Advanced Persistent Threat: come muoversi tra il marketing e la realtà?
Questo post riporta le immagini della presentazione che ho tenuto al Festival ICT il 6 di novembre. oltre al post metterò su slideshare a disposizione anche l’intera presentazione in visione sperando di fare cosa gradita.
Ovviamente le prime due slide sono introduttive, la prima rappresenta il titolo, l’orario ed il numero della sala 🙂 nella seconda abbiamo la grande opportunità di vedere anche la mia foto e la mia e-mail come referenza per chi fosse interessato.
Vi tralascio la descrizione della animazione di transizione tra una slide e l’altra (per gli interessati, origami) e passiamo a cose più serie 🙂
La domanda che ho posto è: ma noi sappiamo, o abbiamo capito esattamente cosa significhi APT? Di APT si parla molto sul mercato ed i vendor di sicurezza ne fanno ultimamente uno dei loro cavalli di battaglia , ma abbiamo realmente capito di cosa si tratta? APT come sigla in realtà può significare tantissime cose, e ne avete sulla destra breve elenco.
Per prima cosa occorre quindi capire cosa significhi relamente APT e da questo punto possiamo partire ad analizzare l’offerta di mercato.
Se prendiamo la definizione di APT come Advance Persistent Threat scopriamo che è una cosa ben precisa. le tre parole significano:
Advanced: si tratta di un attacco dove l’attaccante utilizza tutte le tecnologie utili al risultato: da un semplice uso di vulnerabilità note alla creazione o scoperta di vulnerabilità specifiche, si tratta quindi di una forma di attacco estremamente sofisticata che utilizza risorse e tecnologie coerenti con lo scoppo dell’attacco e la struttura dell’attaccato:
—Advanced means the adversary can operate in the full spectrum of computer intrusion. They can use the most pedestrian publicly available exploit against a well-known vulnerability, or they can elevate their game to research new vulnerabilities and develop custom exploits, depending on the target’s posture.
Persistent: significa che l’attacco è un attacco motivato, e non un attacco casuale su un bersaglio randomico. il significato di “persistent” non è quindi che si tratta di un attacco ripetitivo, ma di un attacco ove l’attaccante insiste con le tecnologie opportune per arrivare al suo obiettivo.
—Persistent means the adversary is formally tasked to accomplish a mission. They are not opportunistic intruders. Like an intelligence unit they receive directives and work to satisfy their masters. Persistent does not necessarily mean they need to constantly execute malicious code on victim computers. Rather, they maintain the level of interaction needed to execute their objectives.
Threat: significa che l’attacco non è un atto meccanico o casuale, ne un malware generico ma un soggetto determinato con un piano e risorse.
—Threat means the adversary is not a piece of mindless code. This point is crucial. Some people throw around the term “threat” with reference to malware. If malware had no human attached to it (someone to control the victim, read the stolen data, etc.), then most malware would be of little worry (as long as it didn’t degrade or deny data). Rather, the adversary here is a threat because it is organized and funded and motivated. Some people speak of multiple “groups” consisting of dedicated “crews” with various missions.
Il target di un APT può essere in realtà qualsiasi, non esiste un mercato specifico, obiettivi militari, politici, economici anche in senso lato possono giustificare un APT. va anche considerato che un APT è può prevedere anche attacchi multipli su soggetti diversi, per motivi che possono essere i più diversi, dal aumentare il “rumore di fondo”, a distrazione o copertura del vero bersaglio.
Già dalla definizione è quindi chiaro capire come sia poco plausibile che esistano prodotti specifici contro gli APT, in quanto un APT non definisce a priori un attacco specifico, ma una tipologia di attacchi che utilizza tecnologie multiple e complesse.
Un APT è quindi più correttamente espresso come un processo, una successione di passi che partono dalla definizione di un bersaglio allo sviluppo di uno o più attacchi veri e propri.
