Semplificando la questione al massimo, una minaccia per la sicurezza informatica, o cyberthreat, indica che un hacker o un aggressore sta tentando di accedere a una rete senza autorizzazione per lanciare un attacco informatico.

Le minacce informatiche possono spaziare da quelle più ovvie, come un'e-mail da un principe straniero che offre una piccola fortuna se si fornisce il numero di conto corrente, a quelle più subdole, come una linea di codice maligno che supera di nascosto le difese informatiche e vive nella rete per mesi o anni prima di innescare una costosa violazione dei dati. Più i team di sicurezza e i dipendenti conoscono i diversi tipi di minacce alla cybersecurity, più efficacemente possono prevenire, prepararsi e rispondere agli attacchi informatici.

Malware, abbreviazione di "malicious software", è un codice software scritto intenzionalmente per danneggiare un sistema informatico o i suoi utenti.

Quasi tutti i moderni attacchi informatici implicano qualche tipo di malware. Gli autori delle minacce utilizzano attacchi malware per ottenere l'accesso senza autorizzazione e rendere inutilizzabili i sistemi infetti distruggendo dati, rubando informazioni sensibili e persino cancellando file critici per il sistema operativo.

I tipi di malware più comuni includono:

• Ransomware: blocca i dati o il dispositivo di una vittima e minaccia di tenerli bloccati o di divulgarli a meno che la vittima non paghi un riscatto all'aggressore. Secondo l'IBM Security X-Force Threat Intelligence Index 2023, gli attacchi ransomware hanno rappresentato il 17% di tutti gli attacchi informatici del 2022.
• Trojan horse: un malware che induce le persone a scaricarlo mascherandosi da programma utile o nascondendosi all'interno di un software legittimo. Gli esempi includono i trojan di accesso remoto (RAT), che creano una backdoor segreta sul dispositivo della vittima, o i trojan dropper, che installano un malware aggiuntivo una volta che si diffondono sul sistema o sulla rete di destinazione.
• Lo spyware è un malware altamente riservato che raccoglie informazioni sensibili come nomi utente, password, numeri di carte di credito e altri dati personali e li trasmette all'aggressore all'insaputa della vittima.
• I worm sono programmi autoreplicanti che si diffondono automaticamente su app e dispositivi senza bisogno di interazione umana.

Di frequente denominata "human hacking", l' ingegneria sociale manipola gli obiettivi per intraprendere azioni che espongono informazioni riservate, minacciano il benessere finanziario dell'organizzazione o compromettono in altro modo la sicurezza personale o organizzativa.

Il phishing è l'attacco di ingegneria sociale più noto e pervasivo.  Gli attacchi di phishing utilizzano e-mail, allegati, messaggi di testo o telefonate fraudolente per indurre le persone a condividere dati personali o credenziali di accesso, scaricare malware, inviare denaro a criminali informatici o intraprendere altre azioni che potrebbero esporle a crimini informatici.

I tipi di phishing più comuni includono:

• Spear phishing: un attacco di phishing altamente mirato che mira a manipolare un individuo specifico, spesso utilizzando i dati dei profili pubblici dei social media della vittima per rendere la truffa più convincente.
• Whale phishing: spear phishing che prende di mira dirigenti d'azienda o persone facoltose.
• Business email compromise (BEC): una truffa in cui i criminali informatici si fingono dirigenti, fornitori o soci in affari per indurre le vittime a trasferire denaro o a condividere dati riservati.

Un'altra truffa di ingegneria sociale comune è lo spoofing di dominio (chiamato anche spoofing DNS), in cui i criminali informatici utilizzano un sito web o un nome di dominio falso che ne imita uno reale, ad esempio "applesupport.com" al posto di support.apple.com, per indurre le persone a inserire informazioni sensibili. Spesso le e-mail di phishing utilizzano i nomi di dominio del mittente spoofed per rendere il messaggio più credibile e legittimo.

In un attacco man-in-the-middle (MITM), un criminale informatico intercetta una connessione di rete per intercettare e inoltrare messaggi tra due soggetti e rubare dati. Le reti Wi-Fi non protette spesso sono terreno di caccia felice per gli hacker che desiderano lanciare attacchi MITM.

Un attacco denial-of-service (DoS) è un attacco informatico che travolge un sito web, un'applicazione o un sistema con volumi di traffico fraudolento, rendendolo troppo lento da utilizzare o completamente non disponibile per gli utenti legittimi. Un attacco DDoS (Distributed Denial-of-Service) è molto simile, ma utilizza una rete di dispositivi o bot infetti da malware connessi a internet, noti come botnet, per paralizzare o arrestare in modo anomalo il sistema di destinazione. 

Un exploit zero-day è un tipo di attacco informatico che sfrutta una vulnerabilità zero-day, una falla di sicurezza sconosciuta, non risolta o senza patch nel software, nell'hardware o nel firmware del computer. Il termine "zero-day" si riferisce al fatto che il fornitore del software o del dispositivo ha "zero giorni", ovvero non ha tempo, per correggere le vulnerabilità, perché gli utenti malintenzionati la stanno già utilizzando per ottenere l'accesso ai sistemi vulnerabili.

Una delle vulnerabilità zero-day più note è Log4Shell, un difetto nell'utilizzatissima libreria di registrazione Apache Log4j. Al momento della sua scoperta, nel novembre 2021, la vulnerabilità Log4Shell era presente sul 10% degli asset digitali, tra cui molte applicazioni web, servizi cloud ed endpoint fisici come i server.

