Gli attori delle minacce, noti anche come attori di minacce informatiche o soggetti malintenzionati, sono individui o gruppi che causano intenzionalmente danni a dispositivi o sistemi digitali. Gli attori delle minacce sfruttano le vulnerabilità dei sistemi informatici, delle reti e del software per perpetuare una serie di attacchi informatici, tra cui attacchi di phishing, ransomware e malware.
Oggi esistono molti tipi di attori delle minacce, tutti con caratteristiche, motivazioni, livelli di abilità e tattiche diverse.Alcuni dei tipi più comuni di autori delle minacce includono hacker attivisti, attori stato-nazione, criminali informatici, amanti del brivido, attori di minacce interne e terroristi informatici.
Poiché la frequenza e la gravità dei crimini informatici continuano a crescere, la comprensione di questi diversi tipi di attori delle minacce è sempre più critica per migliorare la sicurezza informatica individuale e organizzativa.
Il termine "attore della minaccia" è ampio e relativamente onnicomprensivo, poiché si estende a qualsiasi persona o gruppo che rappresenti una minaccia per la sicurezza informatica.Gli attori delle minacce sono spesso classificati in diversi tipi in base alle loro motivazioni e, in misura minore, al loro livello di sofisticazione.
Questi individui o gruppi commettono crimini informatici, principalmente a scopo di lucro.I crimini comuni commessi dai criminali informatici includono attacchi ransomware e truffe di phishing che inducono le persone a trasferire denaro o a divulgare informazioni sulle carte di credito, credenziali di accesso, proprietà intellettuale o altre informazioni private o sensibili.
Gli stati nazionali e i governi spesso finanziano gli autori delle minacce con l’obiettivo di rubare dati sensibili, raccogliere informazioni riservate o interrompere le infrastrutture critiche di un altro governo.Queste attività dannose spesso includono spionaggio o guerra informatica e tendono ad essere altamente finanziate, rendendo le minacce complesse e difficili da rilevare.
Questi attori delle minacce utilizzano tecniche di hacking per promuovere programmi politici o sociali, come la diffusione della libertà di parola o la scoperta di violazioni dei diritti umani.Gli hacker attivisti credono di agire per un cambiamento sociale positivo e si sentono giustificati a prendere di mira individui, organizzazioni o agenzie governative per svelare segreti o altre informazioni sensibili.Un noto esempio di gruppo di hacker attivisti è Anonymous, un collettivo internazionale di hacker che sostiene di difendere la libertà di parola su Internet.
Gli amanti del brivido sono proprio quello che sembrano: attaccano computer e sistemi informatici principalmente per divertimento.Alcuni vogliono vedere quante informazioni o dati sensibili riescono a rubare; altri vogliono utilizzare l'hacking per comprendere meglio come funzionano le reti e i sistemi informatici.Una categoria di amanti del brivido, i cosiddetti script kiddie, non ha competenze tecniche avanzate, ma utilizza strumenti e tecniche preesistenti per attaccare i sistemi vulnerabili, principalmente per divertimento o soddisfazione personale.Anche se non sempre hanno intenti malevoli, gli amanti del brivido possono comunque causare danni indesiderati interferendo con la sicurezza informatica di una rete e aprendo la porta a futuri attacchi informatici.
A differenza di molti altri tipi di attori, gli attori delle minacce interne non sempre hanno intenti malevoli.Alcuni danneggiano le loro aziende per errore umano, ad esempio installando involontariamente malware o perdendo un dispositivo aziendale che un criminale informatico trova e utilizza per accedere alla rete.Ma gli insider malintenzionati esistono: ad esempio, il dipendente scontento che abusa dei privilegi di accesso per rubare dati a scopo di lucro, o che causa danni ai dati o alle applicazioni come ritorsione per essere stato scartato per una promozione.
I terroristi informatici lanciano attacchi informatici a sfondo politico o ideologico che minacciano o causano violenza.Alcuni terroristi informatici sono attori stato-nazione; altri agiscono per conto proprio o per conto di un gruppo non governativo.
