minacce avanzate e persistenti: difendersi dall'interno

Transcript

1 WHITE PAPER Attacchi mirati luglio 2012 minacce avanzate e persistenti: difendersi dall'interno Russell Miller CA Technologies, Security Management agility made possible

2 sommario executive summary 3 SEZIONE 1: Sfida 4 Minacce avanzate persistenti: amministrazione non ordinaria Sezione 2: Opportunità 7 Difesa in profondità SEZIONE 3: Vantaggi 14 Ridurre il rischio prima di tutto. SEZIONE 4: Conclusioni 14 SEZIONE 5: Riferimenti 15 SEZIONE 6: Informazioni sull'autore 16

3 executive summary Sfida Proteggere un'organizzazione è una sfida sempre più difficile. Gli attacchi sono sempre più complessi e l'ascesa delle minacce avanzate persistenti (APT), un tipo di attacco mirato, ha reso le organizzazioni più consapevoli della loro vulnerabilità. Aziende da RSA Security a Google e Northrup Grumman si sono trovate a fare da bersaglio delle APT. Non essere stati vittima di violazioni gravi in passato non garantisce la sicurezza per il futuro: le organizzazioni specificatamente oggetto di APT devono affrontare sfide che normalmente non si pongono agli amministratori della sicurezza, come azioni eseguite a distanza di mesi o anni, per evitare il rilevamento. Anche i danni causati da una violazione sono in aumento, il che rende la sfida ancora più reale per i dirigenti. Opportunità Quando si tratta di difendersi dalle APT, un'arma onnicomprensiva non esiste. È necessario impiegare più livelli di protezione in combinazione, per ridurre il rischio di violazione e ridurre i danni, qualora una violazione dovesse verificarsi. L'approccio iniziale alla difesa contro gli attacchi mirati è consistito nel proteggere il perimetro tramite firewall e sistemi anti-intrusione, per rilevare e bloccare comportamenti anomali. Questo approccio può essere efficace nella difesa contro certi tipi di attacchi, ma non è in grado di proteggere contro tutti i vettori, come "spear phishing" e ingegneria sociale. Anche se nessun prodotto di sicurezza puntuale, basato sulla tecnologia o meno, è in grado di fornire a un'organizzazione protezione completa contro le APT, la disponibilità odierna di soluzioni di sicurezza cross-domain può aiutare le organizzazioni a proteggersi come mai prima. La gestione delle identità privilegiate, la protezione e il controllo delle informazioni e la sicurezza delle infrastrutture interne sono aree tradizionalmente considerate in silos, ma che oggi è possible combinare per consentire alle organizzazioni di proteggere la loro infrastruttura IT e i data center in modi complementari. CA Technologies definisce tutto questo intelligence sull'identità e i dati. Vantaggi Tramite la comprensione e la protezione contro le minacce avanzate persistenti, le aziende riducono il rischio nel caso siano oggetto di un attacco mirato. Il rischio che viene ridotto non è solo finanziario, ma anche per la reputazione, operativo, legale e normativo. Adottando una visione olistica della sicurezza che può essere impiegata contro le APT, l'organizzazione si tutela anche dagli attacchi meno sofisticati, automatizzati, e perfino interni. Un approccio globale alla sicurezza ha molti altri vantaggi, quali miglioramento della conformità, supporto ai servizi basati sul cloud, miglioramento della sicurezza della virtualizzazione e attivazione di risparmi sui costi. 3

4 Sezione 1: Sfida Minacce avanzate persistenti: amministrazione non ordinaria Le minacce avanzate persistenti presentano sfide distinte rispetto ai tradizionali rischi per la sicurezza. Il loro costo medio è stato stimato dal Ponemon Institute in 5,5 milioni di dollari nel 2011, 1, il che le rende una preoccupazione fondamentale anche per dirigenti senior. Definizione Si intende per minaccia avanzata persistente (APT, Advanced Persistent Threat) un attacco a lungo termine, sofisticato e mirato a un oggetto specifico. L'autore dell'attacco è spesso supportato da un'entità statale, con lo scopo di acquisire intelligence di valore elevato da altri governi; ma l'attacco può anche essere eseguito, e riguardare, organizzazioni private. Questa espressione è stata utilizzata per la prima volta dalla United States Air Force nel Il National Institute of Standards and Technology (NIST), definisce le APT come segue: 3 "La minaccia avanzata persistente è un avversario con livelli sofisticati di competenza e risorse significative, che gli consentono, attraverso l'utilizzo di vettori di attacco multipli (come frode e metodi informatici e fisici), di generare opportunità per raggiungere i propri obiettivi: questi consistono tipicamente nello stabilire e ampliare punti di appoggio all'interno dell'infrastruttura informatica delle organizzazioni, allo scopo di derivarne informazioni in modo continuativo e/o di compromettere o ostacolare aspetti critici di una missione, programma o organizzazione, o di mettersi in condizione di farlo in futuro. Inoltre, la minaccia avanzata persistente persegue i propri obiettivi ripetutamente per un periodo di tempo prolungato, adattandosi agli sforzi di un difensore per resisterle, e con lo scopo di mantenere il livello di interazione necessario per eseguire i propri obiettivi". Altre definizioni variano, ma i tre termini aiutano a chiarire ciò che si intende per minaccia avanzata persistente: 4 Avanzata: l'autore dell'attacco dispone di notevoli capacità tecniche per sfruttare le vulnerabilità del bersaglio. Questo può includere accesso a database di vulnerabilità di grandi dimensioni, exploit e competenze di codifica, ma anche la capacità di scoprire e sfruttare vulnerabilità precedentemente sconosciute. Persistente: le APT spesso restano attive per un periodo prolungato di tempo. A differenza degli attacchi a breve termine, che sfruttano opportunità temporanee, le APT possono durare anche anni. Possono impiegare vettori di attacco multipli, dagli attacchi basati su Internet all'ingegneria sociale. Violazioni della sicurezza minori possono essere combinate, nel tempo, per ottenere accesso a dati più significativi. Minaccia: l'esistenza di una minaccia implica che l'autore dell'attacco abbia la motivazione e le capacità per eseguire un attacco con successo. Gli strumenti puramente automatizzati non sono considerati APT di per sé, anche se possono essere utilizzati da un gruppo organizzato e coordinato, come parte di un attacco più ampio. Per le organizzazioni più grandi, il 50% degli attacchi nel 2011 sono stati mirati, pari al 64% di tutti i documenti sottratti. 5 4

