Informazioni personali

Cerca nel blog

Translate

Visualizzazione post con etichetta Malware. Mostra tutti i post
Visualizzazione post con etichetta Malware. Mostra tutti i post

mercoledì 11 gennaio 2017

Devi fare il budget sulla sicurezza informatica? Se sei stato fortunato: ti sei preso un ransomware

ho pensato che sia cosa utile fare seguito ad un mio precedente post che si chiedeva se era paperino a fare i budget di sicurezza. Diciamolo, uno dei problemi che affliggono il mondo della sicurezza è che in pochi hanno una vaga idea di come costruire un budget che copra questi bisogni e lamentarsi sempre non aiuta a risolvere il problema, ho quindi pensato di scrivere un suggerimento su come venire incontro alla determinazione del valore economico della stesura di un budget di sicurezza informatica.

Il problema di costruire il budget della sicurezza è, notoriamente, che chi lo fa deve prevedere dei soldi da spendere, e li deve giustificare in qualche maniera all IT manager, al CEO, al CFO, all’HR manager e a Zio Paperone.

Non voglio stare a fare la lezioncina di come si fa un budget sulla sicurezza, ma lasciatemi evidenziare un paio di cose elementari.

  • Se spendi dei soldi questi devono essere meno del valore totale della cosa che vuoi proteggere
    • se quello che devi proteggere vale 100 e tu spendi 110 forse non hai fatto bene i conti
  • Devi in qualche maniera rispettare eventuali termini di legge
    • ricordati che vi sono delle leggi da rispettare, e in italia vige la responsabilità oggettiva, cioè se ha causa delle tue bischerate ne viene un danno a terzi, tu sei corresponsabile.
  • Quello che compri o implementi deve avere un senso
    • se temi che ti rubino la macchina non compri una cassetta di sicurezza, magari ti orienti verso un box ed una buona assicurazione

Le tre condizioni sarebbero da rispettare in contemporanea, perché ovvio che devi almeno fare quello che la legge chiede, che devi spendere il giusto e in maniera giusta.

Peccato sia proprio su questi 3 punti che si incontrano gli ostacoli maggiori nella costruzione del nostro budget.ma oggi voglio essere buono, limito gli insulti e mi occupo solo del primo punto:

Quanto ha senso farti spendere?

Mettiamola così, se tu dici che vuoi spendere 100 euro I tuoi capi ti diranno:

  • 100 euro … ma sei matto?
  • A che cosa serve tutto quel denaro li?
  • A miei tempi si usava la macchina da scrivere e tutto andava meglio
  • Non ci sono più le mezze stagioni
  • Piove governo ladro
  • Lei non sa chi sono io

A meno che tu sia un ceo illuminato e i 100 euro li tiri fuori da solo di tasca tua.

Ma perché ti dicono questo?

Perché per giustificare i 100 euro dovresti spiegare che questa esosa cifra ti serve per proteggere 100000 euro di valore della azienda.

Insomma non chiedi neanche una percentuale esosa…. Meno di una assicurazione.

Il problema è che tu non sai quanto stai proteggendo, e neanche loro lo sanno.

Qualunque budget di spesa dovrebbe prevedere la analisi del valore degli asset, se lo chiedi ad un CFO ti spiegherà questa cosa in tutte le salse. Salvo poi se gli chiedi come valuta i suoi asset digitali, in questo caso generalmente ride e pensa dentro di sé: è arrivato il cretino…. (con rispetto parlando per i retini ovviamente).

Questo è il vero dramma della IT, nessuno sa valutarne il valore economico e non dico il costo, che del valore economico è una componente.

Quanta IT serve per produrre valore nella mia azienda? Che valore hanno i dati digitali che uso?…

Perché se c’è una produzione di valore legata alla IT allora possiamo iniziare a parlare di budget, altrimenti stiamo buttando il mio, il tuo ed il suo tempo.

In altre parole o la digitalizzazione serve e dà valore e allora i dati vanno gestiti e protetti, o non serve ed allora perché che ne stiamo ad occupare?

Il ricattatore informatico: un consulente al tuo servizio

Purtroppo questo conto non lo sanno fare né il CEO né il CFO né l’HR e, probabilmente, nemmeno tu.

Ma qualcuno che questo conto lo sa fare c’è, è il tuo consulente globale sulla sicurezza, quello che ti fa il deploy del ransomware e poi ti chiede i soldi.

Si insomma quello che ti ostini a chiamare criminale è in realtà l’unico che ha capito di cosa hai bisogno… e come farlo capire al tuo capo

Non dovresti denunciarlo, dovresti dargli un premio produzione….

E si perché non c’è nulla come beccarsi un bel ransomware per far capire che i dati sono una cosa preziosa ed hanno un valore.

È questo valore è proporzionale a quanto sei disposto a pagare per riaverli indietro.

Il Ransomware, in altre parole, è un formidabile strumento di valutazione del valore degli asset digitali.

Non sono i virus, non è una intrusione, è proprio il ransomware che ti fa capire il valore di quello che hai in casa.

La tua azienda se lo becca, i suoi, tuoi dati vengono messi in una bella scatolina chiusa che si apre solo se paghi.

A questo punto persino il CEO ed il CFO iniziano a sospettare, bontà loro, che c’è del marcio in Danimarca. (l’HR manager viene dopo per questioni caratteriali J)

E si perché qualcuno questi soldi li deve tirare fuori a meno che non si riesca a porre rimedio.

Ora, ad esempio, se i backup li gestisci come non si dovrebbe fare (che è la norma) e quindi sono abbondantemente inutili, e se non hai una chiave per decrittare i tuoi dati ti trovi nella situazione seguente:

  • La gente non può lavorare a causa del blocco di qualcosa a cui prima non attribuiva valore
  • Tutti sono incazzati con te e ti danno la colpa, ma questo è normale
  • Vengono alla luce le cazzate fatte nella implementazione della tua struttura IT
  • La azienda perde dei soldi

A questo punto il CFO si mette una mano sul portafoglio e dà l’OK al pagamento del riscatto con il benestare del CEO, l’accordo del presidente, l’assenso dell’HR manager, il conforto dell’avvocato, le lacrime del marketing manager e l’assoluzione plenaria del padre confessore.

Bene, questo significa che hai appena dato un valore economico all’asset digitale. O meglio il valore glielo ha dato quel pio criminale che ha pensato di infettarti e ricattarti. È grazie a lui che ora tutti devono a denti stretti ammettere che quei dati hanno un valore.

Più alto il riscatto che il cfo è disposto a pagare, più alto è il valore che assegna a quell’asset.

Ovviamente vi sono considerazioni accessorie tipo:

  • Quanti soldi perdo per il blocco derivante da questo incidente sui miei asset digitali?
  • Quanto inciderà la figura di cacca che sto facendo sul mio mercato?
  • Quanto mi costerà il ripristino alla funzionalità normale?
  • Quanto mi costerà mettere in sicurezza la cosa perché non si ripeta?
  • Vado incontro a conseguenze legali?

Ma non voglio tediarti con particolari inutili. Carpe diem, cogli l’attimo.

