Gli attori delle minacce, noti anche come attori di minacce informatiche o malintenzionati, sono individui o gruppi che causano intenzionalmente danni a dispositivi o sistemi digitali. Gli attori delle minacce sfruttano le vulnerabilità dei sistemi informatici, delle reti e del software per perpetuare vari attacchi informatici, tra cui attacchi di phishing, ransomware e malware.
Oggi esistono molti tipi di attori delle minacce, tutti con caratteristiche, motivazioni, skill e strategie diverse. Alcuni dei tipi più comuni di attori di minacce includono hacker attivisti, attori stato-nazione, criminali informatici, amanti del brivido, attori di minacce interne e terroristi informatici.
Poiché la frequenza e la gravità dei crimini informatici continuano a crescere, la comprensione di questi diversi tipi di attori delle minacce è sempre più critica per migliorare la sicurezza informatica individuale e organizzativa.
Ottieni insight per gestire meglio il rischio di violazione dei dati con l'ultimo report Cost of a Data Breach.
Registrati per l'X-Force Threat Intelligence Index
Il termine "attore della minaccia" è ampio e relativamente onnicomprensivo poiché si riferisce a qualsiasi persona o gruppo che rappresenti una minaccia per la cybersecurity. Gli attori delle minacce sono spesso classificati in diverse tipologie, a seconda delle loro motivazioni e, in misura minore, del loro livello di sofisticazione.
Questi soggetti o gruppi commettono crimini informatici principalmente a scopo di lucro. I crimini comuni commessi dai criminali informatici includono attacchi ransomware e truffe di phishing che inducono le persone a trasferire denaro o a divulgare informazioni riguardanti carte di credito, credenziali di accesso, proprietà intellettuale o altre informazioni private o sensibili.
Gli stati-nazione e i governi spesso finanziano gli autori delle minacce con l'obiettivo di rubare dati sensibili, raccogliere informazioni riservate o interrompere le infrastrutture critiche di un altro governo. Queste attività dannose spesso includono spionaggio o guerra informatica e solitamente godono di grossi finanziamenti, rendendo le minacce complesse e difficili da rilevare.
Questi attori delle minacce utilizzano tecniche di hacking per promuovere programmi politici o sociali, come la diffusione della libertà di parola o la scoperta di violazioni dei diritti umani. Gli hacker attivisti credono di agire per un cambiamento sociale positivo e si sentono giustificati a prendere di mira individui, organizzazioni o agenzie governative per svelarne segreti o altre informazioni sensibili. Un noto esempio di gruppo di hacker attivisti è Anonymous, un collettivo internazionale di hacker che sostiene di difendere la libertà di parola su Internet.
Gli amanti del brivido sono proprio come sembrano: attaccano computer e sistemi informatici principalmente per divertimento. Alcuni vogliono vedere quante informazioni o dati sensibili riescono a rubare; altri vogliono utilizzare l'hacking per comprendere meglio come funzionano le reti e i sistemi informatici. Una categoria di amanti del brivido, i cosiddetti script kiddie, non possiede skill tecniche avanzate, ma utilizza strumenti e metodi preesistenti per attaccare i sistemi vulnerabili, principalmente per divertimento o soddisfazione personale. Anche se non sempre hanno intenti malevoli, gli amanti del brivido possono comunque causare danni involontari interferendo con la cybersecurity di una rete e aprendo la strada a futuri attacchi informatici.
A differenza di molti altri tipi di attori, gli attori delle minacce interne non sempre hanno intenti malevoli. Alcuni danneggiano le loro aziende per errore umano, ad esempio installando involontariamente malware o perdendo un dispositivo aziendale che un criminale informatico trova e utilizza per accedere alla rete. Esistono anche gli insider malevoli. Ad esempio, il dipendente scontento che abusa dei privilegi di accesso per rubare dati a scopo di lucro o infligge danni a dati o applicazioni come ritorsione per essere stato scartato per una promozione.
I cyberterroristi lanciano attacchi informatici a sfondo politico o ideologico che minacciano o provocano violenza. Alcuni terroristi informatici sono attori dello stato-nazione; altri sono attori che agiscono per conto proprio o per conto di un gruppo non governativo.