5 Fasi Una tipica minaccia avanzata persistente può comprendere le quattro fasi seguenti: Figura A. Quattro fasi di una minaccia avanzata persistente 1. Ricognizione: indagine sulle vulnerabilità di un'organizzazione. Può includere attività di ricerca di base, da query di dominio fino a scansioni di porte e vulnerabilità. 2. Primo accesso: sfruttamento dei punti deboli per ottenere un punto d'appoggio all'interno della rete di destinazione. Questo può avvenire utilizzando sofisticati metodi tecnici, o tramite tecniche come lo spear phishing (attacchi di phishing diretti), che consentono di ottenere l'accesso a un singolo sistema di cui dispone un normale utente. L'ingegneria sociale, basata sulle persone, è anch'essa utilizzata di frequente come metodo comune di accesso. 3. Acquisizione di privilegi più elevati ed espansione del controllo: una volta penetrato nel perimetro della rete, l'autore dell'attacco tenta di ottenere privilegi e controllo aggiuntivi sui sistemi critici. Questa fase può comportare anche l'installazione di strumenti "back door" per semplificare l'accesso futuro alla rete. 4. Sfruttamento continuo: una volta acquisito il controllo, l'autore di un attacco può esportare dati sensibili in modo continuativo. La terza e la quarta fase possono richiedere anni, al fine di ridurre il rischio di rilevamento. Cosa differenzia le APT? La differenza più importante tra APT e minacce "normali" è che sono mirate a un'organizzazione in modo specifico. Anche se la difesa del "perimetro" e l'impiego di controlli di sicurezza standard può proteggere un'organizzazione dai normali attacchi, queste tecniche potrebbero non essere sufficienti di fronte alle APT. Gli autori di attacchi possono attendere con pazienza il manifestarsi di nuove vulnerabilità per sfruttare un punto debole, oppure combinare vulnerabilità apparentemente minime per sferrare un dannoso attacco su larga scala. Di fronte a questo tipo di minaccia, le regole normali non valgono. In passato, per molte organizzazioni era sufficiente implementare una maggiore sicurezza rispetto ad altre organizzazioni e aziende connesse a Internet, perché molti autori di attacchi avrebbero scelto i bersagli più semplici. Tuttavia, con le APT, le organizzazioni devono essere in grado di sconfiggere un nemico motivato, che si prenderà tutto il tempo per individuare i loro punti deboli, piuttosto che passare a un altro bersaglio. Anche le tempistiche delle APT possono renderne particolarmente difficile il rilevamento. In una violazione della sicurezza standard, notevoli quantità di dati possono essere esportate in un breve periodo di tempo, rendendo possibile scoprire la violazione tramite firewall e dispositivi anti-intrusione. L'autore di un attacco APT può dedicare mesi o persino anni all'esportazione dei dati di interesse, mettendo in scacco anche sistemi completi e ben configurati. 5

6 Obiettivi A causa della natura mirata degli attacchi APT, i loro autori hanno spesso obiettivi diversi rispetto ai normali hacker, inclusa una maggiore attenzione per gli elementi che seguono (anziché il semplice furto e i danni causati a scopo dimostrativo): Manipolazione politica Spionaggio militare Spionaggio economico Spionaggio tecnico Estorsione finanziaria Bersagli Specifici tipi di organizzazioni sono più a rischio di APT, a causa della loro natura politica e del fatto che dietro la minaccia c'è un soggetto pubblico: Enti pubblici Organizzazioni e appaltatori militari Sistemi critici di infrastrutture (ad esempio servizi pubblici, comunicazioni e sistemi di trasporto) Organizzazioni politiche Istituzioni finanziarie Aziende tecnologiche Esempi RSA Nel 2011, RSA Security ha annunciato di essere stata vittima di quella che ha definito come un'apt 6. Gli autori dell'attacco hanno ottenuto il primo accesso inducendo un utente interno ad aprire un con allegato un foglio di calcolo, che sfruttava una vulnerabilità zero-day in Adobe Flash. Da lì, gli autori dell'attacco hanno eseguito l'escalation dei privilegi, installato backdoor e acquisito il controllo di ulteriori sistemi. Sono stati in grado di accedere ai sistemi di RSA nei quali erano conservate le informazioni relative ai token di autenticazione a due fattori, noti come SecurID. Queste informazioni includevano potenzialmente i valori "seed", che RSA utilizza con i token per generare password temporanee che cambiano ogni 60 secondi. In caso di sottrazione del codice sorgente, gli autori dell'attacco potrebbero andare alla ricerca di vulnerabilità nell'implementazione di SecurID o addirittura nella stessa crittografia. Operation Aurora Operation Aurora è stata un'apt mirata a numerose grandi aziende, tra cui Google, Adobe, Rackspace e Juniper Networks. Secondo la stampa, sarebbero state prese di mira molte altre aziende, tra cui Yahoo, Northrup Grumman, Morgan Stanley, Symantec e Dow Chemical. 7 Si ritiene che il Politburo cinese abbia diretto gli attacchi come parte di una campagna coordinata su larga scala contro gli Stati Uniti. e altri paesi occidentali. 8 Le ATP sono difficili da individuare. Secondo il Verizon 2012 Data Breach Investigations Report, il 92% di tutte le organizzazioni e il 49% delle grandi organizzazioni è venuta a conoscenza di una violazione della sicurezza perché informata da un soggetto esterno. 9 6

