Data di pubblicazione: 27 ottobre 2023
Per sicurezza informatica si intende qualsiasi tecnologia, misura o pratica diretta a prevenire gli attacchi informatici o mitigarne l'impatto.
Essa mira a proteggere i sistemi, le applicazioni, i dispositivi informatici, i dati sensibili e le risorse finanziarie di singoli individui e organizzazioni da virus informatici, attacchi ransomware sofisticati e costosi, e non solo.
Gli attacchi informatici hanno il potere di pregiudicare l'operatività di un'azienda, di danneggiarla o addirittura farla fallire. Il costo sostenuto da chi ne è vittima continua ad aumentare. Ad esempio, secondo il rapporto Cost of a Data Breach 2023 di IBM,
- il costo medio di una violazione dei dati nel 2023 è stato di 4,45 milioni di dollari, con un aumento del 15% rispetto agli ultimi tre anni;
- il costo medio di una violazione dei dati legata a episodi di ransomware nel 2023 è stato ancora più elevato, pari a 5,13 milioni di dollari. Questo numero non include i costi legati al pagamento di eventuali riscatti, che è stato in media di 1.542.333 dollari, con un aumento dell'89% rispetto all'anno precedente.
Secondo una stima, la criminalità informatica potrebbe costare all'economia mondiale 10,5 trilioni di dollari all'anno entro il 2025 (il link risiede al di fuori di ibm.com).1
Le tendenze in espansione della tecnologia dell'informazione (IT) degli ultimi anni includono:
- un aumento dell'adozione del cloud computing,
- della complessità della rete,
- del lavoro da remoto/da casa,
- dei programmi Bring Your Own Device (BYOD),
- e di dispositivi e sensori connessi, dai semplici campanelli di casa fino alle automobili e alle catene di montaggio.
Tutte queste tendenze creano enormi vantaggi in termini di business e grandi progressi sotto il profilo umano, ma offrono anche esponenzialmente più opportunità di attacco per i criminali informatici.
Forse non sorprende che da uno studio recente emerge che nel settore della cybersecurity la carenza di manodopera, vale a dire il divario esistente tra posti vacanti e posti occupati, era di 3,4 milioni in tutto il mondo.2 Ridotti all'osso, i team di sicurezza si concentrano sullo sviluppo di strategie di cybersecurity complete che sfruttano strumenti avanzati di analytics, intelligenza artificiale e automazione per combattere le minacce informatiche in modo più efficace e ridurre al minimo l'impatto degli attacchi quando si verificano.
L'X-Force Threat Intelligence Index offre nuove informazioni sulle principali minacce per aiutarti a prepararti e rispondere più rapidamente ad attacchi informatici, estorsioni e altro ancora.
Registrati per il report Cost of a Data Breach
Una solida strategia di sicurezza informatica protegge tutti gli ambiti o livelli rilevanti dell’infrastruttura IT da criminalità e minacce informatiche.
La sicurezza delle infrastrutture critiche protegge sistemi informatici, applicazioni, reti, dati e asset digitali da cui una società dipende per la sicurezza nazionale, la salute dell'economia e la sicurezza pubblica. Negli Stati Uniti, il National Institute of Standards and Technology (NIST) ha sviluppato un framework di sicurezza informatica per aiutare i provider IT in questa area. La Cybersecurity and Infrastructure Security Agency (CISA), appartenente all'US Department of Homeland Security, fornisce ulteriori indicazioni.
La sicurezza di rete impedisce l'accesso non autorizzato alle risorse di rete, e rileva e blocca gli attacchi informatici e le violazioni in corso. Allo stesso tempo, aiuta a garantire che gli utenti autorizzati abbiano un accesso sicuro e tempestivo alle risorse di rete di cui hanno bisogno.
Gli endpoint, ovvero server, desktop, laptop, dispositivi mobili, rimangono il punto di accesso principale per gli attacchi informatici. La sicurezza degli endpoint protegge dagli attacchi tali dispositivi e i rispettivi utenti oltre a salvaguardare la rete da soggetti ostili che sfruttano gli endpoint per lanciare attacchi.
La sicurezza delle applicazioni protegge le applicazioni che girano on-premise e nel cloud, impedendo l'accesso e l'utilizzo non autorizzato di applicazioni e dati correlati. Inoltre, essa previene l'insorgere di difetti o vulnerabilità nella progettazione delle applicazioni, che gli hacker possono utilizzare per infiltrarsi nella rete. I metodi di sviluppo delle applicazioni moderni, come DevOps e DevSecOps, consentono di integrare sia la sicurezza che i relativi collaudi già nel processo di sviluppo.
