Cos'è un attacco informatico?
Gli attacchi informatici sono tentativi di rubare, esporre, alterare, disabilitare o distruggere gli asset di altre persone tramite l'accesso non autorizzato ai sistemi informatici.
Iscriviti alla newsletter IBM Esplora IBM Security QRadar
Donna che programma su monitor di grandi dimensioni
Cos'è un attacco informatico?

Un attacco informatico è qualsiasi azione intenzionale che ha lo scopo di rubare, esporre, alterare, disabilitare o distruggere dati, applicazioni o altri asset tramite l'accesso non autorizzato a una rete, un sistema informatico o un dispositivo digitale.

Gli attori delle minacce lanciano attacchi informatici per svariati motivi, dai piccoli furti agli atti di guerra. Utilizzano una varietà di tattiche, come attacchi malware, truffe di ingegneria sociale e furto di password, per ottenere l'accesso non autorizzato ai sistemi interessati.

Gli attacchi informatici possono interrompere, danneggiare e persino distruggere le aziende. Il costo medio di una violazione dei dati è di 4,35 milioni di dollari. Questa cifra include i costi per l'individuazione e la risposta alla violazione, i tempi di inattività, la perdita di entrate e il danno alla reputazione di un'azienda e del suo marchio.

Ma alcuni attacchi informatici possono essere notevolmente più costosi di altri. Gli attacchi ransomware hanno chiesto riscatti fino a 40 milioni di dollari (link esterno a ibm.com). Le truffe BEC (Business Email Compromise) hanno sottratto alle vittime fino a 47 milioni di dollari in un singolo attacco (link esterno a ibm.com). Gli attacchi informatici che compromettono le informazioni di identificazione personale (PII ) dei clienti possono comportare una perdita di fiducia da parte dei clienti, sanzioni normative e persino azioni legali. Secondo una stima, la criminalità informatica costerà all'economia mondiale  10,5 trilioni di dollari all'anno entro il 2025 (link esterno a ibm.com) .

Perché si verificano gli attacchi informatici? 

Le motivazioni degli attacchi informatici possono variare, ma esistono tre categorie principali: criminale, politico e personale.

Gli autori degli attacchi con motivazioni criminali cercano di ottenere soldi attraverso il furto di denaro, il furto di dati o interruzioni del business. I criminali informatici possono introdursi in un conto bancario per sottrarre direttamente il denaro o utilizzare truffe di ingegneria sociale per indurre le persone a inviare loro denaro. Gli hacker possono rubare i dati e utilizzarli per commettere furti di identità, venderli sul dark web o per chiedere un riscatto.

L'estorsione è un'altra tattica molto utilizzata. Gli hacker possono utilizzare ransomware, attacchi DdoS o altre tattiche per tenere i dati o i dispositivi in ostaggio fino a quando l'azienda colpita non decide di pagare. Secondo l'X-Force Threat Intelligence Index, il 27% degli attacchi informatici punta a estorcere denaro alle proprie vittime.

Gli autori degli attacchi con motivazioni personali, ad esempio dipendenti scontenti, cercano principalmente ritorsioni per qualche offesa percepita. Potrebbero sottrarre denaro, rubare dati riservati o interrompere i sistemi di un'azienda.

Gli autori degli attacchi con motivazioni politiche sono spesso legati alla guerra informatica, al terrorismo informatico o all'“hacktivismo”. Nelle guerre informatiche, gli attori di stati-nazione spesso prendono di mira le agenzie governative o le infrastrutture critiche dei loro nemici. Ad esempio, dall'inizio della guerra tra Russia e Ucraina, entrambi i Paesi hanno subito un'ondata di attacchi informatici contro istituzioni vitali (link esterno a ibm.com). Gli hacker attivisti, chiamati “hacktivisti”, potrebbero non causare grossi danni ai loro bersagli: in genere cercano semplicemente di attirare l'attenzione sulle loro cause, rendendo noti al pubblico i loro attacchi.

Le motivazioni meno comuni degli attacchi informatici includono lo spionaggio aziendale, in cui gli hacker sottraggono proprietà intellettuale per ottenere un vantaggio sleale sui concorrenti, e gli hacker vigilanti, che sfruttano le vulnerabilità di un sistema per avvisare gli altri della loro esistenza. Alcuni hacker operano semplicemente per divertimento, traendo piacere dalla sfida intellettuale.

