Attacchi informatici

Gli attori delle minacce odierne vanno da hacker isolati e criminali informatici organizzati a gruppi sponsorizzati da stati impegnati in una guerra informatica a lungo termine. Le loro tattiche comprendono un arsenale in continua crescita, fra cui troviamo attacchi malware, truffe di social engineering, exploit zero-day e worm autoreplicanti. 

Gli aggressori sfruttano ogni tipo di vulnerabilità, dalle applicazioni web prive di patch ai servizi cloud mal configurati, per compromettere un sistema bersaglio e interromperne la funzionalità. Per mitigare queste minacce, le organizzazioni hanno bisogno di difese a più livelli per aiutare a prevenire, rilevare e rispondere agli attacchi informatici prima che causino il caos.   

Gli attacchi informatici non avvengono a caso. Colpiscono dove tecnologia, persone e motivazioni si intersecano. Le conseguenze vanno ben oltre l'interruzione temporanea o il furto di qualche file. Il report Cost of a Data Breach di IBM stima il costo medio globale di una violazione a 4,44 milioni di dollari, una cifra che comprende rilevamento, risposta agli incidenti, tempo di inattività, mancati ricavi e danni duraturi al brand.

Alcuni incidenti sono molto più costosi: nel marzo 2024 una vittima ha pagato 75 milioni di dollari in un singolo attacco ransomware, mentre le truffe di compromissione delle e-mail aziendali (BEC) hanno prosciugato 2,77 miliardi di dollari dalle organizzazioni solo nel 2024, con 21.442 incidenti segnalati.² Gli analisti prevedono che il costo annuale globale della criminalità informatica aumenterà da circa 9,2 trilioni di dollari nel 2024 a circa 13,8 trilioni di dollari entro il 2028.

Per comprendere appieno il significato degli attacchi informatici, è importante esaminarli da tre punti di vista:

• Chi lancia un attacco 
• Cosa prendono di mira gli aggressori
• Perché gli aggressori colpiscono

Gli attacchi informatici hanno origine da diversi attori malintenzionati, sia esterni che interni.

Gli aggressori esterni variano notevolmente. I gruppi organizzati di criminali informatici potrebbero cercare di trarre profitto tramite campagne ransomware o vendendo dati rubati sul dark web. Alcuni sono hacker professionisti specializzati nell'accesso a sistemi compromessi.  

A livello di stato-nazione, gli attori sponsorizzati dagli stati conducono campagne di guerra informatica e spionaggio a lungo termine contro governi e società rivali. E poi ci sono gli hacktivisti, che entrano nei sistemi per attirare l'attenzione su una causa politica o sociale piuttosto che per un guadagno finanziario diretto.

Le minacce interne presentano un rischio diverso ma altrettanto grave. I dipendenti scontenti possono deliberatamente sottrarre dati sensibili o sabotare i sistemi per vendicarsi. Altri sono semplicemente imprudenti: un utente che memorizza i dati dei clienti in un'unità non protetta può inavvertitamente creare la stessa apertura che un attore ostile utilizzerebbe. Solo quando un attore interno abusa intenzionalmente dell'accesso autorizzato si parla di vero e proprio attacco informatico, ma anche la negligenza può fornire il primo punto di ingresso per un avversario esterno. 

Gli aggressori entrano nei sistemi perché ogni asset, che si tratti di proprietà intellettuale o dati personali, ha un valore evidente. Gli obiettivi più comuni includono:

• Assets finanziari: includono conti bancari, sistemi di pagamento, portafogli di criptovalute, numeri di carta di credito e credenziali di accesso che consentono il furto o la rivendita diretta.

• Dati e proprietà intellettuale: sono compresi i dati dei clienti, i design dei prodotti, le ricerche proprietarie e le informazioni di identificazione personale (PII) per il furto di identità o la rivendita sul dark web. 

• Infrastrutture critiche e sistemi di governo: includono reti energetiche, sistemi sanitari e agenzie di governo, i cui sistemi informatici e servizi pubblici essenziali vengono interrotti. 

Alcune campagne mirano a paralizzare la funzionalità piuttosto che a rubare dati. Ad esempio, un recente attacco DDoS (Distributed Denial of Service) ha travolto il suo obiettivo con 11,5 terabit al secondo (Tbps) di traffico per circa 35 secondi.. Come ha detto un ricercatore, "È l'equivalente di inondare una rete con oltre 9.350 lungometraggi HD... in soli 45 secondi".

Forse la domanda più difficile a cui rispondere è perché gli aggressori colpiscono. Le motivazioni possono variare dal profitto alla politica ai rancori personali, e ogni singola violazione può coinvolgere più di una di queste forze. Tuttavia, la maggior parte delle attività si concentra attorno a tre ampi driver: criminali, politici o personali. 