Gli attori delle minacce prendono spesso di mira le grandi organizzazioni che, disponendo di più denaro e dati sensibili, offrono il maggior potenziale di guadagno.
Negli ultimi anni, tuttavia, anche le piccole e medie imprese (PMI) sono diventate bersaglio frequente delle minacce a causa dei loro sistemi di sicurezza relativamente più deboli. In effetti, l'FBI ha recentemente espresso preoccupazione per l'aumento dei tassi di crimini informatici commessi contro le piccole imprese, affermando che, solo nel 2021, le piccole imprese hanno perso 6,9 miliardi di dollari a causa di attacchi informatici, con un aumento del 64% rispetto all'anno precedente (link esterno a ibm.com).
Analogamente, gli attori delle minacce prendono sempre più di mira individui e famiglie per somme minori. Ad esempio, potrebbero violare le reti domestiche e i sistemi informatici per rubare informazioni sull'identità personale, password e altri dati potenzialmente preziosi e sensibili. Infatti, le stime attuali suggeriscono che una famiglia americana su tre che possiede un computer è infettata da qualche tipo di malware (link esterno a ibm.com).
Gli attori delle minacce non fanno discriminazioni.Sebbene tendano a colpire gli obiettivi più remunerativi o significativi, sfrutteranno qualsiasi punto debole della sicurezza informatica, non importa dove, rendendo il panorama delle minacce sempre più costoso e complesso.
Nell'esecuzione di un attacco informatico, gli attori delle minacce impiegano un mix di tattiche, affidandosi maggiormente ad alcune rispetto ad altre, a seconda della motivazione primaria, delle risorse e dell'obiettivo prefissato.
Il malware è un software intenzionalmente malevolo che danneggia o disabilita i computer. Il malware si diffonde spesso tramite allegati e-mail, siti web infetti o software compromessi e può aiutare gli attori delle minacce a rubare i dati, a prendere il controllo dei sistemi informatici e ad attaccare altri computer. I tipi di malware includono virus, worm e trojan horse, che vengono scaricati su computer camuffati da programmi legittimi.
Il ransomware è un tipo di malware che blocca i dati o il dispositivo della vittima e minaccia di tenerli bloccati, o peggio, a meno che la vittima non paghi un riscatto all'aggressore. Oggi la maggior parte degli attacchi ransomware sono attacchi a doppia estorsione che minacciano anche di rubare i dati della vittima e di venderli o diffonderli online. Secondo l' IBM Security X-Force Threat Intelligence Index 2023, gli attacchi ransomware hanno rappresentato il 17% di tutti gli attacchi informatici del 2022.
Gli attacchi Big Game Hunting (BGH) sono campagne di ransomware massicce e coordinate che prendono di mira le grandi organizzazioni - governi, grandi imprese e fornitori di infrastrutture critiche - che hanno molto da perdere da un'interruzione e saranno più propense a pagare un riscatto elevato.
Gli attacchi di phishing utilizzano e-mail, messaggi di testo, messaggi vocali o siti web falsi per ingannare gli utenti e indurli a condividere dati sensibili, scaricare malware o esporsi alla criminalità informatica. I tipi di phishing includono:
- Spear phishing, un attacco di phishing che prende di mira uno specifico individuo, o un gruppo di individui, con messaggi che sembrano provenire da mittenti legittimi che hanno una relazione con la vittima.
- Compromissione dell'e-mail aziendale, un attacco di spear phishing che invia alla vittima un'e-mail fraudolenta dall'account e-mail impersonato o violato di un collega o di un collaboratore.
- Whale phishing, un attacco di spear phishing rivolto in particolare a dirigenti o funzionari aziendali di alto livello.