Visto che non tutti masticano l’inglese ho riportato la definizione di APT data dal NIST, ma tradotta in italiano:
“La minaccia avanzata persistente è un avversario con livelli sofisticati di competenza e risorse significative, che gli consentono, attraverso l’utilizzo di vettori di attacco multipli (come frode e metodi informatici e fisici), di generare opportunità per raggiungere i propri obiettivi: questi consistono tipicamente nello stabilire e ampliare punti di appoggio all’interno dell’infrastruttura informatica delle organizzazioni, allo scopo di derivarne informazioni in modo continuativo e/o di compromettere o ostacolare aspetti critici di una missione, programma o organizzazione, o di mettersi in condizione di farlo in futuro. Inoltre, la minaccia avanzata persistente persegue i propri obiettivi ripetutamente per un periodo di tempo prolungato, adattandosi agli sforzi di un difensore per resisterle, e con lo scopo di mantenere il livello di interazione necessario per eseguire i propri obiettivi”.
Essendo quindi un APT più propriamente un processo, occorre quindi capire quali siano gli step principali per riuscire a comprendere quali tecnologie, eventualmente, possano essere di supporto alla difesa di attacchi simili.
Il primo passo di un APT è sicuramente la definizione del bersaglio, con definizione si intende la identificazione del soggettoi da attaccare, le linee guida dell’attacco e gli obiettivi. Esattamente quello che faremmo per la definizione di un progetto 🙂
La definizione di un bersaglio quindi richiede che siano fissati obiettivi e strategie che sono dipendenti dalla natura del bersaglio stesso e dagli scopi che spingono l’attaccante. Abbiamo detto prima che esiste una moltitudine di bersagli, mercati e scopi, le considerazioni tattiche e strategiche sono quindi molteplici ed afferiscono in larga parte a questa fase.
In linea di massima però possiamo suddividere questo processo in almeno tre fasi chiave:
identificare il soggetto o i soggetti target, o le motivazioni degli attacchi
definire gli obiettivi in termini di cosa colpire, come e perchè
definire una strategia, compreso il tempo entro cui effettuare la operazione, le risorse da impegnare, il gruppo di lavoro e via dicendo.
Una volta definito il bersaglio inizia la attività di analisi. questa attività serve ad evidenziare tutti gli aspetti utili all’attacco e si svolge non solo in aree strettamente informatiche, ma a seconda del tipo di attacco possono comprendere anche analisi di tipo diverso, fino a vere e proprie ricognizioni fisiche, in quanto l’attacco stesso potrebbe richiedere attività dirette sul soggetto oggetto di attacco.
Possiamo quindi definire almeno die macro aree generali legate alla attività di analisi del bersaglio:
una attività di profilazione ed una di ricognizione.
Entrambe le attività possono usare tecniche comuni, ma la ricognizione è comunque una cosenguenza della esigenza di profilazione.
La profilazione richiede la costruzione di una scheda del bersaglio che contenga la maggior parte delle informazioni possibili utili allo svolgimento delle attività prevista, questa profilazione fa riferimento anche a caratteristiche “umane” del bersaglio quali struttura societaria, interfacce pubbliche, impiegati, competition, vicini, asset, distribuzione geografica…
I tools che si usano nella profilazione sono generalmente comuni attività di social engineering, talvolta phishing, sicuramente prevedono l’analisi di dati pubblici quali siti web, blog, forum sino ad arrivare talvolta a sopralluoghi fisici del sito.
Analogamente le attività di ricognizione, possono richiedere una serie di attività che portino alla definizione della topologia di rete del bersaglio, compresa la struttura dei routing, OS fingerprinting, l’analisi dei DNS e tutte quelle attività che possano ortare dati di definizione almeno della struttura esterna delle rete del bersaglio.
—Social Engineering
—Spear Phishing
—DNS
—External Network Topology
—Port scanning
—Service Discovery
—Directory Harvesting
—O.S. fingerprinting
—Network Topology
—Route Topology
—Vulnerability analisys
—…
Una volta definito il dettaglio del bersaglio è possibile passare al primo passo della aggressione: l’ingresso iniziale.
