Che cos'è un attacco informatico?

Le motivazioni alla base degli attacchi informatici possono variare, ma ci sono tre categorie principali di attacchi: 

1. Criminali
2. Politici 
3. Personali

Gli autori degli attacchi con motivazioni criminali cercano di ottenere soldi attraverso il furto di denaro, il furto di dati o interruzioni del business. I criminali informatici possono introdursi in un conto bancario per sottrarre direttamente il denaro o utilizzare truffe di ingegneria sociale per indurre le persone a inviare loro denaro. Gli hacker possono rubare i dati e utilizzarli per commettere furti di identità, venderli sul dark web o per chiedere un riscatto.

L'estorsione è un'altra tattica molto utilizzata. Gli hacker possono utilizzare ransomware, attacchi DdoS o altre tattiche per tenere i dati o i dispositivi in ostaggio fino a quando l'azienda colpita non decide di pagare. Tuttavia, secondo il più recente X-Force Threat Intelligence Index, il 32% degli incidenti informatici ha comportato il furto e la vendita di dati piuttosto che la crittografia a scopo di estorsione.

Gli autori degli attacchi con motivazioni personali, ad esempio dipendenti scontenti, cercano principalmente ritorsioni per qualche offesa percepita. Potrebbero sottrarre denaro, rubare dati riservati o interrompere i sistemi di un'azienda.

Gli autori degli attacchi con motivazioni politiche sono spesso legati alla guerra informatica, al terrorismo informatico o all'“hacktivismo”. Nella guerra informatica, gli attori statali spesso prendono di mira le agenzie governative o le infrastrutture critiche dei loro nemici. Ad esempio, dall'inizio della guerra tra Russia e Ucraina, entrambi i paesi hanno subito un'ondata di attacchi informatici contro istituzioni vitali (link esterno a ibm.com). Gli hacker attivisti, chiamati “hacktivisti”, potrebbero non causare grossi danni ai loro bersagli. In genere cercano semplicemente di attirare l'attenzione sulle loro cause, rendendo noti al pubblico i loro attacchi.

Motivazioni meno comuni degli attacchi informatici includono lo spionaggio aziendale, in cui gli hacker sottraggono proprietà intellettuale per ottenere un vantaggio sleale sui concorrenti, e gli hacker vigilanti, che sfruttano le vulnerabilità di un sistema per avvisare gli altri della loro esistenza. Alcuni hacker operano per divertimento, traendo piacere dalla sfida intellettuale.

Gli attacchi informatici possono essere lanciati da organizzazioni criminali, attori statali e privati. Un modo per classificare gli attori delle minacce è classificarli come minacce esterne o come minacce interne.

Le minacce esterne sono utenti che cercano di ottenere l'accesso non autorizzato a reti o dispositivi. Gli attori delle minacce informatiche esterne includono gruppi criminali organizzati, hacker professionisti, attori finanziati dallo Stato, hacker dilettanti e hacktivisti.

Le minacce interne sono utenti che hanno un accesso autorizzato e legittimo alle risorse di un'azienda e abusano dei loro privilegi deliberatamente o accidentalmente. Questa categoria include dipendenti, partner commerciali, clienti, appaltatori e fornitori con accesso al sistema.

Sebbene un utente poco attento possa mettere a rischio la propria azienda, si può parlare di vero e proprio attacco informatico solo se l'utente utilizza intenzionalmente i propri privilegi per svolgere attività dannose. Un dipendente che archivia con noncuranza informazioni sensibili in un'unità non protetta non sta commettendo alcun attacco informatico; al contrario, un dipendente scontento che crea consapevolmente copie di dati riservati per guadagno personale sì. 