Il phishing è una forma di ingegneria sociale, una classe di attacchi e tattiche che sfruttano sentimenti di paura o urgenza per manipolare le persone e indurle a commettere altri errori capaci di compromettere gli asset o la sicurezza personale o dell'organizzazione. L'ingegneria sociale può essere semplice come lasciare una chiavetta USB infettata da malware dove qualcuno possa trovarla ("Ehi, una chiavetta USB gratuita!"), o complessa come passare mesi a coltivare un rapporto romantico a lunga distanza con la vittima per raggirarla tramite un biglietto aereo per poterla "finalmente incontrare".
Poiché l'ingegneria sociale utilizza la debolezza umana piuttosto che le vulnerabilità tecniche, viene talvolta chiamata "human hacking".
Questo tipo di attacco informatico agisce inondando di traffico una rete o un server, rendendolo non disponibile agli utenti.Un attacco DDoS (distributed denial-of-service) sfrutta una rete distribuita di computer per inviare traffico dannoso, creando un attacco in grado di sopraffare l'obiettivo più rapidamente ed essere più difficile da rilevare, prevenire o mitigare.
Le minacce persistenti avanzate (APT) sono attacchi informatici sofisticati che durano mesi o anni anziché ore o giorni. Le APT consentono agli attori delle minacce di operare inosservati nella rete della vittima, infiltrandosi nei sistemi informatici, conducendo attività di spionaggio e ricognizione, aumentando i privilegi e le autorizzazioni (detti movimento laterale) e rubando dati sensibili. Poiché possono essere incredibilmente difficili da rilevare e relativamente costose da eseguire, le APT vengono generalmente intraprese da attori stato-nazione o da altri attori delle minacce ben finanziati.
Un attacco backdoor utilizza un'apertura in un sistema operativo, un'applicazione o un sistema informatico non protetto dalle misure di cybersecurity di un'organizzazione. A volte le backdoor vengono create dallo sviluppatore del software o dal produttore dell'hardware per consentire aggiornamenti, correzioni di bug o, ironia della sorte, patch di sicurezza; altre volte, gli attori delle minacce creano backdoor per conto proprio utilizzando malware o hackerando il sistema. Le backdoor consentono agli attori delle minacce di entrare e uscire dai sistemi informatici senza essere intercettati.
I termini attore della minaccia, hacker e criminale informatico sono spesso usati in modo intercambiabile, soprattutto a Hollywood e nella cultura popolare.Ma ci sono sottili differenze nei significati di ciascuno e nella loro relazione reciproca.
Non tutti gli attori delle minacce o i criminali informatici sono hacker.Per definizione, un hacker è una persona che possiede skill tecniche per compromettere una rete o un sistema informatico. Ma alcuni attori delle minacce o criminali informatici non fanno nulla di più tecnico che lasciare una chiavetta USB infetta affinché qualcuno possa trovarla e utilizzarla o inviare un'e-mail con un malware allegato.
Non tutti gli hacker sono attori delle minacce o criminali informatici. Ad esempio, alcuni hacker, chiamati hacker etici, si spacciano per criminali informatici e aiutano le organizzazioni e le agenzie governative a testare la vulnerabilità dei loro sistemi informatici alle minacce informatiche.
Alcuni tipi di attori delle minacce non sono criminali informatici per definizione o intenzione, ma lo sono nella pratica. Ad esempio, chi cerca il brivido e si "diverte" a mettere fuori uso la rete elettrica di una città per qualche minuto, o un hacker attivista che estrapola e pubblica informazioni governative riservate in nome di una nobile causa, può anche commettere un crimine informatico, che ne abbia o meno l'intenzione o la consapevolezza.
Man mano che la tecnologia diventa più sofisticata, aumenta anche il panorama delle minacce informatiche. Per stare al passo con gli attori delle minacce, le organizzazioni stanno raffinando continuamente le loro misure di cybersecurity e acquisendo una maggiore consapevolezza in materia di threat intelligence. Alcune misure che le organizzazioni adottano per mitigare l'impatto degli attori delle minacce, se non per fermarli del tutto, includono:
Formazione sulla sensibilizzazione alla sicurezza. Poiché gli attori delle minacce spesso sfruttano l’errore umano, la formazione dei dipendenti è un’importante linea di difesa. La formazione sulla sensibilizzazione alla sicurezza può riguardare qualsiasi aspetto, dal non utilizzo di dispositivi autorizzati dall'azienda, alla corretta conservazione delle password, alle tecniche per riconoscere e gestire le e-mail di phishing.