Sebbene nella convinzione comune l’ingresso iniziale sia l’attacco vero e proprio, questo passaggio ha invece uno scopo specifico che è quello di testare gli strumenti di attacco, definire il perimetro difensivo del bersaglio, trovare i punti di attacco disponibili e soprattutto iniziare a disegnare la topologia interna della rete bersaglio.
l’ingressoiniziale di solito si compone di sottoattività descritte nella slide, le più diffuse e comuni sono ovviamente:
—Test vulnerabilità utilizzabili
—Test riconoscimento attacchi e risposte
—Definizione strategie multiple di copertura
—Weaponization (prima infezione)
—Exploitation
—Topology
—…
è interessante osservare come spesso le attività legate al primo ingresso sono comuni a molti tipi di attacchi, e spesso confusi col “rumore di fondo” degli eventi che accadano nelle nostre reti.
punti chiave del primo ingresso sono ovviamente la parte di utilizzo delle eventuali vulnerabilità scoperte per la prima infezione meglio chiamata, in letteratura anglofona, come weaponization che indica come si sia trasformato qualcosa in una arma.
Una volta effettuato il primo ingresso si dovrebbero avere indicazioni e strumenti sufficienti ad effettuare un livello di penetrazione più profondo che preveda il deployment di “qualcosa” che possa portare avanti le fasi successive dell’attacco.
Vale la pena di osservare che la fase di deployment può essere Remota, Fisdica o un mix di entrambe (Ibrida).
Un classico esempio di deployment fisico è l’introduzione di chiavette USB con payload malevoli, o l’attacco diretto ad una presa di rete di un device.
Si pensi ad esempio a quanto accaduto in Iran con l’affair SCADA, la fase di deployment era stata di tipo fisico con la “distribuzione” di chiavette USB infette in luoghi pubblici frequentati dagli operatori delle centrali nucleari.
A seguito del deployment vi è generalmente una fase di espansione i cui ci si attesta su alcune “teste di ponte” e si inizia ad analizzare quali siano i migliori punti di attacco, se non ancora noti, o ad attaccare bersagli diversi.
La fase di espansione può ancora contenere notevoli fasi di analisi ed esplorazione, ma essenzialmente si incentra con la creazione del network di attacco vero e proprio. Una parte di analisi fondamentale in fase di espansione è l’analisi dei processi del bersaglio. A seconda infatti di quello che che sono gli obiettivi l’analisi dei processi può dare indicazioni su come effettuare in concreto l’attacco.
Immaginiamo, ad esempio, che l’obiettivo sia di modificare codice o alcuni dati di un progetto. Queste modifiche avrebbero senso dopo eventuali fase di controllo e validazione, l’analisi del processo è quindi fondamentale per il successo della operazone.
Passi fondamentali della fase espansiva sono ovviamente l’infezione di hosts, movimenti laterali, azioni di copertura ed interferenza. In particolare la creazione di una o più reti di attacco e il test dei canali di comunicazione con l’esterno.
La fase successiva alla fase di espansione è, ovviamente, la fase di consolidamento.
In questa fase vi è la attivazione delle reti di attacco e la attivazione delle misure di copertura, questa fase può essere relativamente piccola in termini di azioni, ma può avere una notevole espansione temporale per rendere difficilmente riconoscibile e correlabile l’insieme delle attività
Alla fine finalmente possiamo finalizzare le nostre fini attività (ok ok sto giocando) in un attacco.
La fase di attacco vero e proprio non è descrivibile neanche in termini generici, perchè dipende dalla natura dei goals che si sono definiti in fase di definizione del bersaglio. tutto quello che possiamo dire che finalmente va a frutto il lavoro svolto in precedenza.
Alla fine della attività di attacco ci sono generalmente quelle di copertura, che servono a nascondere le tracce e le prove di quanto successo.