Chi c'è dietro gli attacchi informatici?

Organizzazioni criminali, attori statali e privati possono lanciare attacchi informatici. Un modo per classificare gli attori delle minacce è classificarli come minacce esterne o come minacce interne.

Le minacce esterne sono utenti che cercano di ottenere l'accesso non autorizzato a reti o dispositivi. Gli attori delle minacce informatiche esterne includono gruppi criminali organizzati, hacker professionisti, attori finanziati dallo Stato, hacker dilettanti e hacktivisti.

Le minacce interne sono utenti che hanno un accesso autorizzato e legittimo alle risorse di un'azienda e abusano dei loro privilegi deliberatamente o accidentalmente. Questa categoria include dipendenti, partner commerciali, clienti, appaltatori e fornitori con accesso al sistema.

Sebbene un utente poco attento possa mettere a rischio la propria azienda, si può parlare di vero e proprio attacco informatico solo se l'utente utilizza intenzionalmente i propri privilegi per svolgere attività dannose. Un dipendente che archivia con noncuranza informazioni sensibili in un'unità non protetta non sta commettendo alcun attacco informatico; al contrario, un dipendente scontento che crea consapevolmente copie di dati riservati per guadagno personale sì. 

Cosa prendono di mira gli attacchi informatici?

Gli attori delle minacce in genere irrompono nelle reti di computer perché cercano qualcosa di specifico. Gli obiettivi più comuni includono:

  • Soldi
  • Dati finanziari delle aziende
  • Elenchi dei clienti
  • Dati dei clienti, incluse informazioni che permettono l'identificazione personale (PII) o altri dati personali sensibili
  • Indirizzi e-mail e credenziali di accesso
  • Proprietà intellettuale, come segreti commerciali o progetti di prodotti

In alcuni casi, gli autori degli attacchi non intendono rubare nulla. Piuttosto, desiderano semplicemente interrompere i sistemi informatici o le infrastrutture IT per danneggiare un'azienda, un'agenzia governativa o un altro obiettivo. 

Quali sono gli effetti degli attacchi informatici sulle aziende? 

In caso di successo, gli attacchi informatici possono danneggiare le aziende causando tempi di inattività, perdite di dati e perdite di denaro. Per esempio:

  • Gli hacker possono utilizzare malware o attacchi denial-of-service per causare arresti anomali dei sistemi o dei server. Questo periodo di inattività può portare a gravi interruzioni del servizio e perdite finanziarie. Secondo il report Cost of a Data Breach, le violazioni in media comportano una perdita di affari di 1,42 milioni di dollari.

  • Gli attacchi SQL injection consentono agli hacker di alterare, eliminare o sottrarre dati da un sistema.

  • Gli attacchi di phishing consentono agli hacker di indurre le persone a inviare denaro o informazioni sensibili.

  • Gli attacchi ransomware possono disabilitare un sistema finché l’azienda colpita non paga un riscatto all’aggressore. Secondo un report (link esterno a ibm.com), il pagamento medio di un riscatto è pari a 812.360 USD.

Oltre a danneggiare direttamente il bersaglio, gli attacchi informatici possono comportare una serie di costi e conseguenze secondari. Ad esempio, il report Cost of a Data Breach ha rilevato che le aziende spendono in media 2,62 milioni di dollari per rilevare, rispondere e rimediare alle violazioni.

Gli attacchi informatici possono anche avere ripercussioni sulle vittime al di là dell'obiettivo immediato. Nel 2021, la banda autrice di attacchi ransomware DarkSide attaccò la Colonial Pipeline, il più grande sistema di oleodotti degli Stati Uniti. Gli autori dell'attacco sono entrati nella rete aziendale utilizzando una password compromessa (link esterno a ibm.com) e hanno poi chiuso l'oleodotto che trasporta il 45% del gas, del diesel e del carburante per aerei fornito alla costa orientale degli Stati Uniti, causando una diffusa carenza di carburante.

I criminali informatici hanno chiesto un riscatto di quasi 5 milioni di dollari in Bitcoin, che Colonial Pipeline ha pagato (link esterno a ibm.com). Tuttavia, con l’aiuto del governo statunitense, l’azienda è riuscita a recuperare 2,3 milioni di dollari persi con il riscatto.

