Come proteggerti dalle minacce APT per evitare incidenti analoghi a quello di Microsoft Exchange
Le minacce APT (Advanced Persistent Threat) hanno conseguenze più gravi rispetto agli attacchi informatici convenzionali. Il motivo è duplice: da un lato gli autori degli attacchi vi dedicano più tempo e risorse (spesso supportati da organizzazioni governative) e dall’altro le vittime hanno profili di alto livello. La Casa Bianca, l’Unione europea e la NATO hanno accusato apertamente il Governo cinese di essere il mandante di diversi attacchi informatici con queste caratteristiche e, in particolare, dell’episodio che ha colpito Microsoft Exchange lo scorso gennaio.
In quell’attacco su larga scala si stima che oltre 250.000 server di Exchange siano stati compromessi a livello mondiale e che i malintenzionati abbiano avuto accesso a più 30.000 organizzazioni nei soli Stati Uniti. L’incidente, che ha interessato il servizio di Microsoft, ha sfruttato una vulnerabilità simile a ProxyLogon. Tale falla consente all’hacker di entrare nel sistema come amministratore per poi accedere alle e-mail. In questo caso, l’indice è stato puntato contro Hafnium, un gruppo di hacker fondato dalle autorità cinesi.
I gravi pericoli delle minacce APT
Per questo incidente gli hacker hanno sfruttato una vulnerabilità zero day all’interno di Exchange. Ma l’aspetto più importante è che hanno messo in evidenza gli enormi rischi legati agli attacchi APT, spesso supportati dalle organizzazioni governative a causa dello sforzo richiesto per attuarli.
Nel caso dell’episodio di Exchange, la Casa Bianca ha subito affermato che l’attacco era stato finanziato e promosso dal Governo cinese. Il Governo degli Stati Uniti ha ribadito in una dichiarazione ufficiale che “Il Ministro della Sicurezza della Repubblica Popolare Cinese assolda abitualmente degli hacker per compiere attacchi su scala globale che restano impuniti”. Ma il Governo di Biden non è il solo ad accusare la Cina, infatti l’Unione europea ha mosso accuse analoghe alla Repubblica Popolare Cinese invitandola a prendere urgentemente misure immediate per limitare questi attacchi informatici.
Come possono difendersi le organizzazioni da questo tipo di minacce?
I fornitori di servizi gestiti dovrebbero essere consapevoli che questo tipo di attività dannosa può colpire anche le organizzazioni e le aziende private, è quindi fondamentale che adottino misure di protezione per i propri clienti. La protezione proattiva degli endpoint in caso di un attacco di questo genere è un fattore chiave. Rilevare e neutralizzare la minaccia prima che sia troppo tardi è determinante e questo è possibile grazie ad alcune soluzioni specifiche di WatchGuard tra cui APT Blocker. Tramite una sandbox isolata nel cloud, che analizza tutti i tipi di eseguibili e documenti simulando il comportamento dell’hardware fisico, questa soluzione neutralizza le minacce di un attacco ransomware o zero day senza alcun rischio.
La difesa dalle minacce APT è garantita anche da WatchGuard EPDR, una soluzione in grado di fornire una protezione dell’endpoint contro gli attacchi informatici di prossima generazione. Questa completa soluzione di sicurezza ricorre a una strategia zero-trust e a un servizio di ricerca delle minacce integrato che riduce al minimo la possibilità di successo di un attacco informatico. L’adozione dell’approccio zero-trust implica un’analisi sistematica di qualsiasi applicazione o file binario, riducendo moltissimo le chance degli hacker. Questo sistema unito al servizio di ricerca delle minacce, che è basato su un set di regole per la ricerca delle minacce elaborate da appositi specialisti, consente alla soluzione per la sicurezza informatica di analizzare gli schemi di comportamento anomali in modo che i client possano ridurre i tempi di risposta e creare nuove regole da distribuire sui diversi endpoint per proteggerli.