Quello che risulta è che quello che, per motivi a me oscuri, continui a chiamare criminale informatico in realtà ti ha appena fatto una analisi del valore dei tuoi asset digitali come nemmeno il più persuasivo dei consulenti farebbe.

Certo non è proprio fatto secondo canali strettamente legali, ma se la legalità ti interessasse avresti intrapreso da un po’ l’adeguamento dei tuoi sistemi al GDPR… purtroppo per quella consulenza devi aspettare l’ispezione e la multa conseguente (da quelle parti si svegliano anche l’HR manager e il responsabile marketing).

Se proprio volessimo buttarla in polemica si potrebbe osservare che essere costretti a dare una valutazione economica di un bene a seguito di un atto criminoso denota una scarsa lungimiranza, e allo stesso tempo se dobbiamo agire di concerto alla legge solo perché vogliamo evitare le multe forse abbiamo un approccio leggermente discutibile dal punto di vista etico.

Ma siccome non vogliamo scendere in queste sterili polemiche limitiamoci ad osservare che se sei fortunato ti capita una brutta cosa che mette in luce un valore che nessuno VUOLE vedere, se sei sfortunato ti obbligano a farne una peggiore, i budget di sicurezza come li hai fatti fino ad adesso.

Chiaro che poi hai ancora i punti 2 e 3 da affrontare, ma almeno il punto 1 hai iniziato ad affrontarlo

Ci trovo una sottile ironia i questo, ma magari sono solo io…

 

Buon insicuro 2017

Antonio

 

PS: spero si sia colta l’ironia ed il sarcasmo del pezzo, ma siccome ho una scarsa fiducia nel genere umano permetti di precisare questo. Ben lungi dall’essere apologia di reato non sto dicendo che fanno bene ad attaccarti, né che i criminali siano giustificati, so solo utilizzando le figure retoriche del paradosso e dell’iperbole per evidenziare come talvolta è solo a seguito di un incidente che ne priva la fruizione che si capisce il valore di un beneservizioasset.

 

 

 

 

Devi fare il budget sulla sicurezza informatica? Se sei stato fortunato: ti sei preso un ransomware

ho pensato che sia cosa utile fare seguito ad un mio precedente post che si chiedeva se era paperino a fare i budget di sicurezza. Diciamolo, uno dei problemi che affliggono il mondo della sicurezza è che in pochi hanno una vaga idea di come costruire un budget che copra questi bisogni e lamentarsi sempre non aiuta a risolvere il problema, ho quindi pensato di scrivere un suggerimento su come venire incontro alla determinazione del valore economico della stesura di un budget di sicurezza informatica.

Il problema di costruire il budget della sicurezza è, notoriamente, che chi lo fa deve prevedere dei soldi da spendere, e li deve giustificare in qualche maniera all IT manager, al CEO, al CFO, all’HR manager e a Zio Paperone.

Non voglio stare a fare la lezioncina di come si fa un budget sulla sicurezza, ma lasciatemi evidenziare un paio di cose elementari.

  • Se spendi dei soldi questi devono essere meno del valore totale della cosa che vuoi proteggere
    • se quello che devi proteggere vale 100 e tu spendi 110 forse non hai fatto bene i conti
  • Devi in qualche maniera rispettare eventuali termini di legge
    • ricordati che vi sono delle leggi da rispettare, e in italia vige la responsabilità oggettiva, cioè se ha causa delle tue bischerate ne viene un danno a terzi, tu sei corresponsabile.
  • Quello che compri o implementi deve avere un senso
    • se temi che ti rubino la macchina non compri una cassetta di sicurezza, magari ti orienti verso un box ed una buona assicurazione

Le tre condizioni sarebbero da rispettare in contemporanea, perché ovvio che devi almeno fare quello che la legge chiede, che devi spendere il giusto e in maniera giusta.

Peccato sia proprio su questi 3 punti che si incontrano gli ostacoli maggiori nella costruzione del nostro budget.ma oggi voglio essere buono, limito gli insulti e mi occupo solo del primo punto:

Quanto ha senso farti spendere?

Mettiamola così, se tu dici che vuoi spendere 100 euro I tuoi capi ti diranno:

  • 100 euro … ma sei matto?
  • A che cosa serve tutto quel denaro li?
  • A miei tempi si usava la macchina da scrivere e tutto andava meglio
  • Non ci sono più le mezze stagioni
  • Piove governo ladro
  • Lei non sa chi sono io

A meno che tu sia un ceo illuminato e i 100 euro li tiri fuori da solo di tasca tua.

Ma perché ti dicono questo?

Perché per giustificare i 100 euro dovresti spiegare che questa esosa cifra ti serve per proteggere 100000 euro di valore della azienda.

Insomma non chiedi neanche una percentuale esosa…. Meno di una assicurazione.

Il problema è che tu non sai quanto stai proteggendo, e neanche loro lo sanno.

Qualunque budget di spesa dovrebbe prevedere la analisi del valore degli asset, se lo chiedi ad un CFO ti spiegherà questa cosa in tutte le salse. Salvo poi se gli chiedi come valuta i suoi asset digitali, in questo caso generalmente ride e pensa dentro di sé: è arrivato il cretino…. (con rispetto parlando per i retini ovviamente).

Questo è il vero dramma della IT, nessuno sa valutarne il valore economico e non dico il costo, che del valore economico è una componente.

Quanta IT serve per produrre valore nella mia azienda? Che valore hanno i dati digitali che uso?…

Perché se c’è una produzione di valore legata alla IT allora possiamo iniziare a parlare di budget, altrimenti stiamo buttando il mio, il tuo ed il suo tempo.

In altre parole o la digitalizzazione serve e dà valore e allora i dati vanno gestiti e protetti, o non serve ed allora perché che ne stiamo ad occupare?

Il ricattatore informatico: un consulente al tuo servizio

Purtroppo questo conto non lo sanno fare né il CEO né il CFO né l’HR e, probabilmente, nemmeno tu.

Ma qualcuno che questo conto lo sa fare c’è, è il tuo consulente globale sulla sicurezza, quello che ti fa il deploy del ransomware e poi ti chiede i soldi.

Si insomma quello che ti ostini a chiamare criminale è in realtà l’unico che ha capito di cosa hai bisogno… e come farlo capire al tuo capo

Non dovresti denunciarlo, dovresti dargli un premio produzione….

E si perché non c’è nulla come beccarsi un bel ransomware per far capire che i dati sono una cosa preziosa ed hanno un valore.

È questo valore è proporzionale a quanto sei disposto a pagare per riaverli indietro.

Il Ransomware, in altre parole, è un formidabile strumento di valutazione del valore degli asset digitali.

Non sono i virus, non è una intrusione, è proprio il ransomware che ti fa capire il valore di quello che hai in casa.

La tua azienda se lo becca, i suoi, tuoi dati vengono messi in una bella scatolina chiusa che si apre solo se paghi.

A questo punto persino il CEO ed il CFO iniziano a sospettare, bontà loro, che c’è del marcio in Danimarca. (l’HR manager viene dopo per questioni caratteriali J)

E si perché qualcuno questi soldi li deve tirare fuori a meno che non si riesca a porre rimedio.

