrittivo che contiene dettagli sugli strumenti utilizzati e su come riconoscerne la presenza, ad esempio T1047.
L’importanza di questa codifica della catena di compromissione è fondamentale, perché consente di uniformare il lessico con cui ci si riferisce agli incidenti informatici ed alle azioni necessarie per rilevarli e contrastarli; fornisce anche abbondante letteratura per riconoscere gli attaccanti: parlando della tecnica accennata in precedenza, questa ha a che fare con l’utilizzo abusivo di Windows Machine Instrumentation – uno strumento lecito di amministrazione di sistemi Microsoft – per furto di credenziali, spostamenti laterali o creazione di backdoor (cioè meccanismi che permettono all’attaccante di tornare nell’ambiente compromesso in futuro).
Un esempio del valore di MITRE ATT&CK contestualizzato nel recente passato potrebbe essere il seguente: subisco un attacco che viene rilevato dai miei sistemi di difesa; mappando tecniche e strumenti utilizzati riconosco l’uso di T1047; analizzando come si è sviluppato l’attacco nel mio ecosistema digitale sono in grado di attribuirlo a APT29, un gruppo di attacco affiliato al Russian Foreign Intelligence Service (SVR).
Questa operazione mi permette di impostare correttamente il livello di allarme e la conseguente attenzione da porre nella gestione dell’evento, nella reazione e nella risposta.
È di assoluta importanza che le aziende capiscano quali capacità potenziare o sviluppare e, gli strumenti da adottare, sono una naturale conseguenza di tale comprensione. E queste capacità sono visibilità nei confronti dei più tenui segnali di compromissione, unita alla consapevolezza di se e come questi segnali siano parte di una strategia di attacco. Spesso il posto ideale per rilevare questi segnali è l’endpoint, che rappresenta il punto di contatto tra l’anello debole della filiera di difesa – cioè l’utente – e l’ecosistema digitale di un’azienda, costruito per abilitarne il business e proteggerne i dati.
Ma l’endpoint non è l’unico elemento da monitorare: è importante avere consapevolezza delle identità e di quanto i sistemi che le governano – ad esempio Active Directory – siano vulnerabili ad abusi e compromissione di credenziali. Ed è importante integrare diverse soluzioni, spesso di vendor diversi, ognuna con le proprie specializzazioni nell’arricchire il contesto di quanto viene rilevato oppure la risposta nel contrasto alle compromissioni.
È la logica con cui SentinelOne ha concepito Singularity XDR, una piattaforma votata all’integrazione ed automazione di tecnologie diverse tra loro, per raggiungere quell’agilità di processo che permette di garantire continuità operativa in pochi secondi all’utente oggetto di un attacco, mentre potenzia con velocità ed efficacia le Security Operations.
Il tutto abbinando servizi come WatchTower, che garantisce informazione azionabile ed intelligence sulle minacce, estendendo la visibilità e la possibilità di azione in modo specifico contro le nuove tecniche di attacco. SentinelOne è in grado di fornire una caccia guidata dall'intelligence, un potenziamento quotidiano del SOC MDR e una risposta completa a ogni tipo di incidente.