Gli attori delle minacce in genere irrompono nelle reti di computer perché cercano qualcosa di specifico. Gli obiettivi più comuni includono:

• Soldi
• Dati finanziari delle aziende
• Elenchi dei clienti
• Dati dei clienti, incluse informazioni che permettono l'identificazione personale (PII) o altri dati personali sensibili
• Indirizzi e-mail e credenziali di accesso
• Proprietà intellettuale, come segreti commerciali o progetti di prodotti

In alcuni casi, gli autori degli attacchi non intendono rubare nulla. Piuttosto, desiderano semplicemente interrompere i sistemi informatici o le infrastrutture IT per danneggiare un'azienda, un'agenzia governativa o un altro obiettivo. 

I criminali informatici utilizzano diversi strumenti e tecniche sofisticate per avviare attacchi informatici contro sistemi IT aziendali, computer personali e altri obiettivi. Alcuni dei tipi più comuni di attacchi informatici includono:

Il malware è un software intenzionalmente dannoso che può rendere inutilizzabili i sistemi infetti. Il malware può distruggere dati, sottrarre informazioni o persino cancellare file critici per l'esecuzione del sistema operativo. Il malware è presente in molte forme:

• I Trojan horse si mascherano da programmi utili o si nascondono all'interno di un software legittimo per indurre gli utenti a installarli. Un Trojan di accesso remoto (RAT) crea una backdoor segreta sul dispositivo della vittima, mentre un Trojan dropper installa un ulteriore malware una volta che ha acquisito un punto d'appoggio.
  
  
• Il ransomware è un malware sofisticato che utilizza una crittografia complessa per tenere in ostaggio dati o sistemi. I criminali informatici richiedono quindi il pagamento in cambio della liberazione del sistema e del ripristino della funzionalità. Secondo l'X-Force Threat Intelligence Index di IBM, il ransomware è il secondo tipo di attacco informatico più comune, coinvolto nel 17% degli attacchi.
  
  
• Lo scareware utilizza messaggi falsi per spaventare le vittime, inducendole a scaricare malware o trasferire informazioni sensibili a un truffatore.
  
  
• Lo spyware è un tipo di malware che raccoglie segretamente informazioni sensibili, come nomi utente, password e numeri di carta di credito. Queste informazioni vengono poi inviate all'hacker.
  
  
• I rootkit sono pacchetti di malware che consentono agli hacker di ottenere l'accesso come amministratore al sistema operativo di un computer o ad altre risorse.
  
  
• I worm sono codici dannosi autoreplicanti che possono diffondersi automaticamente tra app e dispositivi. 

Gli attacchi di ingegneria sociale manipolano le persone per indurle a compiere azioni improprie, ad esempio condividere informazioni che non dovrebbero condividere, scaricare software che non dovrebbero scaricare o inviare denaro ai criminali.

Il phishing è uno degli attacchi di ingegneria sociale più pervasivi. Secondo il report Cost of a Data Breach, si tratta della seconda causa più comune di violazione. Le truffe di phishing più elementari utilizzano e-mail o messaggi di testo falsi per appropriarsi delle credenziali degli utenti, estrapolare dati riservati o diffondere malware. I messaggi di phishing sono spesso progettati per sembrare provenienti da una fonte legittima. Di solito inducono la vittima a fare clic su un collegamento ipertestuale che la indirizza a un sito web dannoso o ad aprire un allegato e-mail che si rivela essere un malware.

I criminali informatici hanno sviluppato altri metodi di phishing più sofisticati. Lo spear phishing è un attacco altamente mirato che mira a manipolare un individuo specifico, spesso utilizzando i dettagli dei profili pubblici dei social media della vittima per rendere lo stratagemma più convincente. Il whale phishing è un tipo di spear phishing che prende di mira specificamente i funzionari aziendali di alto livello. In una truffa BEC (Business E-mail Compromise), i criminali informatici si fingono dirigenti, venditori o altri soci in affari per indurre le vittime a trasferire denaro o a condividere dati riservati. 

Gli attacchi denial-of-service (DoS) e distributed denial-of-service (DDoS) ingolfano le risorse di un sistema con un traffico fraudolento. Questo traffico sovraccarica il sistema, impedendo risposte a richieste legittime e riducendo le prestazioni del sistema. Un attacco denial-of-service può essere fine a se stesso o la preparazione per un altro attacco.