La sicurezza del cloud protegge i servizi e gli asset di un'organizzazione che risiedono nel cloud, ovvero applicazioni, dati, storage, strumenti di sviluppo, server virtuali e la stessa infrastruttura cloud. In generale, la sicurezza del cloud opera secondo un modello di responsabilità condivisa, in cui il provider dei servizi cloud è responsabile per la messa in sicurezza dei servizi che offre e dell'infrastruttura utilizzata per fornirli. Il cliente, per suo conto, è responsabile della protezione dei propri dati, del codice e di altre risorse memorizzate o in esecuzione nel cloud. I dettagli variano a seconda dei cloud service utilizzati.
La sicurezza delle informazioni (InfoSec) riguarda la protezione di tutte le importanti informazioni di un'organizzazione (file e dati digitali, documenti cartacei, supporti fisici, persino la voce umana) contro accesso, divulgazione, utilizzo o modifiche non autorizzati. La sicurezza dei dati, ovvero la protezione delle informazioni digitali, è un sottoinsieme della sicurezza delle informazioni e costituisce il fulcro della maggior parte delle misure InfoSec legate alla cybersecurity.
La sicurezza aziendale mobile comprende varie discipline e tecnologie specifiche per smartphone e dispositivi mobili, tra cui la gestione delle applicazioni mobili (MAM) e della mobilità aziendale (EMM). Più di recente, essa è disponibile come componente di soluzioni di unified endpoint management (UEM) che consentono di configurare e gestire da un'unica console la sicurezza per tutti gli endpoint, non solo dispositivi mobili ma desktop, laptop e altro.
Il malware, locuzione che individua il cosiddetto "software dannoso", è un codice software o programma informatico scritto con l'intento di danneggiare un sistema informatico o i suoi utenti. Quasi tutti i moderni attacchi informatici implicano qualche tipo di malware.
Gli hacker e i criminali informatici creano e utilizzano malware per ottenere l'accesso non autorizzato a sistemi informatici e dati sensibili, assumerne il controllo e gestirli da remoto, per pregiudicarne l'operatività, danneggiarli o prendere in ostaggio dati o sistemi in cambio di ingenti somme di denaro (vedi "Ransomware", di seguito).
Il ransomware è un tipo di malware che crittografa i dati o il dispositivo di una vittima e minaccia di mantenerli crittografati, o anche peggio, se non viene pagato un riscatto all'autore della minaccia. Secondo l'IBM Security X-Force Threat Intelligence Index 2023, nel 2022 gli attacchi ransomware rappresentavano il 17% di tutti gli attacchi informatici.
"O anche peggio" è ciò che distingue il ransomware di oggi dai predecessori. I primi attacchi ransomware richiedevano un solo riscatto in cambio della chiave di crittografia. Oggi, la maggior parte degli attacchi ransomware sono attacchi doppiamente estorsivi, in quanto richiedono un secondo riscatto per impedire la condivisione o la pubblicazione dei dati delle vittime. Alcuni attacchi sono addirittura a tripla estorsione, con la minaccia di lanciare un attacco DDoS (Distributed Denial of Service) se i riscatti non vengono pagati.
Gli attacchi di phishing sono e-mail, SMS o messaggi vocali che inducono gli utenti a scaricare malware, condividere informazioni sensibili o inviare fondi alle persone sbagliate. La maggior parte degli utenti ha familiarità con le truffe di phishing: messaggi fraudolenti inviati in massa e apparentemente provenienti da un marchio importante e affidabile, in cui viene chiesto ai destinatari di reimpostare la password o inserire nuovamente i dati della carta di credito. Le truffe di phishing più sofisticate, come lo spear phishing e il business email compromise (BEC), prendono tuttavia di mira individui o gruppi specifici per estorcere dati particolarmente preziosi o ingenti somme di denaro.
Il phishing è solo uno dei vari tipi di ingegneria sociale: una classe di tattiche e attacchi di "hacking umano" che sfruttano la manipolazione psicologica per indurre le persone a intraprendere azioni imprudenti.
Le minacce interne sono quelle che hanno origine da utenti autorizzati, quali dipendenti, collaboratori, business partner, che intenzionalmente o accidentalmente abusano del loro accesso legittimo oppure che subiscono la violazione dell'account da parte di criminali informatici. Le minacce interne possono essere più difficili da rilevare rispetto a quelle esterne, in quanto hanno le caratteristiche di un'attività autorizzata e sono invisibili ai software antivirus, ai firewall e altre soluzioni di sicurezza mirate a bloccare gli attacchi esterni.