Quali sono i tipi più comuni di attacco informatico?

I criminali informatici utilizzano diversi strumenti e tecniche sofisticate per lanciare attacchi informatici contro sistemi IT aziendali, computer personali e altri obiettivi. Alcuni dei tipi più comuni di attacchi informatici includono:

Malware

Il malware è un software intenzionalmente dannoso che può rendere inutilizzabili i sistemi infetti. Il malware può distruggere dati, sottrarre informazioni o persino cancellare file critici per l'esecuzione del sistema operativo. Il malware è presente in molte forme:

  • I Trojan horse si mascherano da programmi utili o si nascondono all'interno di un software legittimo per indurre gli utenti a installarli. Un Trojan di accesso remoto (RAT) crea una backdoor segreta sul dispositivo della vittima, mentre un Trojan dropper installa un ulteriore malware una volta che ha acquisito un punto d'appoggio.

  • Il ransomware è un malware sofisticato che utilizza una cifratura complessa per tenere in ostaggio dati o sistemi. I criminali informatici richiedono quindi il pagamento in cambio della liberazione del sistema e del ripristino della funzionalità. Secondo l' X-Force Threat Intelligence Index di IBM, il ransomware è il secondo tipo di attacco informatico più comune, responsabile del 17% degli attacchi.

  • Lo scareware utilizza messaggi falsi per spaventare le vittime, inducendole a scaricare malware o trasferire informazioni sensibili a un frodatore.

  • Lo spyware è un tipo di malware che raccoglie segretamente informazioni sensibili, come nomi utente, password e numeri di carta di credito. Queste informazioni vengono poi inviate all'hacker.

  • I rootkit sono pacchetti di malware che consentono agli hacker di ottenere l'accesso come amministratore al sistema operativo di un computer o ad altre risorse.

  • I worm sono codici dannosi autoreplicanti che possono diffondersi automaticamente tra app e dispositivi. 
Ingegneria sociale

Gli attacchi di ingegneria sociale manipolano le persone per indurle a compiere azioni improprie, ad esempio condividere informazioni che non dovrebbero condividere, scaricare software che non dovrebbero scaricare o inviare denaro ai criminali.

Il phishing è uno degli attacchi di ingegneria sociale più pervasivi. Secondo il report Cost of a Data Breach, si tratta della seconda causa più comune di violazioni. Le truffe di phishing più elementari utilizzano e-mail o messaggi di testo falsi per appropriarsi delle credenziali degli utenti, estrapolare dati riservati o diffondere malware. I messaggi di phishing sono spesso progettati per sembrare provenienti da una fonte legittima. Di solito inducono la vittima a fare clic su un collegamento ipertestuale che la indirizza a un sito web dannoso o ad aprire un allegato e-mail che si rivela essere un malware.

I criminali informatici hanno sviluppato altri metodi di phishing più sofisticati. Lo spear phishing è un attacco altamente mirato che mira a manipolare un individuo specifico, spesso utilizzando i dettagli dei profili pubblici dei social media della vittima per rendere lo stratagemma più convincente. Il whale phishing è un tipo di spear phishing che prende di mira specificamente i funzionari aziendali di alto livello. In una truffa BEC (Business Email Compromise), i criminali informatici si fingono dirigenti, venditori o altri soci in affari per indurre le vittime a trasferire denaro o a condividere dati riservati. 

Attacchi denial-of-service

Gli attacchi denial-of-service (DoS) e distributed denial-of-service (DDoS) ingolfano le risorse di un sistema con un traffico fraudolento. Questo traffico sovraccarica il sistema, impedendo risposte a richieste legittime e riducendo le prestazioni del sistema. Un attacco denial-of-service può essere fine a se stesso o la preparazione per un altro attacco.

La differenza tra attacchi DoS e attacchi DDoS è semplicemente che gli attacchi DoS utilizzano un'unica fonte per generare traffico fraudolento, mentre gli attacchi DDoS utilizzano ne utilizzano molteplici. Gli attacchi DDoS vengono spesso eseguiti con una botnet, una rete di dispositivi connessi a Internet e infettati da malware sotto il controllo di un hacker. Le botnet possono includere laptop, smartphone e dispositivi IoT (Internet of Things). Le vittime spesso non sanno quando una botnet ha violato i loro dispositivi.

