Anche alla luce del quadro geopolitico globale, quali sono le forze in campo nell’ambito APT, quali assi hanno nella manica e quali sono gli obiettivi primari?

Le guerre di oggi si combattono non solo via terra, aria ed acqua, ma soprattutto a livello informatico. Se analizziamo le attuali tensioni geopolitiche, possiamo identificare le potenziali motivazioni di diverse categorie di gruppi APT. I gruppi di minacce avanzate persistenti (APT) sono complessi per natura e rientrano tipicamente nella categoria dei nation-state, ovvero finanziati direttamente da un governo. Tuttavia, anche gruppi criminali e di cyberspionaggio possono essere classificati come APT grazie alla loro abilità e pazienza.

Tenendo a mente queste tre categorie, possiamo comprendere meglio le motivazioni dei diversi gruppi APT che operano attualmente.

• La Russia ospita numerosi gruppi criminali che creano e gestiscono malware as-a-service (MaaS) e sono tipicamente precisi e mirati nelle loro azioni.
• I gruppi cinesi tentano spesso di utilizzare qualsiasi malware per raggiungere i loro obiettivi e spesso si preoccupano meno di essere scoperti, creando operazioni tipicamente più "disordinate" rispetto alla Russia.
• I gruppi nordcoreani sono motivati finanziariamente, poiché il regime cerca di aggirare le sanzioni commerciali. Il gruppo Lazarus, probabilmente il più famoso APT del Paese, è stato attribuito a furti finanziari significativi da banche e brokers di criptovalute.

Qual è a vostro avviso il metodo di contrasto più efficace per queste attività? E quali gli strumenti di cui le aziende devono dotarsi?

Difendersi da questi attori sofisticati è difficile senza una strategia adeguata. Una delle più efficaci è il concetto di "sicurezza orizzontale", che offre un approccio olistico alla sicurezza, in cui tutti i sistemi comunicano e collaborano per identificare e fermare un attacco. Diverse soluzioni tentano di implementare questa strategia, alcune si limitano a correlare tutti gli eventi tra loro, altre si affidano all'intelligenza artificiale per dare un senso ai dati, mentre in realtà è fondamentale sapere quali siano le reali minacce esterne. Non avere questa informazione significa procedere alla cieca con un approccio reattivo alla cybersecurity.

La Cyber Threat Intelligence svolge un ruolo importante in questo senso, fornendo informazioni sui gruppi APT e le loro minacce sotto forma di feed contenenti milioni di Indicatori di Compromissione (IoC). Esempi di IoC sono gli indirizzi IP, i nomi di dominio e gli hash dei file che gli analisti esperti hanno collegato ad attacchi e campagne in corso. Questa incredibile quantità di informazioni deve essere raccolta, elaborata, analizzata e diffusa all'infrastruttura di sicurezza attraverso una cosiddetta Threat Intelligence Platform (TIP), che eleva l'intelligence al livello strategico (chi e perché) e operativo (dove e come). Ciò significa passare da semplici indicatori atomici a Tattiche, Tecniche e Procedure, comprendendo il modello di attacco e le azioni per prevenirne le fasi successive.

È quindi chiaro come una strategia di sicurezza orizzontale debba sposarsi con la threat intelligence elevata per essere efficace e proattiva. Anomali ha sviluppato esattamente questo tipo di piattaforma, che raccoglie tutti i dati di telemetria della sicurezza della superficie di attacco e li correla con tutta la threat intelligence elevata disponibile. È importante notare come, a differenza di un SIEM che è in grado di gestire solo 1-2 milioni di IoC, Anomali sia in grado di correlare tutta l’Intelligence evitando di filtrare possibili minacce.

Questa piattaforma ha un'architettura aperta che sfrutta gli investimenti esistenti integrandosi in modo nativo e senza costi aggiuntivi con un'ampia gamma di soluzioni di altri vendor inclusi Cloud provider, OT security, Web Proxie e Email security. Il risultato è un “single pane of glass” per la sicurezza che determina rapidamente e automaticamente l'impatto di tutti gli attacchi, non solo di quelli attualmente in corso ma anche retrospettivamente fino a 5 anni.

Da oltre due anni, molte aziende ed enti governativi utilizzano Anomali per rilevare le lacune nella sicurezza, identificare e bloccare gli attachi e automatizzare la risposta e il rimedio. Anomali si va ad aggiungere al portfolio Next Generation Solutions (NGS) di Westcon come piattaforma di Threat Intelligence, all’interno di una strategia go-to-market di soluzioni integrabili, per rispondere in modo avanzato e mirato alle esigenze dei System Integrator.

L’obiettivo di Westcon è quello di supportare i partner proponendo soluzioni che coprano quattro pillar principali (Next Gen SOC, Zero Trust Access, Cloud Secure & DevOps e Iot/OT Security) ed Anomali si posiziona perfettamente in questa matrice, dando ai cliente un valore aggiunto per quello che riguarda i sistemi più accurati di intelligence. La tematica della Threat Intelligence riguarda sempre di più tutti i settori industriali, non solo il mercato finance e quello bancario, ed implementare soluzioni come Anomali all’interno di un SOC permette di alzare il livello di sicurezza in maniera significativa. La collaborazione tra Westcon ed Anomali è esclusiva per il mercato EMEA ed il personale Pre Sales è a disposizione dei partner per organizzare incontri di approfondimento tecnico per conoscere la tecnologia e le sue potenzialità.