Gli attori delle minacce prendono spesso di mira le grandi organizzazioni che, disponendo di più denaro e dati sensibili, offrono il maggior potenziale di guadagno.
Negli ultimi anni, tuttavia, anche le piccole e medie imprese (PMI) sono diventate bersaglio frequente delle minacce a causa dei loro sistemi di sicurezza relativamente più deboli.In effetti, l'FBI ha recentemente espresso preoccupazione per l'aumento dei tassi di crimini informatici commessi contro le piccole imprese, affermando che solo nel 2021 le piccole imprese hanno perso 6,9 miliardi di dollari a causa di attacchi informatici, con un aumento del 64% rispetto all'anno precedente (link esterno a ibm.com).
Analogamente, gli attori delle minacce prendono sempre più di mira individui e famiglie per somme minori.Ad esempio, potrebbero violare le reti domestiche e i sistemi informatici per rubare informazioni sull'identità personale, password e altri dati potenzialmente preziosi e sensibili.Infatti, secondo le stime attuali, una famiglia americana su tre che possiede un computer è infettata da qualche tipo di malware (link esterno a ibm.com).
Gli attori delle minacce non fanno discriminazioni.Sebbene tendano a colpire gli obiettivi più remunerativi o significativi, sfrutteranno qualsiasi punto debole della sicurezza informatica, non importa dove, rendendo il panorama delle minacce sempre più costoso e complesso.
Nell'esecuzione di un attacco informatico, gli attori delle minacce impiegano un mix di tattiche, affidandosi prevalentemente ad alcune rispetto ad altre, a seconda della motivazione primaria, delle risorse e dell'obiettivo prefissato.
Il malware è un software intenzionalmente dannoso che danneggia o disabilita i computer.Il malware si diffonde spesso tramite allegati e-mail, siti Web infetti o software compromessi e può aiutare gli attori delle minacce a rubare i dati, a prendere il controllo dei sistemi informatici e ad attaccare altri computer.I tipi di malware includono virus, worm e Trojan Horse, che vengono scaricati su computer camuffati da programmi legittimi.
Il ransomware è un tipo di malware che blocca i dati o il dispositivo della vittima e minaccia di tenerli bloccati, o peggio, a meno che la vittima non paghi un riscatto all'aggressore.Oggi la maggior parte degli attacchi ransomware sono attacchi a doppia estorsione che minacciano anche di rubare i dati della vittima e di venderli o diffonderli online. Secondo l'indice IBM Security X-Force Threat Intelligence 2023, gli attacchi ransomware hanno rappresentato il 17% di tutti gli attacchi informatici nel 2022.
Gli attacchi Big Game Hunting (BGH) sono campagne di ransomware massicce e coordinate che prendono di mira le grandi organizzazioni - governi, grandi imprese, fornitori di infrastrutture critiche - che hanno molto da perdere da un'interruzione e saranno più propense a pagare un riscatto elevato.
Gli attacchi di phishing utilizzano e-mail, messaggi di testo, messaggi vocali o siti Web falsi per ingannare gli utenti e indurli a condividere dati sensibili, scaricare malware o esporsi alla criminalità informatica.I tipi di phishing includono
- Spear phishing, un attacco di phishing che prende di mira uno specifico individuo o un gruppo di individui con messaggi che sembrano provenire da mittenti legittimi che hanno una relazione con l'obiettivo
- Compromissione dell'e-mail aziendale, un attacco di spear phishing che invia alla vittima un'e-mail fraudolenta dall'account e-mail impersonato o dirottato di un collega o di un collaboratore
- Whale phishing, un attacco di spear phising rivolto in particolare a dirigenti o funzionari aziendali di alto livello.