• Criminale: la motivazione criminale rimane la più comune. Alcuni attori cercano un semplice guadagno finanziario, irrompendo nei sistemi per lanciare attacchi ransomware o eseguire campagne di phishing su larga scala. Altri si concentrano sull'estorsione, utilizzando attacchi DDoS per tenere in ostaggio le reti fino al pagamento di un riscatto. 
  
  
• Politica: anche la politica alimenta una fetta significativa dell'attività informatica. Le campagne sponsorizzate dagli stati e le operazioni di spionaggio informatico a lungo termine sondano regolarmente le infrastrutture critiche, le reti governative e persino i sistemi elettorali. Accanto a questi sforzi degli stati nazionali ci sono gli hacktivisti, individui o collettivi di varia natura che si infiltrano nelle reti per mettere in luce una causa o mettere in imbarazzo un avversario. 
  
  
• Personali: le motivazioni personali, più difficili da prevedere, possono essere altrettanto distruttive. Un appaltatore o un business partner arrabbiato potrebbe deliberatamente divulgare dati sensibili o sabotare sistemi per regolare i conti. A volte, la motivazione è poco più che curiosità o ego: i cosiddetti "sport hacker" entrano semplicemente per dimostrare di poterlo fare.

I criminali informatici utilizzano molti strumenti e tecniche sofisticati per compromettere i sistemi. Le tattiche si evolvono costantemente, ma possono essere raggruppate in tre grandi livelli: minacce informatiche pervasive, avanzate ed emergenti.

Queste tecniche sono i cavalli di battaglia della criminalità informatica. Si espandono in diversi settori, utilizzano le debolezze umane e raramente richiedono risorse. Poiché sono così comuni e così efficaci, costituiscono la spina dorsale della maggior parte degli incidenti di cybersecurity.

Il malware è un software intenzionalmente dannoso che può rendere inutilizzabili i sistemi infetti. Può distruggere dati, sottrarre informazioni o persino cancellare file critici per l'esecuzione del sistema operativo. I tipi di malware più comuni includono:

• Trojan horse: gli attacchi si mascherano da programmi legittimi per indurre gli utenti a installarli. Un Trojan di accesso remoto (RAT) crea una backdoor segreta sul dispositivo della vittima, mentre un Trojan dropper installa un ulteriore malware dopo aver acquisito un punto d'appoggio.
  
  

• Ransomware: utilizza una crittografia avanzata per tenere in ostaggio dati o sistemi finché non viene pagato un riscatto.

• Scareware: bombarda le vittime con falsi avvisi per indurle a scaricare o a fornire informazioni sensibili.

• Spyware: raccoglie segretamente nomi utente, password e numeri di carte di credito, inviandoli all'aggressore.

• Rootkit: concede il controllo di un sistema operativo a livello di amministratore, pur rimanendo nascosto.

• Worm autoreplicanti: si diffondono automaticamente tra applicazioni e dispositivi.

Gli attacchi di social engineering sfruttano la fiducia umana piuttosto che i difetti tecnici, persuadendo le persone a rivelare informazioni o addirittura a installare malware. L'esempio più comune è il phishing, in cui e-mail, SMS o messaggi sui social media imitano richieste legittime e inducono le vittime a fare clic su link dannosi o ad aprire allegati infetti.

Le varianti più mirate includono lo spear phishing, che adatta l'attacco a un individuo specifico utilizzando i dettagli dei profili social pubblici. Il whale phishing è una versione rivolta ai dirigenti senior, mentre nelle truffe BEC gli aggressori si spacciano per persone fidate come un CEO, inducendo i dipendenti a trasferire fondi o a condividere dati riservati.

Gli attacchi DoS e distributed denial-of-service (DDoS) inondano le risorse di un sistema con traffico fraudolento fino a renderlo incapace di rispondere a richieste legittime. Un attacco DoS proviene da un'unica fonte, mentre un attacco DDoS utilizza più fonti, spesso una botnet di laptop, smartphone e dispositivi Internet of Things (IoT) infetti da malware. 

In un attacco di compromissione dell'account, i criminali dirottano le credenziali di un utente legittimo per condurre attività dannose. Possono cercare password, acquistare database rubati sul dark web o lanciare attacchi brute force automatici per indovinare ripetutamente le password finché una non funziona.

Chiamati anche attacchi eavesdropping, gli attacchi MITM si verificano quando un hacker intercetta segretamente le comunicazioni tra due parti, spesso tramite Wi-Fi pubblico non protetto. Gli aggressori possono leggere o modificare i messaggi prima che raggiungano il destinatario. Ad esempio, in una variante di hijacking della sessione, l'intruso scambia il proprio indirizzo IP con quello della vittima, inducendo il server a concedere l'accesso completo alle risorse protette.