7 Sezione 2: Opportunità Difesa in profondità La chiave della difesa contro le minacce avanzate persistenti è la profondità. Avendo a disposizione un tempo sufficiente, l'autore di un attacco, se determinato, sarà in grado di violare la maggior parte dei perimetri di rete. Una difesa riuscita è quella in grado di: 1. Complicare l'accesso iniziale 2. Ridurre il rischio di escalation dei privilegi in caso di compromissione di un account 3. Limitare il danno che può essere causato da un account compromesso, anche se privilegiato 4. Rilevare precocemente account compromessi e attività sospette 5. Raccogliere informazioni utili a un'indagine forense, per poter determinare quali danni si sono verificati, quando e a opera di chi Proteggere il perimetro con firewall e sistemi anti-intrusione sul confine della rete può aiutare solo in relazione al primo e al quarto punto. A essere necessaria è una strategia di protezione maggiormente attiva. Rilevamento precoce Le violazioni vengono spesso rilevate dopo che l'autore dell'attacco ha ottenuto l'accesso a una rete interna e causato danni o sottratto grandi quantità di dati. A questo punto, la "difesa" anti-apt comporta costose azioni di limitazione dei danni, pulizia e monitoraggio continuo. La chiave per una protezione accessibile e gestibile contro le APT sta nel rilevare le minacce il più precocemente possibile. Nella fase iniziale di un attacco, quando l'autore riesce a ottenere un primo accesso alla rete, l'organizzazione può utilizzare varie tecniche per rilevare una violazione, compresi svincolo ed esternalizzazione della sicurezza del sistema rispetto all'amministrazione, prevenzione e individuazione dei tentativi di escalation dei privilegi e uso non autorizzato dei privilegi stessi, nonché auditing e registrazione delle attività degli utenti diversi dall'impiego dei log di sistema operativo (auditing e registrazione che, in questo modo, possono avvenire all'insaputa dell'autore dell'attacco). Gestione delle identità privilegiate, protezione e controllo delle informazioni e sicurezza delle infrastrutture interne rappresentano il nucleo di una difesa anti-apt in profondità, insieme al rilevamento precoce. Queste tecniche sono descritte in dettaglio nelle sezioni seguenti. Gestione delle identità privilegiate Gli strumenti di gestione delle identità privilegiate (PIM) consentono di gestire e monitorare gli account amministrativi, come "Administrator" su Windows e "root" su UNIX e Linux. Sistemi PIM: Attuare il principio del "privilegio minimo", anche per gli account amministrativi Gestire l'accesso agli account condivisi grazie a capacità di gestione delle password degli utenti privilegiati Monitorare le attività degli utenti per contribuire a garantire l'accountability e per facilitare un'indagine in caso di violazione della sicurezza 7