Autenticazione a più fattori e adattativa.L'implementazione dell'autenticazione a più fattori (richiedendo una o più credenziali in aggiunta a nome utente e password) e/o dell'autenticazione adattiva (richiedendo ulteriori credenziali quando gli utenti effettuano l'accesso da diversi dispositivi o posizioni) può impedire agli hacker di accedere all'account e-mail di un utente, anche se sono in grado di rubare la password e-mail dell'utente.
- Soluzioni per la sicurezza degli endpoint. Queste spaziano dal software antivirus, che rileva e blocca malware e virus noti, a strumenti come le soluzioni di rilevamento e risposta degli endpoint (EDR) che utilizzano l'intelligenza artificiale (AI) e l'analytics per aiutare i team di sicurezza a rilevare e rispondere alle minacce che superano i tradizionali software endpoint security.
- Tecnologie di sicurezza di rete. La tecnologia fondamentale per la sicurezza di rete è il firewall, che impedisce al traffico sospetto di entrare o uscire da una rete, lasciando passare il traffico legittimo. Altre tecnologie includono i sistemi di prevenzione delle intrusioni (IPS), che monitorano la rete alla ricerca di potenziali minacce e intervengono per bloccarle, e il rilevamento e la risposta della rete (NDR), che utilizza l'AI, l'apprendimento automatico e gli analytics comportamentali per aiutare i professionisti della sicurezza a rilevare e automatizzare le risposte alle minacce informatiche.
Software di sicurezza aziendale. Queste soluzioni possono aiutare i team di sicurezza e i centri operativi di sicurezza (SOC) a rilevare e intercettare attività anomale o dannose in tutti i domini dell'infrastruttura IT: endpoint, e-mail, applicazioni, rete e workload del cloud. Le soluzioni includono (ma non solo) orchestrazione della sicurezza, automazione e risposta (SOAR), gestione degli incidenti e degli eventi di sicurezza (SIEM) e rilevamento e risposta estesi (XDR).
Le organizzazioni possono anche eseguire valutazioni periodiche della sicurezza per identificare le vulnerabilità del sistema.Il personale IT interno è generalmente in grado di condurre queste verifiche, ma alcune aziende le affidano a esperti o fornitori di servizi esterni.L'esecuzione di aggiornamenti regolari del software aiuta anche le aziende e i privati a individuare e a correggere le potenziali vulnerabilità dei loro sistemi informatici e telematici.
Individua minacce avanzate che sfuggono ad alcuni. QRadar SIEM utilizza gli analytics e l'AI per monitorare le informazioni sulle minacce, le anomalie della rete e del comportamento degli utenti e per focalizzare l'attenzione dove è necessario, mettendo in atto le dovute misure correttive.
Il rilevamento proattivo delle minacce, il monitoraggio continuo e un'analisi approfondita delle minacce sono solo alcune delle priorità che un reparto IT già molto impegnato deve affrontare. Disporre di un team di risposta agli incidenti affidabile e pronto a intervenire può ridurre i tempi di risposta, minimizzare l'impatto di un attacco informatico e aiutare a recuperare più rapidamente.
Per prevenire e combattere le moderne minacce ransomware, IBM utilizza insight provenienti da 800 TB di dati su attività di minacce, informazioni su oltre 17 milioni di attacchi spam e phishing e dati reputazionali di quasi 1 milione di indirizzi IP malevoli provenienti da una rete composta da 270 milioni di endpoint.
Gli attacchi informatici sono tentativi di sottrarre, esporre, alterare, disabilitare o distruggere gli asset di altri tramite l'accesso non autorizzato ai sistemi informatici.
Giunto alla sua 17esima edizione, questo report condivide gli insight più recenti sul panorama delle minacce in espansione e offre consigli per risparmiare tempo e limitare le perdite.
Il ransomware è un malware che tiene in ostaggio i dispositivi e i dati delle vittime fino al pagamento di un riscatto.