Uno dei più persistenti miti in termini di cybersecurity è che tutto il crimine informatico provenga da minacce esterne. In realtà, secondo uno studio recente, il 44% delle minacce interne provengono da attori malintenzionati e il costo medio per incidente causato da insider malevoli nel 2022 è stato di 648.062 dollari.3 Da un altro studio è emerso che, mentre la minaccia esterna media compromette circa 200 milioni di record, gli incidenti che coinvolgono un autore interno di minaccia conducono all'esposizione di 1 miliardo di record o più.4
Un attacco DDoS tenta di mandare in crash un server, un sito web o una rete sovraccaricandoli di traffico. Di solito il traffico proviene da una botnet, ovvero da una rete di più sistemi distribuiti il cui controllo viene assunto fraudolentemente dal criminale informatico mediante l'uso di malware e tecniche di controllo da remoto.
Il volume globale degli attacchi DDoS è aumentato durante la pandemia COVID-19. Sempre più spesso, gli autori combinano attacchi DDoS con tecniche ransomware o minacciano semplicemente di lanciare attacchi DDoS se non viene pagato un riscatto.
Nonostante il volume sempre crescente di incidenti legati alla sicurezza informatica in tutto il mondo, e di tutti gli insegnamenti che ne sono stati tratti, persistono alcuni fraintendimenti alquanto insidiosi.
Le password complesse bastano per una protezione adeguata. Esse fanno realmente la differenza, in quanto una password di 12 caratteri richiede 62 trilioni di volte più tempo per essere decifrata rispetto a una password di 6 caratteri. Poiché i criminali informatici possono sottrarre le password (o pagare dipendenti scontenti o altri insider per rubarle), queste non possono rappresentare l'unica misura di sicurezza di una persona o di un'organizzazione.
I principali rischi di cybersecurity sono ben conosciuti. La superficie di rischio, in realtà, è in continua espansione. Ogni anno vengono segnalate migliaia di nuove vulnerabilità in applicazioni e dispositivi più o meno recenti. Le opportunità di errore umano, in particolare da parte di dipendenti o collaboratori negligenti che causano involontariamente una violazione dei dati, continuano ad aumentare.
Tutti i vettori di attacco informatico sono contenuti. I criminali informatici ne scoprono continuamente di nuovi, tra cui sistemi Linux, tecnologie operative (OT), dispositivi IoT (Internet delle cose) e ambienti cloud.
"Il mio settore è al sicuro". Ogni settore ha la sua parte di rischi di cybersecurity, con i criminali informatici impegnati a sfruttare le esigenze delle reti di comunicazione all'interno di quasi tutte le organizzazioni governative e del settore privato. Ad esempio, gli attacchi ransomware stanno prendendo di mira un numero di settori in continua crescita, tra cui le amministrazioni pubbliche locali, le organizzazioni non profit e i provider di servizi sanitari. Anche le minacce alla supply chain, ai siti della pubblica amministrazione e all'infrastruttura critica sono aumentate.
I criminali informatici non attaccano le piccole imprese. Invece le attaccano, eccome. Nel 2021, ad esempio, l'82% degli attacchi ransomware ha colpito aziende con meno di 1.000 dipendenti; il 37% delle aziende attaccate con ransomware aveva meno di 100 dipendenti.5
Le seguenti best practice e tecnologie possono aiutare la tua organizzazione a implementare una solida cybersecurity, in grado di ridurre la vulnerabilità agli attacchi informatici e proteggere i tuoi sistemi informatici critici, senza interferire con l'esperienza dell'utente o del cliente.
La formazione di sensibilizzazione alla sicurezza aiuta gli utenti a comprendere come azioni apparentemente innocue, dall'utilizzo della stessa password semplice per più accessi fino alla condivisione eccessiva sui social media, aumentino il rischio di attacco verso di sé o la propria azienda. Questa formazione, combinata con policy di sicurezza dei dati ben congegnate può aiutare i dipendenti a proteggere i dati personali e organizzativi sensibili. Inoltre, fornisce loro gli strumenti per riconoscere ed evitare attacchi di phishing e malware.
La gestione delle identità e degli accessi (IAM) definisce i ruoli e i privilegi di accesso per ogni utente, nonché i criteri in base ai quali vengono concessi o negati tali privilegi. Le tecnologie IAM includono l'autenticazione a più fattori, che richiede almeno una credenziale in aggiunta a nome utente e password, e l'autenticazione adattiva, che richiede più credenziali a seconda del contesto.