Ora, ad esempio, se i backup li gestisci come non si dovrebbe fare (che è la norma) e quindi sono abbondantemente inutili, e se non hai una chiave per decrittare i tuoi dati ti trovi nella situazione seguente:

  • La gente non può lavorare a causa del blocco di qualcosa a cui prima non attribuiva valore
  • Tutti sono incazzati con te e ti danno la colpa, ma questo è normale
  • Vengono alla luce le cazzate fatte nella implementazione della tua struttura IT
  • La azienda perde dei soldi

A questo punto il CFO si mette una mano sul portafoglio e dà l’OK al pagamento del riscatto con il benestare del CEO, l’accordo del presidente, l’assenso dell’HR manager, il conforto dell’avvocato, le lacrime del marketing manager e l’assoluzione plenaria del padre confessore.

Bene, questo significa che hai appena dato un valore economico all’asset digitale. O meglio il valore glielo ha dato quel pio criminale che ha pensato di infettarti e ricattarti. È grazie a lui che ora tutti devono a denti stretti ammettere che quei dati hanno un valore.

Più alto il riscatto che il cfo è disposto a pagare, più alto è il valore che assegna a quell’asset.

Ovviamente vi sono considerazioni accessorie tipo:

  • Quanti soldi perdo per il blocco derivante da questo incidente sui miei asset digitali?
  • Quanto inciderà la figura di cacca che sto facendo sul mio mercato?
  • Quanto mi costerà il ripristino alla funzionalità normale?
  • Quanto mi costerà mettere in sicurezza la cosa perché non si ripeta?
  • Vado incontro a conseguenze legali?

Ma non voglio tediarti con particolari inutili. Carpe diem, cogli l’attimo.

Quello che risulta è che quello che, per motivi a me oscuri, continui a chiamare criminale informatico in realtà ti ha appena fatto una analisi del valore dei tuoi asset digitali come nemmeno il più persuasivo dei consulenti farebbe.

Certo non è proprio fatto secondo canali strettamente legali, ma se la legalità ti interessasse avresti intrapreso da un po’ l’adeguamento dei tuoi sistemi al GDPR… purtroppo per quella consulenza devi aspettare l’ispezione e la multa conseguente (da quelle parti si svegliano anche l’HR manager e il responsabile marketing).

Se proprio volessimo buttarla in polemica si potrebbe osservare che essere costretti a dare una valutazione economica di un bene a seguito di un atto criminoso denota una scarsa lungimiranza, e allo stesso tempo se dobbiamo agire di concerto alla legge solo perché vogliamo evitare le multe forse abbiamo un approccio leggermente discutibile dal punto di vista etico.

Ma siccome non vogliamo scendere in queste sterili polemiche limitiamoci ad osservare che se sei fortunato ti capita una brutta cosa che mette in luce un valore che nessuno VUOLE vedere, se sei sfortunato ti obbligano a farne una peggiore, i budget di sicurezza come li hai fatti fino ad adesso.

Chiaro che poi hai ancora i punti 2 e 3 da affrontare, ma almeno il punto 1 hai iniziato ad affrontarlo

Ci trovo una sottile ironia i questo, ma magari sono solo io…

 

Buon insicuro 2017

Antonio

 

PS: spero si sia colta l’ironia ed il sarcasmo del pezzo, ma siccome ho una scarsa fiducia nel genere umano permetti di precisare questo. Ben lungi dall’essere apologia di reato non sto dicendo che fanno bene ad attaccarti, né che i criminali siano giustificati, so solo utilizzando le figure retoriche del paradosso e dell’iperbole per evidenziare come talvolta è solo a seguito di un incidente che ne priva la fruizione che si capisce il valore di un beneservizioasset.

 

 

 

 

sabato 8 novembre 2014

Advanced Persistent Threat

ict

Advanced Persistent Threat: come muoversi tra il marketing e la realtà?

Slide1

Questo post riporta le immagini della presentazione che ho tenuto al Festival ICT il 6 di novembre. oltre al post metterò su slideshare a disposizione anche l’intera presentazione in visione sperando di fare cosa gradita.

Slide2

Ovviamente le prime due slide sono introduttive, la prima rappresenta il titolo, l’orario ed il numero della sala 🙂 nella seconda abbiamo la grande opportunità di vedere anche la mia foto e la mia e-mail come referenza per chi fosse interessato.

Vi tralascio la descrizione della animazione di transizione tra una slide e l’altra (per gli interessati, origami) e passiamo a cose più serie 🙂

Slide3La domanda che ho posto è: ma noi sappiamo, o abbiamo capito esattamente cosa significhi APT? Di APT si parla molto sul mercato ed i vendor di sicurezza ne fanno ultimamente uno dei loro cavalli di battaglia , ma abbiamo realmente capito di cosa si tratta? APT come sigla in realtà può significare tantissime cose, e ne avete sulla destra breve elenco.

Per prima cosa occorre quindi capire cosa significhi relamente APT e da questo punto possiamo partire ad analizzare l’offerta di mercato.

Slide4

Se prendiamo la definizione di APT come Advance Persistent Threat scopriamo che è una cosa ben precisa. le tre parole significano:

Advanced: si tratta di un attacco dove l’attaccante utilizza tutte le tecnologie utili al risultato: da un semplice uso di vulnerabilità note alla creazione o scoperta di vulnerabilità specifiche, si tratta quindi di una forma di attacco estremamente sofisticata che utilizza risorse e tecnologie coerenti con lo scoppo dell’attacco e la struttura dell’attaccato:

Advanced means the adversary can operate in the full spectrum of computer intrusion. They can use the most pedestrian publicly available exploit against a well-known vulnerability, or they can elevate their game to research new vulnerabilities and develop custom exploits, depending on the target’s posture.

Persistent: significa che l’attacco è un attacco motivato, e non un attacco casuale su un bersaglio randomico. il significato di “persistent” non è quindi che si tratta di un attacco ripetitivo, ma di un attacco ove l’attaccante insiste con le tecnologie opportune per arrivare al suo obiettivo.

Persistent means the adversary is formally tasked to accomplish a mission. They are not opportunistic intruders. Like an intelligence unit they receive directives and work to satisfy their masters. Persistent does not necessarily mean they need to constantly execute malicious code on victim computers. Rather, they maintain the level of interaction needed to execute their objectives.

Threat: significa che l’attacco non è un atto meccanico o casuale, ne un malware generico ma un soggetto determinato con un piano e risorse.

Threat means the adversary is not a piece of mindless code. This point is crucial. Some people throw around the term “threat” with reference to malware. If malware had no human attached to it (someone to control the victim, read the stolen data, etc.), then most malware would be of little worry (as long as it didn’t degrade or deny data). Rather, the adversary here is a threat because it is organized and funded and motivated. Some people speak of multiple “groups” consisting of dedicated “crews” with various missions.

 

Slide5

 

Il target di un APT può essere in realtà qualsiasi, non esiste un mercato specifico, obiettivi militari, politici, economici anche in senso lato possono giustificare un APT. va anche considerato che un APT è può prevedere anche attacchi multipli su soggetti diversi, per motivi che possono essere i più diversi, dal aumentare il “rumore di fondo”, a distrazione o copertura del vero bersaglio.