Compromissione dell'account

Le compromissioni dell'account includono qualsiasi attacco in cui un hacker prende il controllo dell'account di un utente legittimo per attività dannose. I criminali informatici possono violare l'account di un utente in diversi modi: ad esempio possono sottrarre credenziali tramite attacchi di phishing o acquistare database di password rubate dal dark web; possono utilizzare strumenti per attaccare le password, come Hashcat e John the Ripper, per decifrare le password oppure mettere in atto attacchi brute force, in cui eseguono script automatizzati o bot per generare e testare potenziali password finché non trovano quella giusta.

Attacchi man-in-the-middle

In un attacco man-in-the-middle (MiTM), chiamato anche “attacco di intercettazione”, un hacker intercetta segretamente le comunicazioni tra due persone o tra un utente e un server. Gli attacchi MitM vengono comunemente eseguiti tramite reti Wi-Fi pubbliche non protette, dove è relativamente facile per gli attori delle minacce spiare il traffico.

Gli hacker possono leggere le e-mail di un utente o addirittura alterarle segretamente prima che raggiungano il destinatario. In un attacco di sottrazione di sessione, l'hacker interrompe la connessione tra un utente e un server che ospita asset importanti, come un database aziendale riservato. L'hacker scambia il proprio indirizzo IP con quello dell'utente, facendo credere al server che si tratti di un utente legittimo connesso a una sessione legittima. In questo modo, l'hacker è completamente libero di sottrarre dati o provocare danni. 

Attacchi alla supply chain

Gli attacchi alla supply chain sono attacchi informatici in cui gli hacker violano un'azienda prendendo di mira i suoi fornitori di software, di materiali e di altri servizi. Poiché i fornitori sono spesso in qualche modo connessi alle reti dei loro clienti, gli hacker possono utilizzare la rete del fornitore come vettore di attacco per accedere a più obiettivi contemporaneamente.

Ad esempio, nel 2020, degli attori statali russi hanno attaccato il fornitore di software SolarWinds e distribuito malware ai propri clienti con il pretesto di un aggiornamento software (link esterno a ibm.com). Il malware ha permesso alle spie russe di accedere ai dati riservati di varie agenzie governative statunitensi utilizzando i servizi di SolarWinds, tra cui il Tesoro, la Giustizia e i Dipartimenti di Stato. 

Altri tipi di attacchi informatici
Script cross-site (XSS) 

Gli attacchi XSS (script cross-site) introducono un codice dannoso in una pagina o applicazione web legittima. Quando un utente visita il sito o l'applicazione, il codice viene eseguito automaticamente nel browser web dell'utente, rubando di solito informazioni sensibili o reindirizzando l'utente a un sito web dannoso. Gli autori degli attacchi utilizzano spesso JavaScript per gli attacchi XSS.

SQL injection

Gli attacchi SQL injection utilizzano l'SQL (Structured Query Language) per inviare comandi malevoli al database di backend di un sito web o di un'applicazione. Gli hacker inseriscono i comandi attraverso campi rivolti all'utente, come barre di ricerca e finestre di accesso. I comandi vengono quindi passati al database, richiedendo la restituzione di dati privati come numeri di carte di credito o dati dei clienti.

Tunneling DNS

Il tunneling DNS nasconde il traffico dannoso all'interno di pacchetti DNS, consentendo di bypassare i firewall e altre misure di sicurezza. I criminali informatici utilizzano il tunneling DNS per creare canali di comunicazione segreti, che possono utilizzare per estrarre i dati o stabilire connessioni tra un malware e un server di comando e controllo (C&C).

Exploit zero-day

Gli exploit zero-day sfruttano le vulnerabilità zero-day, ovvero delle vulnerabilità che sono ignote agli addetti alla sicurezza oppure che sono state identificate ma non ancora risolte. Queste vulnerabilità possono esistere per giorni, mesi o anni prima che gli sviluppatori ne vengano a conoscenza, rendendoli i bersagli principali degli hacker.