Come suggerisce il nome, in questi attacchi i criminali informatici cercano di indovinare o rubare la password o le credenziali di accesso all'account di un utente. Molti attacchi di password utilizzano l'ingegneria sociale per indurre le vittime a condividere involontariamente questi dati sensibili. Tuttavia, gli hacker possono anche utilizzare attacchi di brute force per rubare le password, provando ripetutamente diverse combinazioni di password finché una non ha successo.

In un attacco Internet of Things (IoT), i criminali informatici sfruttano le vulnerabilità dei dispositivi IoT, come ad esempio i dispositivi domestici intelligenti e i sistemi di controllo industriale per impossessarsi del dispositivo, rubare dati o utilizzare il dispositivo come parte di un botnet per altri fini dannosi.

In questi attacchi, gli hacker "iniettano" codice nocivo in un programma o scaricano malware per eseguire comandi remoti, il che permette loro di leggere o modificare un database o i dati di un sito web.

Esistono diversi tipi di attacchi di iniezione. Due dei più comuni tipi di questi attacchi includono:

• Attacchi SQL injection: quando gli hacker sfruttano la sintassi SQL per falsificare le identità, esporre, manomettere, distruggere o rendere indisponibili i dati esistenti o diventare amministratori del server di database.
• Cross-site scripting (XSS): questi tipi di attacco sono simili agli attacchi SQL injection, tranne per il fatto che, invece di estrarre dati da un database, in genere infettano gli utenti che visitano un sito web.

Questi individui o gruppi commettono crimini informatici, principalmente a scopo di lucro.I crimini comuni commessi dai criminali informatici includono attacchi ransomware e truffe di phishing che inducono le persone a trasferire denaro o a divulgare informazioni riguardanti carte di credito, credenziali di accesso, proprietà intellettuale o altre informazioni private o sensibili. 

Questi individui o gruppi commettono crimini informatici, principalmente a scopo di lucro.I crimini comuni commessi dai criminali informatici includono attacchi ransomware e truffe di phishing che inducono le persone a trasferire denaro o a divulgare informazioni riguardanti carte di credito, credenziali di accesso, proprietà intellettuale o altre informazioni private o sensibili. 

Un hacker è una persona con le competenze tecniche necessarie per compromettere una rete o un sistema di computer.

Tieni presente che non tutti gli hacker sono attori di minacce o criminali informatici. Ad esempio, alcuni hacker, chiamati hacker etici, fondamentalmente si spacciano per criminali informatici per aiutare le organizzazioni e le agenzie governative a testare le vulnerabilità dei loro sistemi informatici agli attacchi informatici.

Gli stati-nazione e i governi spesso finanziano gli autori delle minacce con l'obiettivo di rubare dati sensibili, raccogliere informazioni riservate o interrompere le infrastrutture critiche di un altro governo. Queste attività dannose spesso includono spionaggio o guerra informatica e solitamente godono di grossi finanziamenti, rendendo le minacce complesse e difficili da rilevare. 

A differenza della maggior parte degli altri criminali informatici, le minacce interne non sempre derivano da attori malintenzionati. Alcuni attori interni danneggiano le loro aziende per errore, ad esempio installando involontariamente malware o perdendo un dispositivo aziendale che un criminale informatico trova e utilizza per accedere alla rete.

Detto questo, gli insider malevoli esistono. Ad esempio, un dipendente scontento potrebbe abusare dei privilegi di accesso per ottenere un guadagno in termini di denaro (ad esempio, un pagamento da parte di un criminale informatico o di uno stato) o semplicemente per dispetto o vendetta.

Password robuste (link esterno a ibm.com), strumenti per la sicurezza delle e-mail e software antivirus sono tutte le prime linee di difesa critiche contro le minacce informatiche.

Le organizzazioni si affidano inoltre a firewall, VPN, autenticazione a più fattori, formazione sulla sensibilizzazione alla sicurezza e altre soluzioni avanzate di sicurezza degli endpoint e di rete per proteggersi dagli attacchi informatici.

Tuttavia, nessun sistema di sicurezza è completo senza funzionalità all'avanguardia di rilevamento delle minacce e risposta agli incidenti che identifichino le minacce alla cybersecurity in tempo reale e aiutino a isolare e porre rimedio rapidamente alle minacce per minimizzare o prevenire i danni che possono causare.

IBM Security QRadar SIEM applica il machine learning e l'analisi del comportamento degli utenti (UBA) al traffico di rete insieme ai log tradizionali, per un rilevamento più intelligente delle minacce e una correzione più rapida. In un recente studio di Forrester, QRadar SIEM ha aiutato gli analisti della sicurezza a risparmiare più di 14.000 ore in tre anni identificando i falsi positivi, a ridurre del 90% il tempo dedicato alle indagini sugli incidenti e a ridurre del 60% il rischio di subire una grave violazione della sicurezza.* Con QRadar SIEM, i team di sicurezza con risorse limitate dispongono della visibilità e dell'analisi di cui hanno bisogno per rilevare rapidamente le minacce e intraprendere azioni immediate e informate per ridurre al minimo gli effetti di un attacco.

*Il Total Economic Impact™ of IBM Security QRadar SIEM è uno studio commissionato da Forrester Consulting per conto di IBM, aprile 2023. Sulla base dei risultati previsti di un'organizzazione composita modellata a partire da 4 clienti IBM intervistati. I risultati effettivi variano in base alle configurazioni e alle condizioni del cliente e, pertanto, non è possibile fornire i risultati generalmente attesi.