8 Accesso e privilegio minimo Tutti gli utenti dovrebbero disporre solo dei privilegi minimi necessari per svolgere le proprie mansioni. Si tratta di un concetto compreso da molte organizzazioni, ma spesso non attuato nella pratica, soprattutto per gli account amministrativi. Agli individui che richiedono un certo livello di accesso privilegiato viene in genere fornita la password per il relativo account amministrativo, condiviso tra più persone. Ma le organizzazioni devono rendersi conto, data la crescente incidenza delle APT, che nell'accesso privilegiato possono e devono esistere vari sfumature. Ai singoli è possibile concedere privilegi elevati che consentano loro di svolgere solo un compito ben preciso. In passato, questo è stato realizzato su sistemi UNIX e Linux utilizzando lo strumento "sudo", ma i moderni strumenti di controllo degli accessi sono in grado di concedere e negare l'accesso a livello centrale per sistemi UNIX e Windows. Modello di sicurezza: svincolare la sicurezza dall'amministrazione del sistema Tipicamente, un sistema operativo dispone di un modello di sicurezza a due livelli: utenti privilegiati e utenti standard. Per difendersi contro le APT, tuttavia, si rende necessario un modello più sofisticato. Questo modello si basa sui principi di sicurezza standard del "minimo privilegio" e della "separazione dei compiti". Come minimo, devono essere definiti tre ruoli amministrativi principali: Amministratore di sistema: l'amministratore di sistema dovrebbe disporre dei privilegi necessari per eseguire gli aggiornamenti software del server, le modifiche di configurazione e per installare il software. Gli amministratori di sistema non dovrebbero essere in grado di modificare le impostazioni di sicurezza critiche o di visualizzare i log relativi alla sicurezza. Amministratore della sicurezza: questi amministratori dovrebbero essere in grado di aggiornare e modificare le impostazioni e le configurazioni di sicurezza, e di visualizzare i file di log correlati alla sicurezza stessa. Gli amministratori della sicurezza non dovrebbero essere in grado di installare software o di accedere a dati sensibili su un sistema. Auditor: gli auditor devono essere in grado di controllare le impostazioni di protezione e di visualizzare i file di log, ma non di apportare modifiche a un sistema. Per queste figure può essere richiesto l'accesso a file sensibili, ma tutti gli accessi devono avvenire in sola lettura. Ulteriori tipi di amministratore dovranno essere creati ove opportuno, ad esempio amministratori di database o di altre applicazioni particolarmente sensibili. L'utilizzo di un modello di sicurezza multi-livello realizza contemporaneamente due obiettivi: protegge contro le minacce interne rappresentate dagli amministratori, limitando ciò che ogni singolo può fare e rende l'esecuzione delle APT molto più difficile per i soggetti esterni. Anziché compromettere un unico account "super-user", gli autori di attacchi saranno costretti a ottenere l'accesso a più account, per acquisire l'accesso completo a un sistema. Controlli granulari I controlli granulari, oltre a rappresentare una buona pratica di sicurezza, sono particolarmente utili per mitigare il danno causato da una APT. Una volta acquisiti privilegi amministrativi, l'autore dell'attacco procede di solito a installare "rootkit" backdoor e inizia l'esportazione di dati sensibili. Con controlli di accesso adeguati, le operazioni che possono essere svolte da un malintenzionato con accesso anche privilegiato sono limitate, ed è possibile impedirgli l'accesso ai file sensibili, l'esecuzione di comandi dannosi, l'installazione di programmi, l'arresto o l'avvio di servizi o la modifica di file di log. In un sistema in cui sono presenti controlli granulari, l'autore di un attacco può essere costretto a compromettere più account per eseguire operazioni che, in precedenza, erano possibili da un unico account. 8

9 L'implementazione di controlli di accesso granulari può inoltre ridurre il rischio collegato a uno dei principali punti deboli all'interno di un'organizzazione: le persone. Utilizzando le cosiddette tecniche di ingegneria sociale, gli autori di attacchi spesso inducono dipendenti e altri soggetti interni a fornire informazioni utilizzabili per accedere ai loro account o per rivelare altri punti deboli. Limitando l'accesso ai sistemi critici e ai dati dei dipendenti, il danno che può essere causato da un malintenzionato che riesca ad accedere ad account attraverso l'ingegneria sociale risulta ridotto. Gestione degli account condivisi La gestione degli account condivisi (o "gestione delle password degli utenti privilegiati") è elemento di difesa chiave contro le ATP. L'accesso alle identità privilegiate (spesso attraverso l'escalation dei privilegi) è una fase intermedia fondamentale in quasi tutti gli attacchi di successo. Gli strumenti di gestione delle password degli utenti privilegiati dovrebbero essere in grado di: Memorizzare in modo sicuro le password criptate Gestire la complessità e le modifiche automatiche periodiche delle password, in base alle policy Limitare l'accesso agli account amministrativi imponendo che tutti gli accessi passino da un portale centralizzato Utilizzare la funzionalità di "accesso automatico" per impedire anche agli utenti autorizzati di conoscere le password degli account privilegiati Fornire accesso tramite account di emergenza, che prevede controlli e autorizzazioni aggiuntivi Eliminare l'impiego di password hard-coded negli script (spessi memorizzate in chiaro e che possono essere sottratte da un utente malintenzionato) Queste funzionalità non solo evitano che le password vengano condivise, ma ne impediscono anche il furto da file personali, o attraverso il keylogging. Imponendo che tutti i login degli account privilegiati passino da un proxy centrale, l'organizzazione è in grado di monitorare tutti gli accessi e le attività in caso di violazione, facilitando gli sforzi investigativi e, potenzialmente, limitando i danni. Reporting sulle attività degli utenti Comprendere quali azioni sono state eseguite da account privilegiati è una componente chiave per rilevare le APT e mitigare i danni in caso di un attacco inizialmente riuscito. Per loro natura, le APT comportano di solito l'esportazione di una notevole quantità di dati, che è possibile rilevare con gli strumenti adeguati. I log dell'attività degli utenti indica quali attività di sistema e di utente avvengono su un sistema o un dispositivo di rete, e possono essere utilizzati per identificare violazioni delle policy e per indagare sulle violazioni della sicurezza. Normative come HIPAA, CA SB 1386 e le numerose leggi statali in materia di notifica delle violazioni richiedono che un'organizzazione dia notizia dell'avvenuta violazione della sicurezza alla persona o organizzazione interessata. I log dell'attività degli utenti possono essere utilizzati per indagare sulla violazione: non solo per individuare il chi e il cosa, ma anche il come, in modo che i controlli interni possano essere corretti e i processi migliorati. 9