Già dalla definizione è quindi chiaro capire come sia poco plausibile che esistano prodotti specifici contro gli APT, in quanto un APT non definisce a priori un attacco specifico, ma una tipologia di attacchi che utilizza tecnologie multiple e complesse.

Slide6

Un APT è quindi più correttamente espresso come un processo, una successione di passi che partono dalla definizione di un bersaglio allo sviluppo di uno o più attacchi veri e propri.

Slide7

Visto che non tutti masticano l’inglese ho riportato la definizione di APT data dal NIST, ma tradotta in italiano:

“La minaccia avanzata persistente è un avversario con livelli sofisticati di competenza e risorse significative, che gli consentono, attraverso l’utilizzo di vettori di attacco multipli (come frode e metodi informatici e fisici), di generare opportunità per raggiungere i propri obiettivi: questi consistono tipicamente nello stabilire e ampliare punti di appoggio all’interno dell’infrastruttura informatica delle organizzazioni, allo scopo di derivarne informazioni in modo continuativo e/o di compromettere o ostacolare aspetti critici di una missione, programma o organizzazione, o di mettersi in condizione di farlo in futuro. Inoltre, la minaccia avanzata persistente persegue i propri obiettivi ripetutamente per un periodo di tempo prolungato, adattandosi agli sforzi di un difensore per resisterle, e con lo scopo di mantenere il livello di interazione necessario per eseguire i propri obiettivi”.

Slide8

Essendo quindi un APT più propriamente un processo, occorre quindi capire quali siano gli step principali per riuscire a comprendere quali tecnologie, eventualmente, possano essere di supporto alla difesa di attacchi simili.

Il primo passo di un APT è sicuramente la definizione del bersaglio, con definizione si intende la identificazione del soggettoi da attaccare, le linee guida dell’attacco e gli obiettivi. Esattamente quello che faremmo per la definizione di  un progetto 🙂

Slide9

La definizione di un bersaglio quindi  richiede che siano fissati obiettivi e strategie che sono dipendenti dalla natura del bersaglio stesso e dagli scopi che spingono l’attaccante. Abbiamo detto prima che esiste una moltitudine di bersagli, mercati e scopi, le considerazioni tattiche e strategiche sono quindi molteplici ed afferiscono in larga parte a questa fase.

Slide10

 

In linea di massima però possiamo suddividere questo processo in almeno tre fasi chiave:

identificare il soggetto o i soggetti target, o le motivazioni degli attacchi

definire gli obiettivi in termini di cosa colpire, come e perchè

definire una strategia, compreso il tempo entro cui effettuare la operazione, le risorse da impegnare, il gruppo di lavoro e via dicendo.

 

Slide11

Una volta definito il bersaglio inizia la attività di analisi. questa attività serve ad evidenziare tutti gli aspetti utili all’attacco e si svolge non solo in aree strettamente informatiche, ma a seconda del tipo di attacco possono comprendere anche analisi di tipo diverso, fino a vere e proprie ricognizioni fisiche, in quanto l’attacco stesso potrebbe richiedere attività dirette sul soggetto oggetto di attacco.

Slide12

 

Possiamo quindi definire almeno die macro aree generali legate alla attività di analisi del bersaglio:

una attività di profilazione ed una di ricognizione.

Entrambe le attività possono usare tecniche comuni, ma la ricognizione è comunque una cosenguenza della esigenza di profilazione.

Slide13

La profilazione richiede la costruzione di una scheda del bersaglio che contenga la maggior parte delle informazioni possibili utili allo svolgimento delle attività prevista, questa profilazione fa riferimento anche a caratteristiche “umane” del bersaglio quali struttura societaria, interfacce pubbliche, impiegati, competition, vicini, asset, distribuzione geografica…

Slide14

I tools che si usano nella profilazione sono generalmente comuni attività di social engineering, talvolta phishing, sicuramente prevedono l’analisi di dati pubblici quali siti web, blog, forum sino ad arrivare talvolta a sopralluoghi fisici del sito.

Slide15

Analogamente le attività di ricognizione, possono richiedere una serie di attività che portino alla definizione della topologia di rete del bersaglio, compresa la struttura dei routing, OS fingerprinting, l’analisi dei DNS e tutte quelle attività che possano ortare dati di definizione almeno della struttura esterna delle rete del bersaglio.

  • —Social Engineering

  • —Spear Phishing

  • —DNS

  • —External Network Topology

  • —Port scanning

  • —Service Discovery

  • —Directory Harvesting

  • —O.S. fingerprinting

  • —Network Topology

  • —Route Topology

  • —Vulnerability analisys

  • —…

Slide16

Una volta definito il dettaglio del bersaglio è possibile passare al primo passo della aggressione: l’ingresso iniziale.

Slide17

Sebbene nella convinzione comune l’ingresso iniziale sia l’attacco vero e proprio, questo passaggio ha invece uno scopo specifico che è quello di testare gli strumenti di attacco, definire il perimetro difensivo del bersaglio, trovare i punti di attacco disponibili e soprattutto iniziare a disegnare la topologia interna della rete bersaglio.

Slide18

l’ingressoiniziale di solito si compone di sottoattività descritte nella slide, le più diffuse e comuni sono ovviamente:

  • —Test vulnerabilità utilizzabili

  • —Test riconoscimento attacchi e risposte

  • —Definizione strategie multiple di copertura

  • —Weaponization (prima infezione)

  • —Exploitation

  • —Topology

  • —…

è interessante osservare come spesso le attività legate al primo ingresso sono comuni a molti tipi di attacchi, e spesso confusi col “rumore di fondo” degli eventi che accadano nelle nostre reti.

punti chiave del primo ingresso sono ovviamente la parte di utilizzo delle eventuali vulnerabilità scoperte per la prima infezione meglio chiamata, in letteratura anglofona, come weaponization che indica come si sia trasformato qualcosa in una arma.

Slide19

Una volta effettuato il primo ingresso si dovrebbero avere indicazioni e strumenti sufficienti ad effettuare un livello di penetrazione più profondo che preveda il deployment di “qualcosa” che possa portare avanti le fasi successive dell’attacco.

Slide20

Vale la pena di osservare che la fase di deployment può essere Remota, Fisdica o un mix di entrambe (Ibrida).

Un classico esempio di deployment fisico è l’introduzione di chiavette USB con payload malevoli, o l’attacco diretto ad una presa di rete di un device.

Si pensi ad esempio a quanto accaduto in Iran con l’affair SCADA, la fase di deployment era stata di tipo fisico con la “distribuzione” di chiavette USB infette in luoghi pubblici frequentati dagli operatori delle centrali nucleari.

Slide21

A seguito del deployment vi è generalmente una fase di espansione i cui ci si attesta su alcune “teste di ponte” e si inizia ad analizzare quali siano i migliori punti di attacco, se non ancora noti, o ad attaccare bersagli diversi.