Gli avversari più pazienti portano avanti le campagne attraverso abilità, furtività e perseveranza. Queste tattiche spesso combinano più vettori di attacco, dagli operatori umani sotto copertura a veri e propri eserciti di bot, e possono svilupparsi nell'arco di mesi, rendendo essenziale il rilevamento precoce.

Gli aggressori violano un'azienda prendendo di mira i suoi fornitori di software, materiali o altri fornitori di servizi. Poiché questi fornitori sono spesso connessi alle reti dei propri clienti, una singola compromissione può fornire a un aggressore un percorso indiretto verso molte organizzazioni.

Gli attacchi XSS inseriscono codice dannoso in una pagina web o in un'applicazione web legittima. Quando un utente visita il sito o l'applicazione, il codice viene eseguito automaticamente nel browser dell'utente, rubando informazioni sensibili o reindirizzando l'utente a un sito web dannoso. Gli aggressori utilizzano spesso JavaScript per lanciare questi exploit.

Gli attacchi di SQL injection inviano comandi SQL (Structured Query Language) dannosi al database backend di un sito web o di un'applicazione. Gli aggressori inseriscono i comandi tramite campi rivolti all'utente, come le barre di ricerca e le finestre di accesso, chiedendo al database di restituire dati privati come numeri di carte di credito o altri dati dei clienti.

Il tunneling del Domain Name System (DNS) nasconde il traffico dannoso all'interno dei pacchetti DNS, consentendogli di aggirare le misure di sicurezza tradizionali come firewall e sistemi di rilevamento delle intrusioni (IDS). Gli attori delle minacce utilizzano questa tecnica per creare canali di comunicazione segreti in grado di estrarre dati silenziosamente o connettere malware a un server di comando e controllo remoto (C2).

Gli exploit zero-day sfruttano falle del software precedentemente sconosciute o prive di patch, note come vulnerabilità zero-day, prima che gli sviluppatori possano rilasciare una correzione. Questi attacchi possono rimanere efficaci per giorni, mesi o addirittura anni, rendendoli i preferiti dai gruppi di minacce avanzate.

Gli attacchi senza file utilizzano le vulnerabilità nei programmi software legittimi per immettere un codice nocivo direttamente nella memoria di un computer. Poiché lavorano solo nella memoria e lasciano pochi artefatti sul disco, possono eludere molte soluzioni software antivirus, compresi alcuni strumenti antivirus di nuova generazione (NGAV). Gli aggressori spesso sfruttano ambienti di scripting come PowerShell per modificare le configurazioni o rubare le password.

Il DNS spoofing, detto anche DNS poisoning, altera segretamente i record DNS per sostituire il vero indirizzo IP di un sito web con uno fraudolento. Quando le vittime tentano di visitare il sito legittimo, vengono inconsapevolmente reindirizzate a una copia dannosa in grado di rubare dati o distribuire malware.

Gli attori malintenzionati ampliano la superficie di attacco manipolando sistemi intelligenti, utilizzando nuove infrastrutture e persino minando la crittografia futura. Sebbene queste minacce informatiche siano ancora in evoluzione, richiedono già l'attenzione dei security operation centers (SOC) e dei team di sicurezza più ampi.

L'intelligenza artificiale (AI), e in particolare l'AI generativa, sta aprendo un nuovo mondo per gli aggressori. Gli hacker possono utilizzare modelli linguistici di grandi dimensioni (LLM) per creare attacchi di phishing iperrealistici, creare audio e video deepfake e persino automatizzare la ricognizione su una scala mai vista prima. Tecniche più sofisticate come l'iniezione di prompt o i jailbreak AI possono indurre i sistemi dell'AI a rivelare dati sensibili scavalcando i controlli di sicurezza e i guardrail integrati.

Le aziende continuano a spostare workload a cloud pubblici e cloud ibridi, ampliando la potenziale superficie di attacco. Gli storage bucket mal configurati, le application programming interface (API) esposte e le piattaforme vulnerabili di orchestrazione dei container come Kubernetes offrono agli aggressori l'opportunità di accedere a interi ambienti in quasi in tempo reale. Puntare a una sola configurazione errata del cloud può far sì che un attore delle minacce si sposti lateralmente su più workload ed esfiltrare i dati dei clienti senza attivare le tradizionali difese perimetrali.