10 Gli strumenti di reporting sull'attività degli utenti dovrebbero essere in grado di eseguire quanto segue: Monitorare tutti gli elementi: Accessi, in particolare per gli account privilegiati e condivisi, inclusi IP di origine, ID utente originale che accede a un account condiviso, data e ora di accesso e disconnessione Attività dell'account condiviso, fino a risalire all'id utente originale Comandi, immessi tramite linea di comando o GUI Rilevare comportamenti anomali: Individuare attività sospette e generare avvisi Fornire funzionalità di correlazione tra i log, concentrandosi sul collegamento tra attività utente e individuo responsabile, attraverso l'analisi di modelli complessi di log di audit. Indagare sulle violazioni: Dimostrare "chi ha fatto cosa" in un ambiente di account condivisi Fornire strumenti di analisi visuale dei log con capacità di drill-down, che accelerano le indagini sulle attività di utenti e risorse e l'identificazione delle violazioni delle policy In caso di violazione, queste capacità consentiranno a un'organizzazione di comprendere quanto segue: In che modo un hacker è stato in grado di accedere a un account Quali operazioni ha eseguito durante l'utilizzo di tale account e quali danni ha causato Come prevenire attacchi futuri che utilizzano metodi identici o simili Potenzialmente, chi era l'autore dell'attacco e da dove proveniva Quali informazioni comunicare agli enti regolamentari È fondamentale ricordare che i log devono essere protetti anche dagli stessi amministratori. Gli utenti privilegiati possono determinare dove sono memorizzati i log in locale sui sistemi e individuare le policy di auditing utilizzate all'interno dell'organizzazione. In questo modo, avendo accesso completo ai sistemi (in assenza di controlli granulari adeguati), possono coprire le proprie tracce eliminando i record all'interno dei file di log locali. Le organizzazioni dovrebbero conservare i log in una posizione remota, non accessibile da questi utenti privilegiati, e inoltre monitorare eventuali tentativi di eliminare i file di log all'interno dei sistemi locali. Controllo e protezione delle informazioni In una APT, l'obiettivo finale dell'attacco è sottrarre informazioni sensibili; di conseguenza, il controllo sui dati è una componente essenziale per una difesa di successo. Per proteggere i dati sensibili da una APT, l'organizzazione deve tutelare e controllare i dati in quattro stati: Dati in fase di accesso. Tentativo di accesso alle informazioni sensibili da parte di un ruolo non autorizzato. Dati in uso. Informazioni sensibili gestite su workstation o laptop locale. Dati in movimento. Informazioni sensibili trasmesse sulla rete. Dati a riposo. Informazioni sensibili memorizzate in repository come database, file server o sistemi di collaborazione. 10

11 Per raggiungere questo obiettivo, le organizzazioni devono definire policy per applicare il controllo qualora venga rilevato un accesso o un utilizzo improprio dei dati. In caso di violazione delle policy (ad esempio, tentativo di accedere a risorse di proprietà intellettuale, di copiare le informazioni su un'unità USB o di inviarle via ), la soluzione dovrebbe ridurre il danno e generare un avviso. La classificazione delle informazioni è al centro di qualsiasi iniziativa per la sicurezza dei dati. Senza comprendere la natura delle informazioni e la loro posizione, è impossibile implementare un programma completo di protezione dei dati. L'organizzazione deve rilevare e classificare con precisione le informazioni sensibili, in base al loro livello di sensibilità per l'organizzazione medesima. Questo include risorse di proprietà intellettuale, ma anche dati personali, informazioni sanitarie private e altri dati non di dominio pubblico. Una volta che le informazioni sono state classificate correttamente, le policy definite e i controlli implementati, l'organizzazione può monitorare e controllare l'accesso e la gestione di tutte le informazioni sensibili. Questo include azioni dell'utente, dal semplice tentativo di accedere e leggere dati sensibili, alla copia su un dispositivo rimovibile o alla stampa, all'invio via al di fuori della rete, alla rilevazione di dati memorizzati in un archivio, come SharePoint. Sicurezza dell'infrastruttura interna Se la tutela del perimetro della rete, delle identità privilegiate e dei dati è una componente essenziale di una difesa anti-apt profonda, è importante anche proteggere l'infrastruttura IT interna. Oltre a un'architettura di rete e a una segmentazione adeguata, questo include la corretta configurazione e protezione dei singoli server e dispositivi, e dei loro ambienti. Sicurezza imprevista e esternalizzata Gli autori di attacchi definiscono strategie e impiegano tattiche contro le difese di sicurezza note. Inoltre, utilizzano i normali comandi, le funzioni e le utility di sistema operativo per raccogliere informazioni, monitorare il sistema e agire per ampliare il proprio controllo. I professionisti della sicurezza possono utilizzare i presupposti da cui partono gli autori degli attacchi contro di loro, semplicemente aggiungendo al sistema elementi imprevisti. Ad esempio, i file e comandi apparentemente non protetti o controllati dai log di sistema possono essere tutelati e monitorati mediante uno strumento esterno. In effetti, le autorizzazioni che l'autore di un attacco vede non sono necessariamente quelle che vengono applicate. Questo consente all'organizzazione di rilevare la verifica delle autorizzazioni del sistema operativo da parte dell'autore di un attacco, e la sua violazione delle policy esterne, quando i limiti dei permessi vengono messi alla prova. Questa è la ragione fondamentale per cui l'amministrazione della sicurezza dovrebbe essere esternalizzata e separata da quella del sistema operativo. Dopo aver conseguito l'accesso iniziale a un sistema, l'autore di un attacco tipicamente tenterà di ampliare i propri privilegi, al fine di aggirare i controlli del sistema operativo. Mediante questo accesso, darà per scontato di poter bypassare i meccanismi di sicurezza e nascondere le proprie tracce con efficacia. Con una funzione di sicurezza esterna, spesso, è possibile individuare e contenere queste azioni in una fase precoce del processo APT, quando l'autore dell'attacco tenta di acquisire privilegi più elevati, modifica i controlli di sicurezza dei sistemi o esercita privilegi che non gli sono stati concessi. Anche se l'autore di un attacco riesce ad aggirare con successo controlli e log tradizionali a livello di OS, è possibile che venga preso alla sprovvista da processi di rilevazione esterni. In sostanza, l'organizzazione può implementare una policy di controllo degli accessi dietro le quinte, in modo inaspettato e altamente efficace. In aggiunta, i comandi di sistema standard possono essere modificati e alterati. Se gli amministratori rinominano funzioni come "sudo", tutti i tentativi di utilizzare il comando originale possono generare un allarme e portare alla rilevazione precoce di una violazione. 11