Slide22

La fase di espansione può ancora contenere notevoli fasi di analisi ed esplorazione, ma essenzialmente si incentra con la creazione del network di attacco vero e proprio. Una parte di analisi fondamentale in fase di espansione è l’analisi dei processi del bersaglio. A seconda infatti di quello che che sono gli obiettivi l’analisi dei processi può dare indicazioni su come effettuare in concreto l’attacco.

Immaginiamo, ad esempio, che l’obiettivo sia di modificare codice o alcuni dati di un progetto. Queste modifiche avrebbero senso dopo eventuali fase di controllo e validazione, l’analisi del processo è quindi fondamentale per il successo della operazone.

Slide23

Passi fondamentali della fase espansiva sono ovviamente l’infezione di hosts, movimenti laterali, azioni di copertura ed interferenza. In particolare la creazione di una o più reti di attacco e il test dei canali di comunicazione con l’esterno.

Slide24

La fase successiva alla fase di espansione è, ovviamente, la fase di consolidamento.

Slide25

In questa fase vi è la attivazione delle reti di attacco e la attivazione delle misure di copertura, questa fase può essere relativamente piccola in termini di azioni, ma può avere una notevole espansione temporale per rendere difficilmente riconoscibile e correlabile l’insieme delle attività

Slide26

Alla fine finalmente possiamo finalizzare le nostre fini attività (ok ok sto giocando) in un attacco.

Slide27

La fase di attacco vero e proprio non è descrivibile neanche in termini generici, perchè dipende dalla natura dei goals che si sono definiti in fase di definizione del bersaglio. tutto quello che possiamo dire che finalmente va a frutto il lavoro svolto in precedenza.

Slide28

Alla fine della attività di attacco ci sono generalmente quelle di copertura, che servono a nascondere le tracce e le prove di quanto successo.

Slide29

Ancora una volta vale la pena di stressare che gli APT hanno una fine, persistent non significa che vanno avanti in maniera illimitata. la fine dell’attacco generalmente porta alla cancellazione o alterazione  delle eventuali prove che possano ricondurre all’attaccante.

Slide30

Una volta descritto il processo relativo ad un APT possiamo chiederci dove possiamo intervenire. a seconda della fase di un APT possiamo fare delle considerazioni generiche:

fase1: definizione bersaglio.

Questa fase non è rilevabile in quanto implica solo un uso marginale e non necessariamente illegale di strumenti di raccolta delle informazioni, ad esempio si pensi ad una analisi osint.

fase2: Analisi bersaglio

questa fase è parzialmente rilevabile, ma difficilmente associabile ad un APT o un attacco specifico. Viene di solito coperta ne “rumore di fondo” che gira attorno alle nostre reti.

fase3: primo ingresso

Le attività in questa fase sono rilevabili (Early External Detection) come attività esterne. Possono essere associate ad un attacco, ma difficilmente ad un APT l’eventuale blocco di questa fase è, se si tratta di un vero APT, solo apparente, perchè l’essere “scoperto” serve a testare la qualità dei sistemi difensivi e comunque una fase di primo ingresso in termini APT prevede una quantità notevole di tentativi diversi, di cui alcuni presumibilmente andranno a segno.

fase4: Deployment

Rilevabile (External Detection), questa è una delle fase critiche di un APT perchè è rilevabile, associabile ad un attacco esterno e, in presenza di una analisi storica degli eventi (ad esempio utilizzando correlazioni SIEM con una certa espansione temporale) può essere identificata come componente di un APT facendo alzare di conseguenza il livello di attenzione.

fase5: Espansione

Rilevabile (Early Internal Detection), in termini di rilevamento questa fase di attacco è ancora più critica della precedente in quanto si agisce già in maniera pesante all’interno del network target.

Va anche però osservato che le fasi interne hanno il vantaggio di vivere in aree dove il livello di attenzione è generalmente più basso, come a dire una volta entrati il più è fatto perchè si tende generalmente a concentrare le difese a livello perimetrale.

fase6: Consolidamento

Rilevabile (Internal Detection), per la fase di consolidamento valgono considerazioni analoghe al punto 6, con la considerazione che in fase di consolidamento vi sono, probabilmente, piu reti di attacco che si possono attivare con tempistiche diverse, il rilevamento quindi non necessariamente significa l’aver bloccato l’attacco. Come anche nelle fasi precedenti si ricordi che possono esserci attività di disturbo o decoy che servono a distrarre le difese.

fase7: Sviluppo attacco

Rilevabile (Late Internal Detection), la considerazione base da fare è che in questa fase siamo già in presenza di un attacco conclamato e quindi le attività da svolgere sono di contenimento danni.

fase8: copertura

Rilevabile (Post Mortem) tutto ciò che avviene dopo la  fase di attacco è una rilevazione di tipo post mortem, in qunato l’attacco oramai è andato in porto.

fase9: …

comunicazione esterna, ci avvertono che è avvenuto qualcosa

Slide31

Cosa possiamo fare contro gli APT? in realtà molto poco, e molto.

Lo strumento più efficace contro un APT è la messa in piedi di una serie di processi coordinati di sicurezza, in cui tecnologie e processi aziendali siano disegnato con la sicurezza in mente.

come suggerimenti generali, validi non solo in ambito APT ma in generale in ambito sicurezza

  1. —Complicare l’accesso iniziale (Firewall, Sandbox, Antimalware, gestione DNS e DHCP, IPS …)

  2. —Monitorare constantemente le risorse (SIEM deployment, Vulnerability assessment, …)

  3. —Ridurre il rischio di escalation dei privilegi in caso di compromissione di un account (NAC, IAC, DLP, …)

  4. —Rilevare precocemente account compromessi e attività sospette (SOC, NOC…)

  5. —Raccogliere informazioni utili a un’indagine forense, per poter determinare quali danni si sono verificati, quando e a opera di chi

una particolare raccomandazione è di tenere bene a mente il èpunto 5, solo una indagine forenze può darci da un lato gli strumenti legali per rifarci contro l’eventuale colpevole e le informazioni corrette per l’implementazione di misure correttive.

Slide32

infine è importante ricordare che:

—Gli APT sono difficili da individuare. Secondo il Verizon 2012 Data Breach  Investigations Report, il 92% di tutte le organizzazioni e il 49% delle grandi organizzazioni è venuta a conoscenza di una violazione della sicurezza perché informata da un soggetto esterno.

Slide33

un po di reference:

—Advanced volatile threat

https://www.academia.edu/6309905/Advanced_Persistent_Threat_-_APT

Anatomy of an Advanced Persistent Threat (APT)”. Dell SecureWorks. Retrieved 2012-05-21.

Are you being targeted by an Advanced Persistent Threat?”. Command Five Pty Ltd. Retrieved 2011-03-31.

Search for malicious files”. Malicious File Hunter. Retrieved 2014-10-10.

The changing threat environment …”. Command Five Pty Ltd. Retrieved 2011-03-31.

—Eric M. Hutchins, Michael J. Clopperty, Rohan M. Amin, Ph.D. “Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains”. Lockheed Martin Corporation Abstract. Retrieved March 13, 2013.

Assessing Outbound Traffic to Uncover Advanced Persistent Threat”. SANS Technology Institute. Retrieved 2013-04-14.

Introducing Forrester’s Cyber Threat Intelligence Research”. Forrester Research. Retrieved 2014-04-14.