La gestione della superficie di attacco (ASM) è la scoperta, l'analisi, la correzione e il monitoraggio continui delle vulnerabilità di cybersecurity e dei potenziali vettori di attacco che costituiscono la superficie di attacco di un'organizzazione. A differenza di altre discipline di difesa informatica, l'ASM è condotta interamente dal punto di vista dell'hacker, anziché dal punto di vista di chi si difende. Identifica gli obiettivi e valuta i rischi in base alle opportunità che offrono a un utente malintenzionato.
Le organizzazioni si affidano a tecnologie basate sull'analisi dei dati e sull'intelligenza artificiale per identificare e rispondere agli attacchi potenziali o effettivi in corso, perché è impossibile pensare di fermare tutti gli attacchi informatici. Queste tecnologie possono includere, ad esempio, la gestione delle informazioni e degli eventi di sicurezza (SIEM), l'orchestrazione della sicurezza, l'automazione e la risposta (SOAR) e l'individuazione e la risposta degli endpoint (EDR). In genere, queste tecnologie vengono utilizzate nell'ambito di un piano formale di risposta agli incidenti.
Le funzionalità didisaster recovery svolgono spesso un ruolo chiave nel mantenimento della continuità aziendale in caso di attacco informatico. Ad esempio, la possibilità di eseguire il failover su un backup ospitato in una posizione remota può consentire a un'azienda di riprendere rapidamente le operazioni dopo un attacco ransomware (talvolta senza pagare alcun riscatto).
Outsmart attacca con una suite di sicurezza connessa e modernizzata. Il portfolio QRadar è dotato di AI di livello aziendale e offre prodotti integrati per la sicurezza degli endpoint, la gestione log, le piattaforme SIEM e SOAR, il tutto con un'interfaccia utente comune, insight condivisi e workflow connessi.
L'individuazione proattiva alle minacce, il monitoraggio continuo e un'analisi approfondita delle minacce sono solo alcune delle priorità che deve affrontare un reparto IT già impegnato. Avere a disposizione un team affidabile di risposta agli incidenti può ridurre i tempi di risposta, minimizzare l'impatto di un attacco informatico e aiutarti a recuperare più rapidamente.
La gestione unificata degli endpoint (UEM) basata sull'intelligenza artificiale protegge dispositivi, app, contenuti e dati. Questa protezione consente di scalare rapidamente la forza lavoro in remoto e le iniziative BYOD (bring-your-own-device), costruendo al contempo una strategia di sicurezza zero trust.
Implementate on-premise o in un cloud ibrido, le soluzioni per la sicurezza dei dati di IBM consentono di indagare sulle minacce informatiche e di arginarle, eseguono controlli in tempo reale e gestiscono la conformità normativa.
Proteggi in modo proattivo i sistemi di storage primari e secondari della tua organizzazione da ransomware, errori umani, disastri naturali, sabotaggi, guasti hardware e altri rischi di perdita di dati.
Preparati meglio alle violazioni comprendendone le cause e i fattori che aumentano o riducono i costi. Impara dalle esperienze di oltre 550 organizzazioni colpite da una violazione dei dati.
SIEM (gestione delle informazioni e degli eventi sulla sicurezza) è un software che aiuta le organizzazioni a riconoscere e affrontare potenziali minacce e vulnerabilità alla sicurezza prima che possano interrompere le operazioni di business.
Conosci la minaccia per sconfiggerla: ottieni informazioni utili che ti aiutano a capire come gli autori delle minacce conducono gli attacchi e come proteggere in modo proattivo la tua organizzazione.
Comprendi lo scenario di sicurezza della tua azienda e assegna priorità alle iniziative insieme ad architetti e consulenti IBM esperti in una sessione gratuita di design thinking, virtuale o di persona, della durata di tre ore.
La gestione delle minacce è un processo utilizzato dai professionisti della cybersecurity per prevenire gli attacchi informatici, rilevare le minacce informatiche e rispondere a incidenti di sicurezza.
Scopri gli insight per ripensare le tue difese contro il ransomware e stimolare la capacità di correggere più rapidamente una situazione di ransomware in evoluzione.
Note a piè di pagina
1 Cybercrime threatens business growth. Take these steps to mitigate your risk. (link esterno a ibm.com)
2 Bridging the 3,4 million workforce gap in cybersecurity (link esterno a ibm.com)
3 2022 Ponemon Cost of Insider Threats Global Report (link esterno a ibm.com)
4 Verizon 2023 Data Breach Investigations Report (link esterno a ibm.com)
5 82% of Ransomware Attacks Target Small Businesses, Report Reveals (link esterno a ibm.com)