12 Hardening dei server Tutti i server che ospitano dati sensibili devono essere configurati in modo da ridurre al minimo il potenziale di compromissione, e di divulgazione dei dati in caso una violazione si verifichi. Questo include: Utilizzo di un firewall software per controllare le comunicazioni in entrata e in uscita, limitazione dei pacchetti per IP di origine, protocollo (ad esempio, SSH, Telnet e così via) e porta TCP; blocco dei protocolli non sicuri (ad esempio, servizi non criptati, come FTP) Blocco delle esecuzioni e delle installazioni di qualsiasi applicazione, tranne quando espressamente specificato ("whitelist"), impedendo così l'exploit dell'esecuzione di codice e l'installazione di software "backdoor" Jailing delle applicazioni. Definire e consentire azioni consentite per applicazioni ad alto rischio e limitare i comportamenti che non rispettino questi limiti. È ad esempio possibile realizzare un ACL basato su un ID logico cui appartengono processi e servizi Oracle, in modo tale che il suo comportamento "limitato" impedisca qualsiasi azione diversa dall'avvio dei servizi DBMS Oracle. Impedire le modifiche ai file di log Attivare il monitoraggio dell'integrità dei file per rilevare le modifiche a file chiave, come quelle realizzate da "root kit" Controllare l'accesso ai file di directory delle applicazioni sensibili (ad esempio, solo l'applicazione paghe può aprire i file relativi alle paghe) Rilevare le modifiche ai file sensibili in tempo reale Uniformare la sicurezza Un problema comune nel computing distribuito è la variabilità delle capacità e della disponibilità dei controlli di sicurezza sulle diverse piattaforme (ad esempio, i controllo di file/directory UNIX sono notevolmente diversi da quelli per Windows). Questo può determinare una serie di problemi di vulnerabilità: Policy di sicurezza che si riferiscono a un modello di sistema, anziché a un modello di sicurezza di business Le policy di sicurezza devono soddisfare le limitazioni relative ai sistemi Errori e omissioni causati dalla complessità aggiunta della gestione della sicurezza Per ottenere una difesa anti-apt completa, è necessario che le configurazioni di sicurezza applicate siano il più possibile uniformi per tutte le piattaforme. Qualsiasi limitazione e incoerenza deve essere compresa e monitorata. È un'altra ragione per la quale le organizzazioni non dovrebbero fare affidamento esclusivamente sulla sicurezza del sistema operativo. Gli strumenti esterni possono fornire una piattaforma universale per l'applicazione di un paradigma di sicurezza tra ambienti diversi, consentendo un approccio alla sicurezza centralizzato, razionalizzato e specifico per il business. Sicurezza della virtualizzazione Il numero di sistemi virtualizzati è salito alle stelle, rendendo gli ambienti virtuali un obiettivo chiave per gli autori di attacchi APT. Gartner riferisce che "Alla metà del 2011, almeno il 40% dei carichi di lavoro delle architetture x86 sono stati virtualizzati su server. Si prevede inoltre che la base installata aumenterà di cinque volte tra il 2010 e il 2015 (con l'aumento del numero dei carichi di lavoro all'interno del mercato e la crescita della penetrazione a oltre il 75%)"