—Olavsrud, Thor. “Targeted Attacks Increased, Became More Diverse in 2011”. PCWorld.

An Evolving Crisis”. BusinessWeek. April 10, 2008. Archived from the original on 10 January 2010. Retrieved 2010-01-20.

The New E-spionage Threat”. BusinessWeek. April 10, 2008. Archived from the original on 18 April 2011. Retrieved 2011-03-19.

Google Under Attack: The High Cost of Doing Business in China”. Der Spiegel. 2010-01-19. Archived from the original on 21 January 2010. Retrieved 2010-01-20.

Under Cyberthreat: Defense Contractors”. BusinessWeek. July 6, 2009. Archivedfrom the original on 11 January 2010. Retrieved 2010-01-20.

Understanding the Advanced Persistent Threat”. Tom Parker. February 4, 2010. Retrieved 2010-02-04.

Advanced Persistent Threat (or Informationized Force Operations)”. Usenix, Michael K. Daly. November 4, 2009. Retrieved 2009-11-04.

—Ingerman, Bret. “Top-Ten IT Issues, 2011”. Educause Review.

—Bodmer, Kilger, Carpenter, & Jones (2012). Reverse Deception: Organized Cyber Threat Counter-Exploitation. New York: McGraw-Hill Osborne Media. ISBN 0-07-177249-9ISBN 978-0-07-177249-5

Advanced Persistent Threats: Higher Education Security Risks”. Dell SecureWorks. Retrieved 2012-09-15.

APT1: Exposing One of China’s Cyber Espionage Units”. Mandiant. 2013.

China says U.S. hacking accusations lack technical proof”. Reuters. 2013.

What’s an APT? A Brief Definition”. Damballa. January 20, 2010. Archived from the original on 11 February 2010. Retrieved 2010-01-20.

Slide34

grazie 🙂

Advanced Persistent Threat

ict

Advanced Persistent Threat: come muoversi tra il marketing e la realtà?

Slide1

Questo post riporta le immagini della presentazione che ho tenuto al Festival ICT il 6 di novembre. oltre al post metterò su slideshare a disposizione anche l’intera presentazione in visione sperando di fare cosa gradita.

Slide2

Ovviamente le prime due slide sono introduttive, la prima rappresenta il titolo, l’orario ed il numero della sala 🙂 nella seconda abbiamo la grande opportunità di vedere anche la mia foto e la mia e-mail come referenza per chi fosse interessato.

Vi tralascio la descrizione della animazione di transizione tra una slide e l’altra (per gli interessati, origami) e passiamo a cose più serie 🙂

Slide3La domanda che ho posto è: ma noi sappiamo, o abbiamo capito esattamente cosa significhi APT? Di APT si parla molto sul mercato ed i vendor di sicurezza ne fanno ultimamente uno dei loro cavalli di battaglia , ma abbiamo realmente capito di cosa si tratta? APT come sigla in realtà può significare tantissime cose, e ne avete sulla destra breve elenco.

Per prima cosa occorre quindi capire cosa significhi relamente APT e da questo punto possiamo partire ad analizzare l’offerta di mercato.

Slide4

Se prendiamo la definizione di APT come Advance Persistent Threat scopriamo che è una cosa ben precisa. le tre parole significano:

Advanced: si tratta di un attacco dove l’attaccante utilizza tutte le tecnologie utili al risultato: da un semplice uso di vulnerabilità note alla creazione o scoperta di vulnerabilità specifiche, si tratta quindi di una forma di attacco estremamente sofisticata che utilizza risorse e tecnologie coerenti con lo scoppo dell’attacco e la struttura dell’attaccato:

Advanced means the adversary can operate in the full spectrum of computer intrusion. They can use the most pedestrian publicly available exploit against a well-known vulnerability, or they can elevate their game to research new vulnerabilities and develop custom exploits, depending on the target’s posture.

Persistent: significa che l’attacco è un attacco motivato, e non un attacco casuale su un bersaglio randomico. il significato di “persistent” non è quindi che si tratta di un attacco ripetitivo, ma di un attacco ove l’attaccante insiste con le tecnologie opportune per arrivare al suo obiettivo.

Persistent means the adversary is formally tasked to accomplish a mission. They are not opportunistic intruders. Like an intelligence unit they receive directives and work to satisfy their masters. Persistent does not necessarily mean they need to constantly execute malicious code on victim computers. Rather, they maintain the level of interaction needed to execute their objectives.

Threat: significa che l’attacco non è un atto meccanico o casuale, ne un malware generico ma un soggetto determinato con un piano e risorse.

Threat means the adversary is not a piece of mindless code. This point is crucial. Some people throw around the term “threat” with reference to malware. If malware had no human attached to it (someone to control the victim, read the stolen data, etc.), then most malware would be of little worry (as long as it didn’t degrade or deny data). Rather, the adversary here is a threat because it is organized and funded and motivated. Some people speak of multiple “groups” consisting of dedicated “crews” with various missions.

 

Slide5

 

Il target di un APT può essere in realtà qualsiasi, non esiste un mercato specifico, obiettivi militari, politici, economici anche in senso lato possono giustificare un APT. va anche considerato che un APT è può prevedere anche attacchi multipli su soggetti diversi, per motivi che possono essere i più diversi, dal aumentare il “rumore di fondo”, a distrazione o copertura del vero bersaglio.

Già dalla definizione è quindi chiaro capire come sia poco plausibile che esistano prodotti specifici contro gli APT, in quanto un APT non definisce a priori un attacco specifico, ma una tipologia di attacchi che utilizza tecnologie multiple e complesse.

Slide6

Un APT è quindi più correttamente espresso come un processo, una successione di passi che partono dalla definizione di un bersaglio allo sviluppo di uno o più attacchi veri e propri.

Slide7

Visto che non tutti masticano l’inglese ho riportato la definizione di APT data dal NIST, ma tradotta in italiano:

“La minaccia avanzata persistente è un avversario con livelli sofisticati di competenza e risorse significative, che gli consentono, attraverso l’utilizzo di vettori di attacco multipli (come frode e metodi informatici e fisici), di generare opportunità per raggiungere i propri obiettivi: questi consistono tipicamente nello stabilire e ampliare punti di appoggio all’interno dell’infrastruttura informatica delle organizzazioni, allo scopo di derivarne informazioni in modo continuativo e/o di compromettere o ostacolare aspetti critici di una missione, programma o organizzazione, o di mettersi in condizione di farlo in futuro. Inoltre, la minaccia avanzata persistente persegue i propri obiettivi ripetutamente per un periodo di tempo prolungato, adattandosi agli sforzi di un difensore per resisterle, e con lo scopo di mantenere il livello di interazione necessario per eseguire i propri obiettivi”.

Slide8

Essendo quindi un APT più propriamente un processo, occorre quindi capire quali siano gli step principali per riuscire a comprendere quali tecnologie, eventualmente, possano essere di supporto alla difesa di attacchi simili.