Attacchi senza file

Gli attacchi senza file utilizzano le vulnerabilità nei programmi software legittimi per immettere un codice nocivo direttamente nella memoria di un computer. I criminali informatici spesso utilizzano PowerShell, uno strumento di scripting integrato nei sistemi operativi Microsoft Windows, per eseguire script malevoli che modificano le configurazioni o rubano le password.

Spoofing DNS

Gli attacchi di spoofing DNS, chiamati anche “avvelenamento DNS”, modificano segretamente i record DNS per sostituire il vero indirizzo IP di un sito web con uno falso. Quando le vittime tentano di visitare il sito reale, vengono inconsapevolmente indirizzate a una copia dannosa del sito stesso che sottrae i loro dati o diffonde malware. 

Prevenzione, rilevamento e risposta agli attacchi informatici

Le organizzazioni possono ridurre gli attacchi informatici implementando sistemi e strategie di sicurezza informatica. La sicurezza informatica è la pratica di proteggere i sistemi critici e le informazioni sensibili dagli attacchi digitali utilizzando una combinazione di tecnologia, persone e processi. 

Prevenzione degli attacchi informatici

Molte organizzazioni implementano una strategia di gestione delle minacce per identificare e proteggere gli asset e le risorse più importanti. La gestione delle minacce può includere diverse politiche e soluzioni di sicurezza, come quelle di seguito.

  • Le piattaforme e le politiche di gestione delle identità e degli accessi (IAM), tra cui l'accesso con minori privilegi, l'autenticazione a più fattori e politiche solide per le password, possono aiutare a garantire che solo le persone autorizzate abbiano accesso alle risorse pertinenti. Le aziende potrebbero anche richiedere ai dipendenti da remoto di utilizzare reti private virtuali (VPN) quando accedono a risorse sensibili tramite Wi-Fi non protetto.
     
  • Una piattaforma completa per la sicurezza dei dati e strumenti di prevenzione della perdita di dati (DLP) possono crittografare i dati riservati, monitorarne l'accesso e l'utilizzo e inviare avvisi quando vengono rilevate attività sospette. Le organizzazioni possono inoltre eseguire data backup regolari per ridurre al minimo i danni in caso di violazione.

  • I firewall possono aiutare a impedire innanzitutto agli autori delle minacce di accedere alla rete. I firewall possono anche bloccare il traffico dannoso che esce dalla rete, ad esempio malware che tentano di comunicare con un server di comando e controllo.
     
  • La formazione sulla sicurezza può aiutare gli utenti a identificare ed evitare alcuni dei vettori di attacco informatico più comuni, come il phishing e altri attacchi di ingegneria sociale.

  • Le politiche di gestione delle vulnerabilità, tra cui i programmi di gestione delle patch e test di penetrazione regolari, possono aiutare a individuare e risolvere le vulnerabilità prima che gli hacker possano sfruttarle.

  • Gli strumenti di gestione della superficie di attacco (ASM) possono identificare, catalogare e correggere gli asset potenzialmente vulnerabili prima che gli aggressori informatici li trovino.

  • Gli strumenti di unified endpoint management (UEM) possono applicare politiche e controlli di sicurezza a tutti gli endpoint della rete aziendale, tra cui laptop, desktop e dispositivi mobili.
Rilevamento degli attacchi informatici

È impossibile prevenire tutti i tentativi di attacco informatico, pertanto le organizzazioni possono anche adoperare il monitoraggio continuo della sicurezza e processi di rilevamento precoce per identificare e segnalare gli attacchi informatici in corso. Ecco alcuni esempi:

  • I sistemi di gestione delle informazioni e degli eventi di sicurezza (SIEM) centralizzano e tengono traccia degli avvisi di vari strumenti interni di sicurezza informatica, tra cui sistemi di rilevamento delle intrusioni (IDS), sistemi di rilevamento e risposta degli endpoint (EDR) e altre soluzioni di sicurezza.

  • Le piattaforme di threat intelligence arricchiscono gli avvertimenti di sicurezza per aiutare i team addetti alla sicurezza a comprendere i tipi di minacce alla sicurezza informatica che potrebbero dover affrontare.

  • I software antivirus possono scansionare regolarmente i sistemi informatici alla ricerca di programmi dannosi ed eliminare automaticamente i malware identificati.