Ancora una volta vale la pena di stressare che gli APT hanno una fine, persistent non significa che vanno avanti in maniera illimitata. la fine dell’attacco generalmente porta alla cancellazione o alterazione delle eventuali prove che possano ricondurre all’attaccante.
Una volta descritto il processo relativo ad un APT possiamo chiederci dove possiamo intervenire. a seconda della fase di un APT possiamo fare delle considerazioni generiche:
fase1: definizione bersaglio.
Questa fase non è rilevabile in quanto implica solo un uso marginale e non necessariamente illegale di strumenti di raccolta delle informazioni, ad esempio si pensi ad una analisi osint.
fase2: Analisi bersaglio
questa fase è parzialmente rilevabile, ma difficilmente associabile ad un APT o un attacco specifico. Viene di solito coperta ne “rumore di fondo” che gira attorno alle nostre reti.
fase3: primo ingresso
Le attività in questa fase sono rilevabili (Early External Detection) come attività esterne. Possono essere associate ad un attacco, ma difficilmente ad un APT l’eventuale blocco di questa fase è, se si tratta di un vero APT, solo apparente, perchè l’essere “scoperto” serve a testare la qualità dei sistemi difensivi e comunque una fase di primo ingresso in termini APT prevede una quantità notevole di tentativi diversi, di cui alcuni presumibilmente andranno a segno.
fase4: Deployment
Rilevabile (External Detection), questa è una delle fase critiche di un APT perchè è rilevabile, associabile ad un attacco esterno e, in presenza di una analisi storica degli eventi (ad esempio utilizzando correlazioni SIEM con una certa espansione temporale) può essere identificata come componente di un APT facendo alzare di conseguenza il livello di attenzione.
fase5: Espansione
Rilevabile (Early Internal Detection), in termini di rilevamento questa fase di attacco è ancora più critica della precedente in quanto si agisce già in maniera pesante all’interno del network target.
Va anche però osservato che le fasi interne hanno il vantaggio di vivere in aree dove il livello di attenzione è generalmente più basso, come a dire una volta entrati il più è fatto perchè si tende generalmente a concentrare le difese a livello perimetrale.
fase6: Consolidamento
Rilevabile (Internal Detection), per la fase di consolidamento valgono considerazioni analoghe al punto 6, con la considerazione che in fase di consolidamento vi sono, probabilmente, piu reti di attacco che si possono attivare con tempistiche diverse, il rilevamento quindi non necessariamente significa l’aver bloccato l’attacco. Come anche nelle fasi precedenti si ricordi che possono esserci attività di disturbo o decoy che servono a distrarre le difese.
fase7: Sviluppo attacco
Rilevabile (Late Internal Detection), la considerazione base da fare è che in questa fase siamo già in presenza di un attacco conclamato e quindi le attività da svolgere sono di contenimento danni.
fase8: copertura
Rilevabile (Post Mortem) tutto ciò che avviene dopo la fase di attacco è una rilevazione di tipo post mortem, in qunato l’attacco oramai è andato in porto.
fase9: …
comunicazione esterna, ci avvertono che è avvenuto qualcosa
Cosa possiamo fare contro gli APT? in realtà molto poco, e molto.
Lo strumento più efficace contro un APT è la messa in piedi di una serie di processi coordinati di sicurezza, in cui tecnologie e processi aziendali siano disegnato con la sicurezza in mente.
come suggerimenti generali, validi non solo in ambito APT ma in generale in ambito sicurezza
—Complicare l’accesso iniziale (Firewall, Sandbox, Antimalware, gestione DNS e DHCP, IPS …)
—Monitorare constantemente le risorse (SIEM deployment, Vulnerability assessment, …)
—Ridurre il rischio di escalation dei privilegi in caso di compromissione di un account (NAC, IAC, DLP, …)
—Rilevare precocemente account compromessi e attività sospette (SOC, NOC…)
—Raccogliere informazioni utili a un’indagine forense, per poter determinare quali danni si sono verificati, quando e a opera di chi
una particolare raccomandazione è di tenere bene a mente il èpunto 5, solo una indagine forenze può darci da un lato gli strumenti legali per rifarci contro l’eventuale colpevole e le informazioni corrette per l’implementazione di misure correttive.