Il primo passo di un APT è sicuramente la definizione del bersaglio, con definizione si intende la identificazione del soggettoi da attaccare, le linee guida dell’attacco e gli obiettivi. Esattamente quello che faremmo per la definizione di  un progetto 🙂

Slide9

La definizione di un bersaglio quindi  richiede che siano fissati obiettivi e strategie che sono dipendenti dalla natura del bersaglio stesso e dagli scopi che spingono l’attaccante. Abbiamo detto prima che esiste una moltitudine di bersagli, mercati e scopi, le considerazioni tattiche e strategiche sono quindi molteplici ed afferiscono in larga parte a questa fase.

Slide10

 

In linea di massima però possiamo suddividere questo processo in almeno tre fasi chiave:

identificare il soggetto o i soggetti target, o le motivazioni degli attacchi

definire gli obiettivi in termini di cosa colpire, come e perchè

definire una strategia, compreso il tempo entro cui effettuare la operazione, le risorse da impegnare, il gruppo di lavoro e via dicendo.

 

Slide11

Una volta definito il bersaglio inizia la attività di analisi. questa attività serve ad evidenziare tutti gli aspetti utili all’attacco e si svolge non solo in aree strettamente informatiche, ma a seconda del tipo di attacco possono comprendere anche analisi di tipo diverso, fino a vere e proprie ricognizioni fisiche, in quanto l’attacco stesso potrebbe richiedere attività dirette sul soggetto oggetto di attacco.

Slide12

 

Possiamo quindi definire almeno die macro aree generali legate alla attività di analisi del bersaglio:

una attività di profilazione ed una di ricognizione.

Entrambe le attività possono usare tecniche comuni, ma la ricognizione è comunque una cosenguenza della esigenza di profilazione.

Slide13

La profilazione richiede la costruzione di una scheda del bersaglio che contenga la maggior parte delle informazioni possibili utili allo svolgimento delle attività prevista, questa profilazione fa riferimento anche a caratteristiche “umane” del bersaglio quali struttura societaria, interfacce pubbliche, impiegati, competition, vicini, asset, distribuzione geografica…

Slide14

I tools che si usano nella profilazione sono generalmente comuni attività di social engineering, talvolta phishing, sicuramente prevedono l’analisi di dati pubblici quali siti web, blog, forum sino ad arrivare talvolta a sopralluoghi fisici del sito.

Slide15

Analogamente le attività di ricognizione, possono richiedere una serie di attività che portino alla definizione della topologia di rete del bersaglio, compresa la struttura dei routing, OS fingerprinting, l’analisi dei DNS e tutte quelle attività che possano ortare dati di definizione almeno della struttura esterna delle rete del bersaglio.

  • —Social Engineering

  • —Spear Phishing

  • —DNS

  • —External Network Topology

  • —Port scanning

  • —Service Discovery

  • —Directory Harvesting

  • —O.S. fingerprinting

  • —Network Topology

  • —Route Topology

  • —Vulnerability analisys

  • —…

Slide16

Una volta definito il dettaglio del bersaglio è possibile passare al primo passo della aggressione: l’ingresso iniziale.

Slide17

Sebbene nella convinzione comune l’ingresso iniziale sia l’attacco vero e proprio, questo passaggio ha invece uno scopo specifico che è quello di testare gli strumenti di attacco, definire il perimetro difensivo del bersaglio, trovare i punti di attacco disponibili e soprattutto iniziare a disegnare la topologia interna della rete bersaglio.

Slide18

l’ingressoiniziale di solito si compone di sottoattività descritte nella slide, le più diffuse e comuni sono ovviamente:

  • —Test vulnerabilità utilizzabili

  • —Test riconoscimento attacchi e risposte

  • —Definizione strategie multiple di copertura

  • —Weaponization (prima infezione)

  • —Exploitation

  • —Topology

  • —…

è interessante osservare come spesso le attività legate al primo ingresso sono comuni a molti tipi di attacchi, e spesso confusi col “rumore di fondo” degli eventi che accadano nelle nostre reti.

punti chiave del primo ingresso sono ovviamente la parte di utilizzo delle eventuali vulnerabilità scoperte per la prima infezione meglio chiamata, in letteratura anglofona, come weaponization che indica come si sia trasformato qualcosa in una arma.

Slide19

Una volta effettuato il primo ingresso si dovrebbero avere indicazioni e strumenti sufficienti ad effettuare un livello di penetrazione più profondo che preveda il deployment di “qualcosa” che possa portare avanti le fasi successive dell’attacco.

Slide20

Vale la pena di osservare che la fase di deployment può essere Remota, Fisdica o un mix di entrambe (Ibrida).

Un classico esempio di deployment fisico è l’introduzione di chiavette USB con payload malevoli, o l’attacco diretto ad una presa di rete di un device.

Si pensi ad esempio a quanto accaduto in Iran con l’affair SCADA, la fase di deployment era stata di tipo fisico con la “distribuzione” di chiavette USB infette in luoghi pubblici frequentati dagli operatori delle centrali nucleari.

Slide21

A seguito del deployment vi è generalmente una fase di espansione i cui ci si attesta su alcune “teste di ponte” e si inizia ad analizzare quali siano i migliori punti di attacco, se non ancora noti, o ad attaccare bersagli diversi.

Slide22

La fase di espansione può ancora contenere notevoli fasi di analisi ed esplorazione, ma essenzialmente si incentra con la creazione del network di attacco vero e proprio. Una parte di analisi fondamentale in fase di espansione è l’analisi dei processi del bersaglio. A seconda infatti di quello che che sono gli obiettivi l’analisi dei processi può dare indicazioni su come effettuare in concreto l’attacco.

Immaginiamo, ad esempio, che l’obiettivo sia di modificare codice o alcuni dati di un progetto. Queste modifiche avrebbero senso dopo eventuali fase di controllo e validazione, l’analisi del processo è quindi fondamentale per il successo della operazone.

Slide23

Passi fondamentali della fase espansiva sono ovviamente l’infezione di hosts, movimenti laterali, azioni di copertura ed interferenza. In particolare la creazione di una o più reti di attacco e il test dei canali di comunicazione con l’esterno.

Slide24

La fase successiva alla fase di espansione è, ovviamente, la fase di consolidamento.

Slide25

In questa fase vi è la attivazione delle reti di attacco e la attivazione delle misure di copertura, questa fase può essere relativamente piccola in termini di azioni, ma può avere una notevole espansione temporale per rendere difficilmente riconoscibile e correlabile l’insieme delle attività

Slide26

Alla fine finalmente possiamo finalizzare le nostre fini attività (ok ok sto giocando) in un attacco.

Slide27

La fase di attacco vero e proprio non è descrivibile neanche in termini generici, perchè dipende dalla natura dei goals che si sono definiti in fase di definizione del bersaglio. tutto quello che possiamo dire che finalmente va a frutto il lavoro svolto in precedenza.

Slide28

Alla fine della attività di attacco ci sono generalmente quelle di copertura, che servono a nascondere le tracce e le prove di quanto successo.

Slide29

Ancora una volta vale la pena di stressare che gli APT hanno una fine, persistent non significa che vanno avanti in maniera illimitata. la fine dell’attacco generalmente porta alla cancellazione o alterazione  delle eventuali prove che possano ricondurre all’attaccante.

