Anche alla luce del quadro geopolitico globale, quali sono le forze in campo nell’ambito APT, quali assi hanno nella manica e quali sono gli obiettivi primari?

A fronte degli ultimi attacchi informatici che si sono verificati in questi ultimi due anni, tutti sappiamo che quando si parla di Advanced Persistent Threat (APT) s’intende una tipologia di cyberattacchi mirati e persistenti, condotti da cybercriminali dotati di notevole expertise tecnica e grandi risorse economiche. Le modalità più utilizzate dai gruppi APT sfruttano hacking continue, clandestine e sofisticate per ottenere l’accesso a un sistema, con l’obiettivo di causare danni irreparabili all’organizzazione colpita. Questa tipologia di attacchi è estremamente pericolosa perché si fonda su analisi e pianificazioni accurate in ogni singola fase. Prima di sferrare l’attacco i gruppi di hacker individuano attentamente l’azienda, analizzando mesi prima la struttura informatica dell’organizzazione.

Se consideriamo le ingenti risorse economiche e umane che vengono impiegate per progettare e finalizzare questa tipologia di cyberattacco, non c’è da sorprendersi se il tutto viene indirizzato principalmente verso bersagli di alto profilo, tra cui gli stati-nazione e grandi aziende. Per riuscire a finalizzare l’attacco, i gruppi ATP sferrano i primi cyberattacchi contro piccole e medie imprese che fanno parte della supply-chain di organizzazioni più grandi, ma non ne condividono gli elevati standard di sicurezza. Lo scopo di APT è principalmente legato allo spionaggio industriale o politico. Di fatti, secondo alcuni esperti, almeno due istituti di ricerca in Russia hanno subito attacchi di spionaggio per conto del gruppo cinese Twisted Panda, associato ad altri gruppi di hacker cinesi, tra cui Stone Panda (alias APT 10, Cicada o Potassium) e Mustang Panda (alias Bronze President, HoneyMyte o RedDelta). I ricercatori hanno scoperto che questa operazione di spionaggio, diretta contro organizzazioni associate alla Russia, è attiva almeno da giugno 2021 e le ultime tracce di attività degli hacker sono state scoperte nell’aprile 2022.

Qual è a vostro avviso il metodo di contrasto più efficace per queste attività? E quali gli strumenti di cui le aziende devono dotarsi?

Il tradizionale approccio alla sicurezza, orientato alla semplice rimozione delle vulnerabilità, non è più sufficiente. Questo emerge chiaramente anche nel Q1 Ransomware Report del 2022 di Ivanti che ha individuato un aumento del 7,5%, dei gruppi APT coinvolti nel ransomware. Analizzando nel dettaglio i dati, emergono tre nuovi gruppi APT (Exotic Lily, APT 35, DEV-0401) che hanno utilizzato il ransomware come vettore d’attacco per i loro obiettivi, 10 nuove vulnerabilità attive e di tendenza che sono state associate al ransomware (portando il totale a 157) e quattro nuove tipologie di ransomware (AvosLocker, Karma, BlackCat, Night Sky) che sono diventate pericolose nel primo trimestre del 2022. A fronte di questo scenario poco rassicurante, sono convinto che tutte le organizzazioni debbano iniziare ad adottare un approccio olistico e integrato alla sicurezza IT, prediligendo analisi preliminari rispetto a un programma completo di gestione del rischio. Indubbiamente servono soluzioni di Advanced Malware Protection, per adattarsi alle strategie in continua evoluzione dei criminali informatici e anticipare qualsiasi tipo di violazione della sicurezza informatica.

In Ivanti abbiamo sviluppato Ivanti Neurons, una piattaforma di iperautomazione che automatizza la correzione, la protezione e l’erogazione dei servizi sia sul cloud sia sull'edge attraverso quattro moduli:

• Ivanti Neurons for Edge Intelligenceconsente all’IT di interrogare tutti i dispositivi perimetrali tramite un linguaggio naturale e ottenere informazioni in tempo reale nell’intera azienda, in pochi secondi.

• Ivanti Neurons for Healing offre un intero arsenale di bot di automazione che consentono di rilevare, diagnosticare e correggere automaticamente problemi di configurazione, prestazioni, compliance e sicurezza degli endpoint.
• Ivanti Neurons for Discovery offre in pochi minuti informazioni accurate e immediatamente fruibili. Include sistemi di scansione attivi e passivi oltre a connettori di terze parti in modo da avere una completa visibilità in tempo reale: dati di inventario hardware e software normalizzati, informazioni sull’utilizzo dei software e dati immediatamente fruibili da inserire direttamente nei database di gestione delle configurazioni (CMDB) e degli asset (AMDB).
• Ivanti Neurons Workspace offre una vista a 360° su dispositivi, utenti, applicazioni e servizi con dati in tempo reale grazie ai quali gli analisti di prima linea possono risolvere problemi che in precedenza dovevano essere inoltrati ad altri specialisti.