Gli attacchi all'integrità dei dati mirano a corrompere o alterare leggermente set di dati in transito, in storage o durante l'elaborazione, in modo che i sistemi a valle prendano decisioni errate. Ciò può includere la manipolazione di flussi di dati in tempo reale o la modifica silenziosa dei registri finanziari o sanitari. Una tattica particolarmente grave è il data poisoning, in cui gli aggressori modificano i set di addestramento del machine learning con record dannosi, facendo sì che i modelli sviluppino backdoor nascosti o output distorti. 

I progressi nel quantum computing minacciano l'attuale crittografia a chiave pubblica. Gli aggressori stanno già perseguendo strategie "raccogli ora, decifra dopo", rubando dati crittografati oggi con l'aspettativa che le future funzionalità quantistiche consentano loro di violare gli attuali algoritmi di crittografia e sbloccare le informazioni sensibili. La preparazione a questo cambiamento richiede alle organizzazioni di monitorare gli sviluppi della crittografia post-quantistica (PQC) e iniziare a pianificare i percorsi di migrazione per i sistemi critici.

La difesa dagli attacchi informatici richiede più di un singolo prodotto o politica. Una cybersecurity efficace unisce persone, tecnologia e processi per anticipare le minacce, limitare l'esposizione e fornire rilevamento e risposta alle minacce. 

Una prevenzione efficace inizia con la comprensione degli asset più preziosi dell'organizzazione e della superficie di attacco che li circonda, riducendo le opportunità di accesso non autorizzato. Le misure di sicurezza comuni includono:

• Gestione delle identità e degli accessi (IAM): applica criteri di accesso con privilegi minimi, autenticazione a più fattori e criteri di password forti per garantire che solo le persone giuste possano raggiungere i sistemi critici. Molte organizzazioni richiedono anche che gli utenti remoti si connettano tramite una rete privata virtuale (VPN) o un altro canale sicuro.

• Sicurezza dei dati e prevenzione della perdita di dati (DLP): crittografa i dati sensibili, monitora il modo in cui vengono utilizzati e memorizzati e mantiene backup regolari per limitare l'impatto di una violazione.

• Controlli di rete: distribuisce firewall a più livelli e sistemi di prevenzione delle intrusioni (IPS) per bloccare il traffico dannoso in entrata o in uscita dalla rete. Ciò include i tentativi da parte dei malware di contattare un server C2.

• Gestione continua delle vulnerabilità: patch e penetration test regolari aiutano a colmare i punti deboli prima che gli aggressori li utilizzino.

• Superficie di attacco (ASM): identifica, cataloga e corregge gli asset esposti in ambienti on-premise, cloud e IoT prima che gli avversari li scoprano.

• Gestione unificata degli endpoint (UEM): applica politiche di sicurezza coerenti a ogni endpoint, inclusi desktop, laptop, dispositivi mobili e workload cloud.

• Formazione sulla consapevolezza della sicurezza: fornisce ai dipendenti la capacità di riconoscere le e-mail di phishing, le tattiche di social engineering e altri punti di ingresso comuni.

Poiché nessuna difesa è perfetta, le organizzazioni hanno bisogno di visibilità in tempo reale sulle loro reti informatiche e sui loro sistemi informativi:

• Gestione delle informazioni sulla sicurezza e degli eventi (SIEM): aggrega e analizza gli avvisi provenienti dai sistemi di rilevamento delle intrusioni, dagli strumenti di rilevamento e risposta degli endpoint (EDR) e da altre tecnologie di monitoraggio.

• Threat intelligence: arricchisce gli avvisi con dati su autori di minacce noti, tattiche e indicatori di compromissione (IOC) per velocizzare il triage.

• Advanced analytics e AI: le moderne piattaforme di rilevamento utilizzano sempre più il machine learning per segnalare anomalie e identificare modelli sottili che possono segnalare un incidente informatico in corso.

• Rilevamento delle minacce proattivo: gli analisti esperti cercano le intrusioni nascoste, come minacce persistenti avanzate (APT) che gli strumenti automatizzati potrebbero non vedere.

Quando la prevenzione e il rilevamento rivelano un attacco, una risposta coordinata limita i danni e accelera il recupero:

• Pianificazione di risposta agli incidenti: un piano documentato e testato consente ai team di contenere ed eliminare le minacce alla cybersecurity, ripristinare le operazioni e condurre un'analisi della causa principale per prevenirne la ripetizione.

• Orchestrazione, automazione e risposta della sicurezza (SOAR): integra strumenti eterogenei e automatizza le attività di routine in modo che i team di sicurezza possano concentrarsi su indagini complesse.

• Rilevamento e risposta estesi (XDR): correla i segnali tra endpoint, reti, e-mail, applicazioni e workload cloud per fornire una visione unificata e una correzione più rapida.

• Recensioni post-incidente: raccoglie le lezioni apprese, aggiorna i controlli e reinserisce nuove informazioni nelle misure preventive e investigative.