13 Anche l'hypervisor è un obiettivo critico, dato il livello di accesso che può portare con sé. Se l'autore di un attacco compromette l'hypervisor, può ottenere un accesso quasi completo a tutte le macchine virtuali in esecuzione su di esso. Mentre la sicurezza del sistema operativo può impedire accessi diretti e la crittografia proteggere i dati sensibili, queste misure non riusciranno a respingere l'autore di un attacco particolarmente determinato. Chiunque disponga di controllo amministrativo su un hypervisor potrà copiare intere macchine virtuali in un ambiente esterno, nonché aggirare la sicurezza host-based utilizzando metodi brute force o la sovrascrittura di file chiave. Per proteggere gli ambienti virtuali, le organizzazioni devono tornare a concentrarsi sugli amministratori e sull'applicazione del principio del minimo privilegio. In primo luogo, l'accesso agli account hypervisor privilegiati deve essere rigidamente controllato, e tutte le azioni monitorate e registrate. In secondo luogo, così come avviene negli ambienti fisici, le identità hypervisor privilegiate devono essere limitate in modo che possano eseguire solo le azioni necessarie. Ad esempio, un amministratore dell'ambito finanziario dovrebbe essere in grado di accedere solo alle macchine virtuali di proprietà del reparto finanza, e non a quelle dei sistemi HR. In sintesi Nessuno strumento di sicurezza singolo riuscirà a proteggere un'organizzazione da un attacco APT sferrato da un utente determinato, capace, persistente e dotato di risorse. L'obiettivo di qualsiasi strategia di difesa contro le APT consiste nel rendere il più difficile possibile la penetrazione nella rete, limitando la quantità di danni che possono essere causati e la quantità di informazioni che possono essere sottratte in caso di effettiva violazione, e rilevando una violazione il più rapidamente possibile. Il perimetro di sicurezza, pur essendo un componente necessario per impedire la violazione iniziale, non è sufficiente, e fa ben poco per ridurre i danni dopo che si è verificata una violazione. La chiave all'attenuazione dei danni risiede in una combinazione intelligente di gestione delle identità privilegiate, classificazione e controllo dei dati e sicurezza delle infrastrutture. Gli strumenti standard per la gestione delle identità privilegiate possono limitare o concedere l'accesso in base a una serie di regole. Anche se questa capacità è in grado di fornire un'adeguata separazione dei compiti, resta una soluzione intrinsecamente rigida. I privilegi possono modificarsi nel tempo, con il cambiamento dei ruoli, ma questa è una soluzione essenzialmente passiva. La "content-awareness" si rende necessaria per aprire la strada a una nuova generazione di difese attive contro le APT. Questo significa integrare l'intelligence sui dati in ogni decisione presa per stabilire se accettare una richiesta. Il tutto dovrebbe avvenire attraverso il riconoscimento e la comprensione dei modelli relativi agli accessi e all'uso dei dati. È opportuno, ad esempio, rilevare gli elementi seguenti: Cambiamenti nell'accesso ai tipi di dati. Un amministratore, che accede costantemente a dati di un tipo specifico (ad esempio, documentazione operativa), richiede accesso a informazioni finanziarie riservate o dati sui clienti Cambiamenti nell'utilizzo dei dati. Un amministratore, che accede in genere a dati sensibili tramite una specifica applicazione con accesso in sola lettura, richiede di esportare i dati su un hard disk esterno, chiavetta USB o via Cambiamenti nel volume dei dati. Un amministratore, che accede a 100 MB di dati sensibili ogni settimana, richiede accesso a 500 GB nello stesso periodo Cambiamenti nella frequenza di accesso ai dati. Un amministratore, che accede a dati altamente confidenziali una volta al mese, improvvisamente esegue l'accesso gli stessi dati con frequenza giornaliera 13

14 Nessuno di questi cambiamenti di per sé indica una violazione; tuttavia, essi rappresentano effettivamente una modifica del comportamento. Nella valutazione di una richiesta di accesso, un sistema che controlla in modo intelligente l'accesso degli utenti privilegiati dovrebbe considerare tutti questi fattori. Questa intelligence sui dati può essere utilizzata per negare l'accesso alle risorse in tempo reale o per consentirlo, ma generando un avviso che evidenzia l'attività sospetta. Sezione 3: Vantaggi Ridurre il rischio prima di tutto. Le organizzazioni prese di mira da una minaccia avanzata persistente si trovano ad avere a che fare con tipi diversi di danni. Gli autori di attacchi possono sottrarre risorse di proprietà intellettuale e documenti strategici, con potenziali ripercussioni sulla competitività. La sottrazione di dati dei clienti può portare a reazioni negative da parte di questi ultimi, danni alla reputazione e azioni legali. Il furto di dati sanitari privati o documenti finanziari può generare problemi di conformità normativa. Un vantaggio indiretto di un programma olistico alla difesa contro le minacce avanzate persistenti è il fatto che consente di proteggere l'organizzazione dalle altre minacce, dagli attacchi esterni automatizzati alle minacce interne. Molte delle tecniche impiegate per ridurre il danno causato dalle APT consentono anche di limitare l'accesso consentito agli account interni, amministratori inclusi. Limitando l'accesso e applicando la separazione delle funzioni anche per gli utenti privilegiati, l'organizzazione si tutela dalle cattive intenzioni di un amministratore o altro utente interno. La particolarità di questo approccio è che non richiede conoscenze specifiche delle vulnerabilità e dei nuovi exploit, e che non si basa sulla difesa perimetrale. Utilizzando queste tecniche, le aziende possono applicare un modello di sicurezza, e consentire o negare le operazioni in base a regole di business, sensibilità dei dati e comportamenti anomali. Poiché questo modello può essere applicato in modo uniforme su piattaforme diverse e può essere separato dalla sicurezza del sistema operativo, è in grado di fornire un mezzo efficace per difendersi dalle ATP e per individuare precocemente gli attacchi. Sezione 4: Conclusioni In proporzione, gli attacchi mirati stanno aumentando. Le violazioni dirette ad aziende come RSA sono state oggetto di ampia pubblicità e avranno conseguenze di vasta portata, per la reputazione e per i profitti. Il concetto di difesa profonda non è nuovo, ma rappresenta un aspetto fondamentale di qualsiasi programma di sicurezza. La novità è rappresentata dall'attenzione alla protezione delle identità privilegiate interne, al fine di evitare danni da parte di estranei. Dato che il perimetro della rete non è più il bastione di sicurezza di un tempo, l'identità è diventata ancora più fondamentale. In sostanza, "l'identità è il nuovo perimetro". 14