infine è importante ricordare che:
—Gli APT sono difficili da individuare. Secondo il Verizon 2012 Data Breach Investigations Report, il 92% di tutte le organizzazioni e il 49% delle grandi organizzazioni è venuta a conoscenza di una violazione della sicurezza perché informata da un soggetto esterno.
un po di reference:
—Advanced volatile threat
—https://www.academia.edu/6309905/Advanced_Persistent_Threat_-_APT
—Anatomy of an Advanced Persistent Threat (APT)”. Dell SecureWorks. Retrieved 2012-05-21.
—Are you being targeted by an Advanced Persistent Threat?”. Command Five Pty Ltd. Retrieved 2011-03-31.
—Search for malicious files”. Malicious File Hunter. Retrieved 2014-10-10.
—“The changing threat environment …”. Command Five Pty Ltd. Retrieved 2011-03-31.
—Eric M. Hutchins, Michael J. Clopperty, Rohan M. Amin, Ph.D. “Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains”. Lockheed Martin Corporation Abstract. Retrieved March 13, 2013.
—Assessing Outbound Traffic to Uncover Advanced Persistent Threat”. SANS Technology Institute. Retrieved 2013-04-14.
—Introducing Forrester’s Cyber Threat Intelligence Research”. Forrester Research. Retrieved 2014-04-14.
—Olavsrud, Thor. “Targeted Attacks Increased, Became More Diverse in 2011”. PCWorld.
—An Evolving Crisis”. BusinessWeek. April 10, 2008. Archived from the original on 10 January 2010. Retrieved 2010-01-20.
—The New E-spionage Threat”. BusinessWeek. April 10, 2008. Archived from the original on 18 April 2011. Retrieved 2011-03-19.
—Google Under Attack: The High Cost of Doing Business in China”. Der Spiegel. 2010-01-19. Archived from the original on 21 January 2010. Retrieved 2010-01-20.
—Under Cyberthreat: Defense Contractors”. BusinessWeek. July 6, 2009. Archivedfrom the original on 11 January 2010. Retrieved 2010-01-20.
—Understanding the Advanced Persistent Threat”. Tom Parker. February 4, 2010. Retrieved 2010-02-04.
—Advanced Persistent Threat (or Informationized Force Operations)”. Usenix, Michael K. Daly. November 4, 2009. Retrieved 2009-11-04.
—Ingerman, Bret. “Top-Ten IT Issues, 2011”. Educause Review.
—Bodmer, Kilger, Carpenter, & Jones (2012). Reverse Deception: Organized Cyber Threat Counter-Exploitation. New York: McGraw-Hill Osborne Media. ISBN 0-07-177249-9, ISBN 978-0-07-177249-5
—Advanced Persistent Threats: Higher Education Security Risks”. Dell SecureWorks. Retrieved 2012-09-15.
—APT1: Exposing One of China’s Cyber Espionage Units”. Mandiant. 2013.
—China says U.S. hacking accusations lack technical proof”. Reuters. 2013.
—What’s an APT? A Brief Definition”. Damballa. January 20, 2010. Archived from the original on 11 February 2010. Retrieved 2010-01-20.
grazie 🙂
ho pensato che sia cosa utile fare seguito ad un mio precedente post che si chiedeva se era paperino a fare i budget di sicurezza. Diciamolo, uno dei problemi che affliggono il mondo della sicurezza è che in pochi hanno una vaga idea di come costruire un budget che copra questi bisogni e lamentarsi sempre non aiuta a risolvere il problema, ho quindi pensato di scrivere un suggerimento su come venire incontro alla determinazione del valore economico della stesura di un budget di sicurezza informatica.
