Gli APT non sfondano porte; entrano con credenziali valide, usano strumenti già presenti e si muovono nel perimetro di fiducia delle aziende target senza far scattare alcun allarme. Cisco Talos ha pubblicato un'analisi approfondita che espone con precisione le differenze tra cybercriminali e gruppi APT, per far capire perché i piani di incident response costruiti intorno al ransomware non reggono quando l'avversario è uno Stato.

Il punto di partenza è semplice: le aziende danno per scontato che tutto ciò che si trova all'interno del perimetro di fiducia sia affidabile. Se il software arriva da vendor accreditati, i dipendenti accedono con credenziali valide, i cloud provider hanno certificazioni di conformità, tutto funziona bene. Non è vero, perché gli APT, ossia i gruppi sponsorizzati dagli stati nazionali, hanno costruito la propria metodologia operativa proprio intorno a questa convinzione, e il più delle volte la fanno franca. E questo a prescindere dal fatto che la kill chain sia la stessa: ricognizione, sviluppo del vettore di attacco, consegna, exploitation, installazione, command and control e azione sugli obiettivi. Gli APT eseguono questa sequenza con pazienza e precisione.

Partecipa agli ItalianSecurityAwards 2026 ed esprimi il tuo voto premiando le soluzioni di cybersecurity che reputi più innovative

La differenza sta nell’obiettivo. Un attaccante con motivazioni finanziarie ha bisogno che il bersaglio sappia di essere stato compromesso, quindi rivendica l’attacco, pubblica la refurtiva sul sito di rivendicazione. Il successo delle attività APT dipende dal fatto che il bersaglio rimanga inconsapevole, perché l’attaccante sponsorizzato da uno stato agisce per spionaggio, per rubare proprietà intellettuale o semplicemente per posizionarsi e restare in attesa di istruzioni per azioni future. La necessità di anonimato determina tutte le scelte tecniche.

In fase di ricognizione, gli APT possono investire settimane o mesi per mappare il personale di un'organizzazione, lo stack tecnologico, le relazioni con i vendor e i pattern di comunicazione, spesso agendo completamente al di fuori del perimetro. In molti casi questa attività non lascia alcun segno nei log dei difensori. Per ottenere l'accesso iniziale gli APT possono investire cifre significative, spese per zero-day o vettori di supply chain che la normale detection non sia in grado di identificare, oppure per credenziali legittime.

Un passaggio in cui appare lampante la necessità di passare sottotraccia è quello del movimento laterale: al posto di distribuire malware, gli APT abusano di strumenti già presenti sui sistemi target, come per esempio PowerShell, WMI, PsExec. C’è poi il capitolo della persistenza, per la quale gli APT adottano task pianificati, configurazioni di servizio modificate, account dormienti, impianti a livello firmware e altri espedienti per passare inosservati per periodi prolungati. Quando sono necessarie attività come per esempio l’esfiltrazione di dati, viene strutturata per mescolarsi nei pattern di traffico normali, procedendo poco per volta con obiettivi a lungo termine.

È l’insieme di tutti questi fattori a rendere molto difficile anche l’attribuzione, ossia l'associazione di un'intrusione a un determinato APT sulla base di Tattiche, Tecniche e Procedure note, infrastrutture e altro. L'attribuzione politica, invece, è una funzione governativa, non un compito dei security team, e tentarla senza le risorse di intelligence adeguate crea più rischi di quanti ne risolva.

La gestione dell’incidente

Talos dedica ampio spazio alla prevenzione, a partire dalla visibilità. Al posto delle poco utili configurazioni di logging predefinite, occorre abilitare il log completo della riga di comando per la process creation (Event ID 4688), il PowerShell script block logging (Event ID 4104) per catturare il codice effettivamente eseguito. Tutti i log devono essere inoltrati a una posizione centralizzata in scrittura singola, dato che gli APT sofisticati cancellano periodicamente i log eventi locali, distruggendo le prove sui sistemi compromessi. La visibilità deve estendersi oltre i sistemi endpoint, adottando anche modelli di machine learning capaci di identificare pattern di comunicazione C2 in sessioni TLS senza rompere la cifratura.

Qualora fosse confermata la presenza di un APT, la risposta deve tenere conto della possibilità che l'avversario veda le comunicazioni interne, quindi tutte le comunicazioni investigative devono avvenire su canali cifrati e su dispositivi non connessi all'infrastruttura compromessa, limitando il coinvolgimento al personale essenziale.

Talos dedica particolare attenzione al contenimento: in un evento che coinvolge il cybercrime, l’approccio corretto passa quasi sempre per il contenimento precoce. Non vale lo stesso per un evento APT, perché un’attività prematura può precludere la capacità di comprendere la piena portata dell'incidente e innescare un'azione accelerata sugli obiettivi. Spesso la scelta migliore è il monitoraggio silente per smascherare tutte le attività e capire su che cosa sarà necessario intervenire, preparando nel mentre il piano Incident Response più preciso possibile.

Talos affronta anche il tema delle risorse, che per molti team di sicurezza sono il vero limite. Le priorità sono due, nell'ordine: visibilità e protezione delle identità. Monitorare tutta l'infrastruttura è spesso difficile, costoso e dispersivo, ha più senso concentrarsi dove l'avversario deve necessariamente passare: domain controller, infrastrutture di identità, sistemi esposti esternamente e server critici. Non si tratta di spendere molto, ma di investire nel modo corretto.