Una risposta semplice a domande importanti sulla Cyber Security.
CyberFAQ
Non esiste una tipologia specifica di criminale informatico, e anche le finalità dei reati possono essere molteplici.
Alcuni esempi:
Criminali (organizzati): interesse finanziario (ad esempio tramite estorsione);
Collaboratori (o ex-collaboratori): vendetta, intento distruttivo;
Servizi segreti: spionaggio (economico), sabotaggio;
Concorrenti: spionaggio economico;
Attivisti: intento distruttivo, motivazioni religiose o idealistiche;
Script kiddie: notorietà, intento distruttivo.
Negli ultimi anni i malfattori sono divenuti sempre più professionali: suddivisione dei compiti, «crime as a service» (servizi criminali) e crimine organizzato sono ormai all’ordine del giorno.
I moderni panorami informatici sono complessi ed esposti a una grande varietà di possibili attacchi.
Ecco di seguito una breve lista non esaustiva:
Denial-of-service (DoS) and distributed denial-of-service (DDoS) attacks;
Man-in-the-middle (MitM) attack;
Phishing and spear phishing attacks;
Drive-by attack;
Password attack;
SQL injection attack;
Cross-site scripting (XSS) attack;
Eavesdropping attack;
Birthday attack;
Malware attack.
Per riuscire a difenderci, dobbiamo conoscere bene gli attacchi. Qui abbiamo elencato solo i 10 attacchi più comuni di sicurezza informatica che gli hacker utilizzano per bloccare e compromettere i sistemi informatici.
Come puoi vedere, gli aggressori hanno molte opzioni, come gli attacchi DDoS, l’infezione da malware, l’intercettazione man-in-the-middle e indovinare le password con la modalità brute-force, per cercare di ottenere un accesso non autorizzato alle infrastrutture critiche e ai dati sensibili.
Le misure per mitigare queste minacce variano, ma le basi della sicurezza rimangono le stesse: mantenete aggiornati i vostri sistemi e utilizzate sistemi di protezione endpoint di nuova generazione, formate i vostri dipendenti, configurate il vostro firewall per mettere in whitelist solo le porte e gli host specifici di cui avete bisogno, mantenete forti le vostre password, usate un modello di minimo privilegio nel vostro ambiente IT, fate backup regolari, prevedete un sistema di disaster recovery e controllate continuamente i vostri sistemi IT alla ricerca di eventuali attività sospette.
Una gestione ben concepita della sicurezza delle informazioni punta su vari aspetti, ad esempio:
Creare consapevolezza e destare l’attenzione per i temi della sicurezza delle informazioni e della protezione dei dati (awareness) presso i collaboratori;
Trattamento e salvataggio solo dei dati cliente davvero necessari;
Sistemi IT sicuri;
Avviare un percorso continuo di "Controllo" e "Remediation".
Gli attacchi hacker possono causare danni di diverso tipo, e la loro gravità può variare notevolmente.
I danni vanno dall’interruzione del processo aziendale, al danno di immagine o a trasferimenti di denaro fino alla diffusione di informazioni confidenziali.
I costi provocati sono di vario tipo:
per la perdita di fatturato dovuta all’interruzione di esercizio;
per le perdite finanziarie dirette;
per l’individuazione della causa (analisi forense);
per il ripristino dei sistemi e/o dei dati;
per le campagne di immagine e le public relation;
per le informazioni e le comunicazioni destinate alla clientela;
per i danni arrecati a terzi a seguito del furto dei dati delle carte di credito.
Può essere prevenuto utilizzando credenziali univoche per ogni tipo si servizio/sito, ed evitando di fornire informazioni riservate online.
Solo i siti Web attendibili o protetti devono essere utilizzati per la prenotazione e lo shopping;
Cerca sempre di utilizzare i browser Web più recenti e sicuri;
Computer o sistemi devono essere protetti con strumenti antivirus e aggiornare periodicamente sia il sistema operativo che tutti i suoi software.
La sicurezza in un ambiente di lavoro a distanza può essere gestita utilizzando VPN, proteggendo i dispositivi utilizzati per lavorare da remoto e fornendo formazione sulla sicurezza ai dipendenti.
Le VPN (Virtual Private Network) consentono di creare una connessione sicura tra un dispositivo remoto e la rete aziendale, proteggendo i dati durante il trasferimento. È importante anche proteggere i dispositivi utilizzati per lavorare da remoto, ad esempio utilizzando un software di sicurezza e tenendoli aggiornati.
La formazione sulla sicurezza ai dipendenti include l'istruzione su come riconoscere e evitare le minacce informatiche, come le email di phishing.
La crittografia è un metodo per proteggere i dati mediante l'utilizzo di algoritmi per rendere illeggibili i dati a chi non è autorizzato ad accedervi. Viene utilizzata per proteggere informazioni sensibili, come password, dati finanziari e informazioni personali. Esistono diversi metodi di crittografia tra cui la crittografia simmetrica e asimmetrica. La prima utilizza la stessa chiave per cifrare e decifrare i dati mentre la seconda utilizza una chiave pubblica per cifrare e una chiave privata per decifrare.