La differenza tra attacchi DoS e attacchi DDoS è semplicemente che gli attacchi DoS utilizzano un'unica fonte per generare traffico fraudolento, mentre gli attacchi DDoS utilizzano ne utilizzano molteplici. Gli attacchi DDoS vengono spesso eseguiti con una botnet, una rete di dispositivi connessi a Internet e infettati da malware sotto il controllo di un hacker. Le botnet possono includere laptop, smartphone e dispositivi IoT (Internet of Things). Le vittime spesso non sanno quando una botnet ha violato i loro dispositivi.

Le compromissioni dell'account includono qualsiasi attacco in cui un hacker prende il controllo dell'account di un utente legittimo per attività dannose. I criminali informatici possono violare l'account di un utente in diversi modi: ad esempio possono sottrarre credenziali tramite attacchi di phishing o acquistare database di password rubate dal dark web; possono utilizzare strumenti per attaccare le password, come Hashcat e John the Ripper, per decifrare le password oppure mettere in atto attacchi brute force, in cui eseguono script automatizzati o bot per generare e testare potenziali password finché non trovano quella giusta.

In un attacco man-in-the-middle (MiTM), chiamato anche “attacco di intercettazione”, un hacker intercetta segretamente le comunicazioni tra due persone o tra un utente e un server. Gli attacchi MitM vengono comunemente eseguiti tramite reti Wi-Fi pubbliche non protette, dove è relativamente facile per gli attori delle minacce spiare il traffico.

Gli hacker possono leggere le e-mail di un utente o addirittura alterarle segretamente prima che raggiungano il destinatario. In un attacco di sottrazione di sessione, l'hacker interrompe la connessione tra un utente e un server che ospita asset importanti, come un database aziendale riservato. L'hacker scambia il proprio indirizzo IP con quello dell'utente, facendo credere al server che si tratti di un utente legittimo connesso a una sessione legittima. In questo modo, l'hacker è completamente libero di sottrarre dati o provocare danni. 

Gli attacchi alla supply chain sono attacchi informatici in cui gli hacker violano un'azienda prendendo di mira i suoi fornitori di software, di materiali e di altri servizi. Poiché i fornitori sono spesso in qualche modo connessi alle reti dei loro clienti, gli hacker possono utilizzare la rete del fornitore come vettore di attacco per accedere a più obiettivi contemporaneamente.

Ad esempio, nel 2020, degli attori statali russi hanno attaccato il fornitore di software SolarWinds e distribuito malware ai propri clienti con il pretesto di un aggiornamento software (link esterno a ibm.com). Il malware ha permesso alle spie russe di accedere ai dati riservati di varie agenzie governative statunitensi utilizzando i servizi di SolarWinds, tra cui il Tesoro, la Giustizia e i Dipartimenti di Stato. 

Le organizzazioni possono ridurre gli attacchi informatici implementando sistemi e strategie di cybersecurity. La cybersecurity è la pratica di proteggere i sistemi critici e le informazioni sensibili dagli attacchi digitali utilizzando una combinazione di tecnologia, persone e processi. 

Molte organizzazioni implementano una strategia di gestione delle minacce per identificare e proteggere gli asset e le risorse più importanti. La gestione delle minacce può includere diverse politiche e soluzioni di sicurezza, come quelle di seguito.

• Le piattaforme e le politiche di gestione delle identità e degli accessi (IAM) , tra cui l'accesso con minori privilegi, l'autenticazione a più fattori e politiche solide per le password, possono aiutare a garantire che solo le persone autorizzate abbiano accesso alle risorse pertinenti. Le aziende potrebbero anche richiedere ai dipendenti da remoto di utilizzare reti private virtuali (VPN) quando accedono a risorse sensibili tramite Wi-Fi non protetto.
   