  • I processi proattivi di individuazione delle minacce possono rintracciare le minacce informatiche segretamente in agguato nella rete, come le minacce persistenti avanzate (Advanced Persistent Threat, APT).
Risposta agli attacchi informatici

Le organizzazioni possono anche adottare misure per garantire una risposta adeguata agli attacchi informatici in corso e ad altri eventi di sicurezza informatica. Ecco alcuni esempi:

  • I pani di risposta agli incidenti possono aiutare a contenere ed eliminare vari tipi di attacchi informatici, ripristinare i sistemi interessati e analizzare le cause principali per prevenire attacchi futuri. È dimostrato che i piani di risposta agli incidenti riducono i costi complessivi degli attacchi informatici. Secondo il report Cost of a Data Breach, le organizzazioni con team e piani formali di risposta agli incidenti riducono i costi delle violazioni con una media del 58%.

  • Le soluzioni di orchestrazione della sicurezza, automazione e risposta (SOAR) possono consentire ai team addetti alla sicurezza di coordinare diversi strumenti di sicurezza in playbook parzialmente o completamente automatizzati per rispondere agli attacchi informatici in tempo reale.

  • Le soluzioni di rilevazione e risposta estese (XDR) integrano strumenti e operazioni di sicurezza in tutti i livelli di sicurezza: utenti, endpoint, e-mail, applicazioni, reti, carichi di lavoro cloud e dati. Le soluzioni XDR possono aiutare ad automatizzare complessi processi di prevenzione, rilevamento, indagine e risposta agli attacchi informatici, inclusa l'individuazione proattiva alle minacce.
Soluzioni correlate
IBM® Security QRadar Suite

Supera in astuzia gli attori delle minacce con una suite di sicurezza connessa e modernizzata. Il portafoglio QRadar incorpora AI di grado aziendale e offre prodotti integrati per la sicurezza degli endpoint, la gestione log, SIEM e SOAR, il tutto con un'interfaccia utente comune, conoscenze condivise e workflow connessi.

Esplora QRadar Suite
Team di risposta agli incidenti X-Force

L'individuazione proattiva, il monitoraggio continuo e un'analisi approfondita delle minacce sono solo alcune delle priorità che un reparto IT già molto impegnato deve affrontare. Disporre di un team di risposta agli incidenti affidabile e pronto a intervenire può ridurre i tempi di risposta, minimizzare l'impatto di un attacco informatico e aiutarti a recuperare con maggior rapidità.

Esplora la risposta agli incidenti di X-Force
Soluzioni di protezione dai ransomware

Per prevenire e combattere le moderne minacce ransomware, IBM utilizza insight provenienti da 800 TB di dati su minacce e attività, informazioni su oltre 17 milioni di attacchi spam e phishing e dati di reputazione su quasi 1 milioni di indirizzi IP dannosi provenienti da una rete di 270 milioni di endpoint.

Esplora le soluzioni di protezione contro il ransomware
Risorse Report Cost of a Data Breach

Il report Cost of a Data Breach condivide gli insight più recenti sul panorama delle minacce in espansione e offre raccomandazioni su come risparmiare tempo e limitare le perdite.

X-Force Threat Intelligence Index

L'IBM Security® X-Force® Threat Intelligence Index offre ai CISO, ai team di sicurezza e ai leader aziendali insight fruibili, utili per capire come gli attori delle minacce stanno sferrando gli attacchi e come proteggere proattivamente la propria organizzazione.

Framework di esecuzione e preparazione a un attacco informatico

I framework di esecuzione e preparazione agli attacchi informatici di X-Force forniscono un flusso logico rappresentativo degli attacchi odierni e incorporano fasi normalmente non incluse in altri framework.

Fai il passo successivo

Le minacce alla sicurezza informatica stanno diventando sempre più evolute e persistenti e richiedono agli analisti di sicurezza un impegno sempre crescente nell'esame di innumerevoli avvisi e incidenti. IBM Security QRadar SIEM aiuta a rimuovere le minacce in modo facile e rapido, preservando i risultati finali. QRadar SIEM assegna priorità agli avvisi ad alta fedeltà per aiutarti a individuare le minacce che altri non vedono affatto.

Ulteriori informazioni su QRadar SIEM Richiedi una dimostrazione QRadar SIEM