Slide30

Una volta descritto il processo relativo ad un APT possiamo chiederci dove possiamo intervenire. a seconda della fase di un APT possiamo fare delle considerazioni generiche:

fase1: definizione bersaglio.

Questa fase non è rilevabile in quanto implica solo un uso marginale e non necessariamente illegale di strumenti di raccolta delle informazioni, ad esempio si pensi ad una analisi osint.

fase2: Analisi bersaglio

questa fase è parzialmente rilevabile, ma difficilmente associabile ad un APT o un attacco specifico. Viene di solito coperta ne “rumore di fondo” che gira attorno alle nostre reti.

fase3: primo ingresso

Le attività in questa fase sono rilevabili (Early External Detection) come attività esterne. Possono essere associate ad un attacco, ma difficilmente ad un APT l’eventuale blocco di questa fase è, se si tratta di un vero APT, solo apparente, perchè l’essere “scoperto” serve a testare la qualità dei sistemi difensivi e comunque una fase di primo ingresso in termini APT prevede una quantità notevole di tentativi diversi, di cui alcuni presumibilmente andranno a segno.

fase4: Deployment

Rilevabile (External Detection), questa è una delle fase critiche di un APT perchè è rilevabile, associabile ad un attacco esterno e, in presenza di una analisi storica degli eventi (ad esempio utilizzando correlazioni SIEM con una certa espansione temporale) può essere identificata come componente di un APT facendo alzare di conseguenza il livello di attenzione.

fase5: Espansione

Rilevabile (Early Internal Detection), in termini di rilevamento questa fase di attacco è ancora più critica della precedente in quanto si agisce già in maniera pesante all’interno del network target.

Va anche però osservato che le fasi interne hanno il vantaggio di vivere in aree dove il livello di attenzione è generalmente più basso, come a dire una volta entrati il più è fatto perchè si tende generalmente a concentrare le difese a livello perimetrale.

fase6: Consolidamento

Rilevabile (Internal Detection), per la fase di consolidamento valgono considerazioni analoghe al punto 6, con la considerazione che in fase di consolidamento vi sono, probabilmente, piu reti di attacco che si possono attivare con tempistiche diverse, il rilevamento quindi non necessariamente significa l’aver bloccato l’attacco. Come anche nelle fasi precedenti si ricordi che possono esserci attività di disturbo o decoy che servono a distrarre le difese.

fase7: Sviluppo attacco

Rilevabile (Late Internal Detection), la considerazione base da fare è che in questa fase siamo già in presenza di un attacco conclamato e quindi le attività da svolgere sono di contenimento danni.

fase8: copertura

Rilevabile (Post Mortem) tutto ciò che avviene dopo la  fase di attacco è una rilevazione di tipo post mortem, in qunato l’attacco oramai è andato in porto.

fase9: …

comunicazione esterna, ci avvertono che è avvenuto qualcosa

Slide31

Cosa possiamo fare contro gli APT? in realtà molto poco, e molto.

Lo strumento più efficace contro un APT è la messa in piedi di una serie di processi coordinati di sicurezza, in cui tecnologie e processi aziendali siano disegnato con la sicurezza in mente.

come suggerimenti generali, validi non solo in ambito APT ma in generale in ambito sicurezza

  1. —Complicare l’accesso iniziale (Firewall, Sandbox, Antimalware, gestione DNS e DHCP, IPS …)

  2. —Monitorare constantemente le risorse (SIEM deployment, Vulnerability assessment, …)

  3. —Ridurre il rischio di escalation dei privilegi in caso di compromissione di un account (NAC, IAC, DLP, …)

  4. —Rilevare precocemente account compromessi e attività sospette (SOC, NOC…)

  5. —Raccogliere informazioni utili a un’indagine forense, per poter determinare quali danni si sono verificati, quando e a opera di chi

una particolare raccomandazione è di tenere bene a mente il èpunto 5, solo una indagine forenze può darci da un lato gli strumenti legali per rifarci contro l’eventuale colpevole e le informazioni corrette per l’implementazione di misure correttive.

Slide32

infine è importante ricordare che:

—Gli APT sono difficili da individuare. Secondo il Verizon 2012 Data Breach  Investigations Report, il 92% di tutte le organizzazioni e il 49% delle grandi organizzazioni è venuta a conoscenza di una violazione della sicurezza perché informata da un soggetto esterno.

Slide33

un po di reference:

—Advanced volatile threat

https://www.academia.edu/6309905/Advanced_Persistent_Threat_-_APT

Anatomy of an Advanced Persistent Threat (APT)”. Dell SecureWorks. Retrieved 2012-05-21.

Are you being targeted by an Advanced Persistent Threat?”. Command Five Pty Ltd. Retrieved 2011-03-31.

Search for malicious files”. Malicious File Hunter. Retrieved 2014-10-10.

The changing threat environment …”. Command Five Pty Ltd. Retrieved 2011-03-31.

—Eric M. Hutchins, Michael J. Clopperty, Rohan M. Amin, Ph.D. “Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains”. Lockheed Martin Corporation Abstract. Retrieved March 13, 2013.

Assessing Outbound Traffic to Uncover Advanced Persistent Threat”. SANS Technology Institute. Retrieved 2013-04-14.

Introducing Forrester’s Cyber Threat Intelligence Research”. Forrester Research. Retrieved 2014-04-14.

—Olavsrud, Thor. “Targeted Attacks Increased, Became More Diverse in 2011”. PCWorld.

An Evolving Crisis”. BusinessWeek. April 10, 2008. Archived from the original on 10 January 2010. Retrieved 2010-01-20.

The New E-spionage Threat”. BusinessWeek. April 10, 2008. Archived from the original on 18 April 2011. Retrieved 2011-03-19.

Google Under Attack: The High Cost of Doing Business in China”. Der Spiegel. 2010-01-19. Archived from the original on 21 January 2010. Retrieved 2010-01-20.

Under Cyberthreat: Defense Contractors”. BusinessWeek. July 6, 2009. Archivedfrom the original on 11 January 2010. Retrieved 2010-01-20.

Understanding the Advanced Persistent Threat”. Tom Parker. February 4, 2010. Retrieved 2010-02-04.

Advanced Persistent Threat (or Informationized Force Operations)”. Usenix, Michael K. Daly. November 4, 2009. Retrieved 2009-11-04.

—Ingerman, Bret. “Top-Ten IT Issues, 2011”. Educause Review.

—Bodmer, Kilger, Carpenter, & Jones (2012). Reverse Deception: Organized Cyber Threat Counter-Exploitation. New York: McGraw-Hill Osborne Media. ISBN 0-07-177249-9ISBN 978-0-07-177249-5

Advanced Persistent Threats: Higher Education Security Risks”. Dell SecureWorks. Retrieved 2012-09-15.

APT1: Exposing One of China’s Cyber Espionage Units”. Mandiant. 2013.

China says U.S. hacking accusations lack technical proof”. Reuters. 2013.

What’s an APT? A Brief Definition”. Damballa. January 20, 2010. Archived from the original on 11 February 2010. Retrieved 2010-01-20.

Slide34

grazie 🙂