I cyber criminali utilizzano principalmente attacchi di phishing, malware, exploit di vulnerabilità e attacchi DDoS per compromettere le reti aziendali.
L'attacco di phishing consiste nel tentativo di ottenere informazioni personali o dati sensibili attraverso l'utilizzo di email fraudolente.
Il malware consiste in un software dannoso intenzionalmente installato su un sistema per causare danni.
Gli exploit di vulnerabilità consistono nell'utilizzo di una vulnerabilità del sistema per accedere ai dati.
L'attacco DDoS consiste nell'invio di un'alta quantità di richieste al server per rendere il sito non disponibile.
I passi più importanti per proteggere un'azienda dalle minacce informatiche sono la formazione degli utenti, la protezione dei sistemi e dei dati, la monitoraggio continuo della rete e la preparazione per gli incidenti di sicurezza. La formazione degli utenti consiste nell'istruire i dipendenti su come riconoscere e evitare le minacce informatiche.
La protezione dei sistemi e dei dati consiste nell'utilizzo di software di sicurezza come antivirus e firewall. Il monitoraggio continuo della rete consiste nell'utilizzo di strumenti per rilevare attività sospette e la preparazione per gli incidenti di sicurezza consiste nell'avere piani d'emergenza in caso di attacco.
L'intelligenza artificiale può essere utilizzata per aumentare la sicurezza informatica attraverso la prevenzione degli attacchi, la rilevazione delle minacce e la gestione degli incidenti di sicurezza. L'IA può essere utilizzata per analizzare i dati di rete e identificare attività sospette, prevenendo gli attacchi. Può anche essere utilizzata per rilevare minacce in tempo reale e prendere decisioni in modo autonomo per mitigare le minacce. Inoltre, può essere utilizzata per automatizzare la gestione degli incidenti di sicurezza, riducendo i tempi di risposta e migliorando l'efficacia della gestione degli incidenti.
Gli incidenti di sicurezza informatica possono essere gestiti attraverso una pianificazione efficace, la formazione degli utenti e la preparazione per gli incidenti.
La pianificazione efficace include la creazione di piani di emergenza per gestire gli incidenti e l'identificazione degli stakeholder chiave per la gestione degli incidenti.
La formazione degli utenti include l'istruzione su come riconoscere e segnalare gli incidenti di sicurezza.
La preparazione per gli incidenti include la creazione di un team di risposta agli incidenti, la definizione di procedure e la raccolta di strumenti per la gestione degli incidenti.
Formare il personale mediante corsi di Awarness;
Prestare attenzione agli allegati di posta elettronica, evitando di abilitare le macro. Anche qualora l'allegato sia atteso e il mittente sembri essere noto è bene prevedere una scansione antivirus dello stesso;
Aggiornare regolarmente il software antivirus con le definizioni utili per il riconoscimento del malware;
Assicurarsi di applicare patch a software e sistemi operativi;
Cambiare sempre le credenziali di default prima di utilizzare un prodotto;
Eseguire backup regolari e frequenti;
Effettuare backup multipli e archiviarli su dispositivi opportunamente segregati, conservandone almeno una copia off-line;
Testare regolarmente i processi di backup per assicurarsi che siano funzionali;
Segmentare la rete per tentare di contrastare il movimento laterale in un possibile attacco;
Implementare una piattaforma di sicurezza XDR, possibilmente gestita da un SOC 24/7.
Condurre Vulnerability Assessment e Penetration Test periodici al fine di mitigare eventuali vulnerabilità presenti nei sistemi informatici;
Ingaggiare un SOC 24/7 per il monitoraggio costante dell'infrastuttura e degli asset presenti in essa;
Utilizzare piattaforme di Threat Intelligence, possibilmente integrandole con i vari dispositivi di sicurezza presenti (Siem, Firewall, Edr, Xdr, Soar ecc...), al fine di anticipare e bloccare eventuali attacchi.
Per Darkweb si intede una piccola porzione di web non indicizzato, che si può considerare un sottoinsieme del Deep Web. Stando alle stime dei ricercatori della Nasa, conta decine di migliaia di indirizzi URL: pochi se confrontati alla grandezza della Rete che conta trilioni di URL.
Il Dark Web si compone di pagine con un dominio .onion, che sono ospitate su dei server utilizzando il protocollo Tor, sviluppato in origine dal dipartimento di difesa statunitense per consentire comunicazioni anonime e sicure. Nel 2004 è diventato di dominio pubblico ed è un buon strumento per proteggere la privacy. Da allora, però, al suo interno è cresciuto anche il mercato nero: è possibile trovare droga, armi, persino affittare dei killer per uccidere qualcuno.
Per Phishing si intende un attacco informatico avente, generalmente, l’obiettivo di carpire informazioni sensibili (userid, password, numeri di carte di credito, PIN) con l’invio di false email generiche a un gran numero di indirizzi.
Le e-mail sono congegnate per convincere i destinatari ad aprire un allegato o ad accedere a siti web fake. Il phisher utilizza i dati carpiti per acquistare beni, trasferire somme di denaro o anche solo come “ponte” per ulteriori attacchi.