Il phishing è una forma di ingegneria sociale, una classe di attacchi e tattiche che sfruttano sentimenti di paura o urgenza per manipolare le persone e indurle a commettere altri errori che compromettono le risorse o la sicurezza personale o dell'organizzazione.L'ingegneria sociale può consistere in una pratica semplice come lasciare una chiavetta USB infettata da malware in un luogo in cui qualcuno possa trovarla ("Ehi, una chiavetta USB gratis!"), o complessa, come passare mesi a coltivare una relazione romantica a distanza con la vittima per truffarla e farle pagare un biglietto aereo per poterla "finalmente incontrare".
Poiché l'ingegneria sociale sfrutta le debolezze umane piuttosto che le vulnerabilità tecniche, viene talvolta chiamata "human hacking".
Questo tipo di attacco informatico agisce inondando di traffico una rete o un server, rendendolo non disponibile agli utenti.Un attacco DDoS (distributed denial-of-service) sfrutta una rete distribuita di computer per inviare traffico dannoso, creando un attacco in grado di sopraffare l'obiettivo più rapidamente ed essere più difficile da rilevare, prevenire o mitigare.
Le minacce persistenti avanzate (APT) sono attacchi informatici sofisticati che durano mesi o anni anziché ore o giorni.Le APT consentono agli attori delle minacce di operare inosservati nella rete della vittima, infiltrandosi nei sistemi informatici, conducendo attività di spionaggio e ricognizione, aumentando i privilegi e le autorizzazioni (detti lateral movement) e rubando dati sensibili. Poiché possono essere incredibilmente difficili da rilevare e relativamente costose da eseguire, le APT vengono generalmente avanzate da attori stato-nazione o da altri attori delle minacce ben finanziati.
Un attacco backdoor sfrutta un'apertura in un sistema operativo, un'applicazione o un sistema informatico non protetto dalle misure di sicurezza informatica di un'organizzazione.A volte le backdoor vengono create dallo sviluppatore del software o dal produttore dell'hardware, per consentire aggiornamenti, correzioni di bug o (ironia della sorte) patch di sicurezza; altre volte gli attori delle minacce creano backdoor per conto proprio utilizzando malware o hackerando il sistema. Le backdoor consentono agli attori delle minacce di entrare e uscire dai sistemi informatici senza essere individuati.
I termini attore della minaccia, hacker e criminale informatico sono spesso usati in modo intercambiabile, soprattutto a Hollywood e nella cultura popolare.Ma ci sono sottili differenze nei significati di ciascuno e nella loro relazione reciproca.
Non tutti gli attori delle minacce o i criminali informatici sono hacker. Per definizione, un hacker è una persona con le competenze tecniche per compromettere una rete o un sistema informatico.Ma alcuni attori delle minacce o criminali informatici non fanno nulla di più tecnico che lasciare una chiavetta USB infetta affinché qualcuno possa trovarla e utilizzarla o inviare un'e-mail con un malware allegato.
Non tutti gli hacker sono attori delle minacce o criminali informatici.Ad esempio, alcuni hacker, chiamati hacker etici, si spacciano per criminali informatici e aiutano le organizzazioni e le agenzie governative a testare la vulnerabilità dei loro sistemi informatici alle minacce informatiche.
Alcuni tipi di attori delle minacce non sono criminali informatici per definizione o intenzione, ma lo sono nella pratica. Ad esempio, chi cerca il brivido e si "diverte" a mettere fuori uso la rete elettrica di una città per qualche minuto, o un hacker attivista che estrapoli e pubblichi informazioni governative riservate in nome di una nobile causa, può anche commettere un crimine informatico, che ne abbia o meno l'intenzione o la convinzione.