• Una piattaforma completa per la sicurezza dei dati e strumenti di prevenzione della perdita di dati (DLP) possono crittografare i dati riservati, monitorarne l'accesso e l'utilizzo e inviare avvisi quando vengono rilevate attività sospette. Le organizzazioni possono inoltre eseguire data backup regolari per ridurre al minimo i danni in caso di violazione.
  
  
• I firewall possono aiutare a impedire innanzitutto agli autori delle minacce di accedere alla rete. I firewall possono anche bloccare il traffico dannoso che esce dalla rete, ad esempio malware che tentano di comunicare con un server di comando e controllo.
   
• La formazione sulla sicurezza può aiutare gli utenti a identificare ed evitare alcuni dei vettori di attacco informatico più comuni, come il phishing e altri attacchi di ingegneria sociale.
  
  
• Le politiche di gestione delle vulnerabilità, tra cui i programmi di gestione delle patch e i test di penetrazione regolari, possono aiutare a individuare e risolvere le vulnerabilità prima che gli hacker possano sfruttarle.
  
  
• Gli strumenti di gestione della superficie di attacco (ASM) possono identificare, catalogare e correggere gli asset potenzialmente vulnerabili prima che gli aggressori informatici li trovino.
  
  
• Gli strumenti di unified endpoint management (UEM) possono applicare politiche e controlli di sicurezza a tutti gli endpoint della rete aziendale, tra cui laptop, desktop e dispositivi mobili.

È impossibile prevenire tutti i tentativi di attacco informatico, pertanto le organizzazioni possono anche adoperare il monitoraggio continuo della sicurezza e processi di rilevamento precoce per identificare e segnalare gli attacchi informatici in corso. Ecco alcuni esempi:

• I sistemi di gestione delle informazioni e degli eventi di sicurezza (SIEM) centralizzano e tengono traccia degli avvisi di vari strumenti interni di cybersecurity, tra cui sistemi di rilevamento delle intrusioni (IDS), sistemi di rilevamento e risposta degli endpoint (EDR) e altre soluzioni di sicurezza.
  
  
• Le piattaforme di threat intelligence arricchiscono gli avvisi di sicurezza per aiutare i team addetti alla sicurezza a conoscere i tipi di minacce alla cybersecurity che potrebbero dover affrontare.
  
  
• I software antivirus possono scansionare regolarmente i sistemi informatici alla ricerca di programmi dannosi ed eliminare automaticamente i malware identificati.
  
  
• I processi proattivi di individuazione delle minacce possono rintracciare le minacce informatiche segretamente in agguato nella rete, come le minacce persistenti avanzate (Advanced Persistent Threat, APT).

Le organizzazioni possono anche adottare misure per garantire una risposta adeguata agli attacchi informatici in corso e ad altri eventi di sicurezza informatica. Ecco alcuni esempi:

• I piani di risposta agli incidenti possono aiutare a contenere ed eliminare vari tipi di attacchi informatici, ripristinare i sistemi interessati e analizzare le cause principali per prevenire attacchi futuri. È dimostrato che i piani di risposta agli incidenti riducono i costi complessivi degli attacchi informatici. Secondo il report Cost of a Data Breach, le organizzazioni con team e piani formali di risposta agli incidenti riducono i costi delle violazioni con una media del 58%.
  
  
• Le soluzioni di orchestrazione della sicurezza, automazione e risposta (SOAR) possono consentire ai team addetti alla sicurezza di coordinare diversi strumenti di sicurezza in playbook parzialmente o completamente automatizzati per rispondere agli attacchi informatici in tempo reale.
  
  
• Le soluzioni di rilevazione e risposta estese (XDR) integrano strumenti e operazioni di sicurezza in tutti i livelli di sicurezza: utenti, endpoint, e-mail, applicazioni, reti, carichi di lavoro cloud e dati. Le soluzioni XDR possono aiutare ad automatizzare complessi processi di prevenzione, rilevamento, indagine e risposta agli attacchi informatici, inclusa l'individuazione proattiva alle minacce.