15 Quando si utilizza l'identità per proteggersi contro le minacce interne ed esterne, come le APT, la "content-awareness" dovrebbe essere un requisito fondamentale. Utilizzando l'intelligence sui dati come parte di ogni decisione di accesso, le moderne organizzazioni possono comprendere meglio i rischi associati a ogni azione eseguita da un utente. Le richieste di accesso ai dati sensibili possono essere analizzate e comprese all'interno di un contesto più ampio che mai. Invece di basarsi su regole fisse per consentire o bloccare determinate azioni, i dati possono essere utilizzati per tracciare un quadro più chiaro delle attività degli utenti. Per aiutare la vostra organizzazione ad acquisire un vantaggio in relazione alla difesa contro gli attacchi mirati, è essenziale fare della gestione privilegiata delle identità e della content-awareness due fondamenti del programma di sicurezza. Sezione 5: Riferimenti 1 Ponemon Institute Cost of Data Breach Study: United States: content/en/us/about/media/pdfs/b-ponemon-2011-cost-of-data-breach-us.en-us.pdf NIST Special Publication Revision 1, Guide for Conducting Risk Assessments, gov/publications/drafts/ rev1/sp rev1-ipd.pdf 4 "Advanced Persistent Threat", Wikipedia, 5 Verizon, 2012 Data Breach Investigations Report: reports/rp_data-breach-investigations-report-2012_en_xg.pdf Verizon, 2012 Data Breach Investigations Report: reports/rp_data-breach-investigations-report-2012_en_xg.pdf 10 Gartner Inc., Magic Quadrant for x86 Server Virtualization Infrastructure, Thomas Bittman, George J. Weiss, Mark A. Margevicius and Philip Dawson, 30 giugno 2011 Gartner non promuove alcun fornitore, prodotto o servizio illustrato nelle pubblicazioni di ricerca, né consiglia agli utenti del settore tecnologico di scegliere solo i fornitori con la valutazione migliore. Le pubblicazioni delle ricerche di Gartner consistono in opinioni dell'organizzazione di ricerca di Gartner e non devono essere considerate come dichiarazioni di fatto. Gartner esclude tutte le garanzie, esplicite o implicite, in riferimento alla presente ricerca, comprese le garanzie di commerciabilità o idoneità per uno scopo particolare. 15

16 Sezione 6: Informazioni sull'autore Russell Miller opera da oltre cinque anni nel settore della sicurezza di rete, in ruoli che vanno dall'ethical hacking al marketing di prodotto. Attualmente gestisce il marketing per i prodotti dedicati alla sicurezza della virtualizzazione e alla gestione delle identità privilegiate di CA ControlMinder TM. Russell ha conseguito un BA in Computer Science presso il Middlebury College e un MBA presso la Sloan School of Management del MIT. CA Technologies è un'azienda di soluzioni e software di gestione IT con esperienza e competenze in tutti gli ambienti IT, dagli ambienti mainframe e distribuiti fino a quelli virtuali e cloud. CA Technologies gestisce e protegge gli ambienti IT e consente ai clienti di fornire servizi informatici più flessibili. I prodotti e i servizi innovativi di CA Technologies offrono alle organizzazioni IT la visibilità e il controllo essenziali per stimolare l'agilità del business. La maggior parte delle aziende Global Fortune 500 si affida a CA Technologies per la gestione degli ecosistemi IT in continua evoluzione. Per ulteriori informazioni, visitare il sito CA Technologies all'indirizzo Copyright 2012 CA Technologies. Tutti i diritti riservati. Microsoft, SharePoint e Windows sono marchi o marchi registrati di Microsoft Corporation negli Stati Uniti e/o in altri Paesi. Linux è un marchio registrato di Linus Torvalds negli Stati Uniti e in altri Paesi. UNIX è un marchio registrato di The Open Group. Tutti i marchi, le denominazioni sociali, i marchi di servizio e i logo citati in questa pubblicazione sono di proprietà delle rispettive società. Il presente documento ha esclusivamente scopi informativi. CA Technologies declina ogni responsabilità in relazione all'accuratezza e alla completezza delle presenti informazioni. Nella misura consentita dalle leggi applicabili, CA Technologies rende disponibile questo documento "così com'è" senza garanzie di alcun tipo incluse, a titolo esemplificativo ma non esaustivo, le garanzie implicite di commerciabilità, idoneità a un determinato scopo e non violazione di diritti altrui. In nessun caso CA sarà ritenuta responsabile per perdite o danni, diretti o indiretti, derivanti dall'utilizzo del presente documento, ivi inclusi, in via esemplificativa e non esaustiva, perdite di profitti, interruzioni di attività, perdita del valore di avviamento o di dati, anche nel caso in cui CA venga espressamente informata in anticipo del possibile verificarsi di tali danni. CS2548_0712