Il parere di Vectra AI

Risponde Alessio Mercuri, Security Engineer di Vectra AI

Autore: Redazione SecurityOpenLab

Anche alla luce del quadro geopolitico globale, quali sono le forze in campo nell’ambito APT, quali assi hanno nella manica e quali sono gli obiettivi primari?

Il 2022 si sta confermando come un anno di forte pressione per le organizzazioni di ogni settore e di ogni mercato. Continua la crescita degli attacchi ransomware, con ripetute campagne operate da differenti APT che minano la reputazione delle aziende che ne sono vittime e ne mettono a rischio l'operatività. Il ransomware è poi diventato un modello di business (il cosiddetto RaaS, Ransomware as a Service), diventando lucrativo non solo per gli attori che attaccano direttamente la vittima per danneggiarla ed esfiltrarne i dati, ma anche per gli operatori che creano il malware stesso e lo mettono a disposizione sotto forma di acquisto o sottoscrizioni.

Nell’ultimo anno il focus si è però spostato verso questioni geopolitiche, causate dal conflitto in corso in Ucraina, che hanno portato a un evidente aumento di attori e attacchi state-sponsored o attacchi che sfruttano la guerra per campagne “a tema”. Sono molteplici infatti i gruppi APT a livello globale (es. Lyceum, SydeWinder), che, avendo come obiettivo settori di mercato come energy & utilities, hanno creato molteplici campagne sfruttando come esca documenti sul conflitto e nuove modalità per invogliare le vittime a fare click su link di spear-phishing.

Dall’altra parte, gli attori nation-state (APT) hanno a disposizione un arsenale e risorse davvero ampie (es. disponibilità di exploit su nuove vulnerabilità, zero-day) e possono usare strumenti diversi, dal social engineering fino all’accesso fisico, per ottenere accesso ai loro target o talvolta sfruttare insider all'interno dell'organizzazione target per fare breccia. Durante gli ultimi mesi poi, quando la guerra si è poi spostata su terra, le tattiche si sono indirizzate verso obiettivi volti a impattare le comunicazioni e le reti di computer degli attori coinvolti nel conflitto. In queste casistiche, abbiamo visto l'utilizzo di tre differenti attacchi: inizialmente, i sistemi ucraini sono stati obiettivo di un attacco DDoS massivo, seguito poi da un attacco con il già noto malware HermeticWiper usato per distruggere i sistemi e, infine, anche Microsoft ha visto il deployment di un nuovo Trojan, Foxblade.

Nel nostro Paese permangono ad alto livello di rischio tutte le infrastrutture che erogano servizi critici, soprattutto nel settore pubblico, bancario ed energy, soggette a minacce di possibili attacchi DDoS o a tentativi di attacchi veri e propri (vedi Killnet).

Qual è a vostro avviso il metodo di contrasto più efficace per queste attività? E quali gli strumenti di cui le aziende devono dotarsi?

Mentre le organizzazioni, sia nel pubblico sia nel privato, stanno lavorando per rafforzare le proprie difese, la principale raccomandazione è quella di monitorare costantemente la rete e proteggerla a tutti i livelli. Questo perché, nonostante la maggior parte degli attacchi venga bloccato dalle linee di difesa adibite alla prevenzione, attaccanti e gruppi APT avanzati e altamente motivati tendono a trovare una via per evadere queste difese. E una volta che un attaccante ha avuto successo nell'ottenere un accesso all'ambiente target, è davvero cruciale rilevarlo prima che possa compromettere l'intera infrastruttura.

Molti gruppi APT, indipendentemente dalla loro origine e motivazione, seguono flussi simili di attacco; ogni attacco parte da una compromissione iniziale, attraverso la quale l'attaccante ha probabilmente raggiunto i seguenti obiettivi:

  • ha ottenuto accesso a credenziali valide;
  • ha ottenuto accesso "live off the land" in uno o più dispositivi o servizi all'interno dell'ambiente target;
  • ha evaso misure difensive, come firewall, identity management, IDS, antivirus e, talvolta, anche soluzioni EDR;
  • ha iniziato a procedere verso l'obiettivo finale attraverso la catena di attacco (Cyber Kill Chain).

In base all'organizzazione coinvolta nell'attacco e al tipo di attaccante, l'obiettivo finale potrebbe essere il sabotaggio, lo spionaggio, il criptaggio e/o l’esfiltrazioni di dati, il furto di risorse e/o la frode. Ma prima che l'attaccante raggiunga uno o più di questi obiettivi, deve seguire le seguenti azioni per raggiungere il proprio obiettivo:

  • Ottenere persistenza nell'ambiente
  • Stabilire una connessione remota sicura (C2)
  • Effettuare attività di reconnaissance
  • Scalare i privilegi di accesso
  • Muoversi lateralmente verso gli asset/dati critici obiettivo dell'attacco.

Gli attaccanti ovviamente tentano di compiere ognuna di queste azioni, cercando di evadere le difese e il rilevamento; tuttavia, queste azioni all'interno della catena di attacco, creano attività e segnali attraverso la rete, sia essa fisica, in cloud o virtuale.

Mentre queste attività degli attaccanti sono difficili da rilevare e distinguere da attività autorizzate e sicure, l'intelligenza artificiale si è dimostrato uno strumento valido per questo tipo di rilevazione ed è in grado di farlo in tempo reale e scalando le dimensioni di infrastrutture complesse. Vectra AI monitora costantemente la rete rilevando e seguendo eventuali comportamenti degli attaccanti, che siano passi singoli all'interno della catena di attacco come anche una vera e propria progressione dell'attacco stesso.

A differenza delle altre soluzioni di difesa cyber, Vectra riesce a puntare il riflettore sugli attaccanti osservando e rilevando cosa stanno facendo all'interno della rete e sistemi, non limitandosi a individuare semplici anomalie, firme, IOC, ma evidenziando in tempo reale il vero e proprio comportamento e intento di un attore malevolo all'interno dell'infrastruttura.

Vectra ha queste capacità di analisi, rilevamento e risposta alle minacce sia che si tratti della rete on-prem sia su cloud (IaaS, SaaS e PaaS), sfruttando modelli di rilevamento brevettati basati su Intelligenza Artificiale e Machine learning, che coprono il 90% delle tecniche di attacco censite dal MITRE ATT&CK framework ed è anche il vendor - l'unico in ambito NDR - con più brevetti citati dal nuovo framework di contromisure MITRE D3FEND.