Man mano che la tecnologia diventa più sofisticata, aumenta anche il panorama delle minacce informatiche. Per stare al passo con gli attori delle minacce, le organizzazioni stanno evolvendo continuamente le loro misure di sicurezza informatica e acquisendo una maggiore consapevolezza sulla threat intelligence. Alcune misure che le organizzazioni adottano per mitigare l'impatto degli attori delle minacce, se non per fermarli del tutto, includono
Formazione sulla sensibilizzazione alla sicurezza.Poiché gli attori delle minacce spesso sfruttano l’errore umano, la formazione dei dipendenti è un’importante linea di difesa.La formazione sulla sensibilizzazione alla sicurezza può riguardare qualsiasi aspetto, dal non utilizzo di dispositivi autorizzati dall'azienda, alla corretta conservazione delle password, alle tecniche per riconoscere e gestire le e-mail di phishing.
Autenticazione a più fattori e adattativa.L'implementazione dell'autenticazione a più fattori (richiedendo una o più credenziali in aggiunta a nome utente e password) e/o dell'autenticazione adattiva (richiedendo ulteriori credenziali quando gli utenti effettuano l'accesso da diversi dispositivi o posizioni) può impedire agli hacker di accedere all'account e-mail di un utente, anche se sono in grado di rubare la password e-mail dell'utente.
- Soluzioni per la sicurezza degli endpoint.Spaziano dal software antivirus, che rileva e blocca malware e virus noti, a strumenti come le soluzioni EDR (Endpoint Detection and Response) che utilizzano l'intelligenza artificiale (AI) e l'analytics per aiutare i team di sicurezza a rilevare e agire contro le minacce che superano i tradizionali software endpoint security.
- Tecnologie di sicurezza di rete.La tecnologia fondamentale per la sicurezza di rete è il firewall, che impedisce al traffico sospetto di entrare o uscire da una rete, lasciando passare il traffico legittimo.Altre tecnologie includono i sistemi di prevenzione delle intrusioni (IPS), che monitorano la rete alla ricerca di potenziali minacce e agiscono per bloccarle e il rilevamento e la risposta della rete (NDR), che utilizza l'IA, l'apprendimento automatico e l'analisi comportamentale per aiutare i professionisti della sicurezza a rilevare e automatizzare le risposte alle minacce informatiche.
Software di sicurezza aziendale.Queste soluzioni possono aiutare i team di sicurezza e i centri operativi di sicurezza (SOC) a rilevare e intercettare attività anomale o dannose in tutti i domini dell'infrastruttura IT: endpoint, e-mail, applicazioni, rete e carichi di lavoro cloud.Esse includono (ma non si limitano a) orchestrazione, automazione e risposta della sicurezza (SOAR), gestione degli incidenti e degli eventi di sicurezza (SIEM) e rilevamento e risposta estesi (XDR).
Le organizzazioni possono anche eseguire valutazioni periodiche della sicurezza per identificare le vulnerabilità del sistema.Il personale IT interno è generalmente in grado di condurre queste verifiche, ma alcune aziende le affidano a esperti o fornitori di servizi esterni.L'esecuzione di aggiornamenti regolari del software aiuta anche le aziende e i privati a individuare e a correggere le potenziali vulnerabilità dei loro sistemi informatici e telematici.
Individua le minacce avanzate che altri semplicemente non vedono.QRadar SIEM sfrutta gli analytics e l'AI per monitorare le informazioni sulle minacce, le anomalie della rete e del comportamento degli utenti e per stabilire le priorità in cui è necessario porre attenzione immediata e correggere.
L'individuazione proattiva, il monitoraggio continuo e un'analisi approfondita delle minacce sono solo alcune delle priorità che un reparto IT già molto impegnato deve affrontare.Disporre di un team di risposta agli incidenti affidabile e pronto a intervenire può ridurre i tempi di risposta, minimizzare l'impatto di un attacco informatico e aiutarti a recuperare con maggior rapidità.
Per prevenire e combattere le moderne minacce ransomware, IBM utilizza insight provenienti da 800 TB di dati su minacce e attività, informazioni su oltre 17 milioni di attacchi spam e phishing e dati di reputazione su quasi 1 milioni di indirizzi IP dannosi provenienti da una rete di 270 milioni di endpoint.