L’informatizzazione delle attività aziendali comporta indubbi vantaggi per il life-cycle delle operazioni in tutti gli ambiti produttivi, tuttavia, come dimostra la storia, questa ha reso più elevato il rischio di furto delle informazioni utilizzate in ambito aziendale. Un malintenzionato potrebbe scatenare un attacco informatico per sottrarre importanti dati utilizzabili per diversi scopi oppure per prendere il controllo dei sistemi aziendali stessi.
In uno scenario simile diventa essenziale pensare, progettare e porre in atto una strategia di difesa contro tali atti criminali che arrecano notevoli danni, sia produttivi che economici e finanziari, alle aziende colpite.
Cos’è un attacco informatico?
Con il termine attacco informatico si intende l’accesso non autorizzato ad informazioni e risorse al fine di sottrarre dati oppure comprometterne l’integrità eludendo le misure di sicurezza di un sistema informatico aziendale, prendendone il controllo.
I numeri degli attacchi informatici
Per fornire un’idea della portata del problema rappresentato dall’attività degli hacker (singoli o in gruppi) è bene presentare qualche cifra relativa ai costi derivati dai crimini informatici, a livello globale:
USD 6 trilioni / anno
USD 500 miliardi / mese
USD 115.4 miliardi / Settimana
USD 16.4 miliardi / Giorno
USD 684.9 milioni / Ora
USD 11.4 milioni / Minuto
USD 190 mila / Secondo
Fonte: Rivista Cybersecurity Ventures.
Tali costi sono calcolati considerando:
– Interruzione dell’attività dell’azienda.
– Continuazione dell’attività senza tali dati.
– Ricreazione dei dati persi o rubati
– Informazione di terze parti dell’attacco.
– Perdita della credibilità verso soggetti terzi.
Tipologia e tecniche di attacco informatico
Facciamo uno zoom-in sull’attività hacker in Italia riferendoci all’ultimo rapporto (edizione Ottobre 2021) Clusit (Associazione Italiana per la Sicurezza Informatica):
Le tecniche di attacco utilizzate dai cyber-criminali, come si evince dalla statistica, vedono un incremento notevole, rispetto al medesimo periodo del 2020, degli attacchi a mezzo Web (+66,7%), dello sfruttamento delle vulnerabilità (+41,4%) e l’utilizzo di tecniche miste (+11,6%); di seguito un riassunto delle relative numeriche:
Malware +10.5%
Unknown +13.9%
Vulnerabilities +41.4%
Phishing, Social Engineering -13.0%
Multiple Techniques +11.6%
Identity Theft, Account Cracking -29.5%
Web Attack +66.7%
Denial Of Service -42.9%
Un piccolo riassunto sulle metodologie di attacco più diffuse:
Malware: comune attacco informatico. È un programma che permette l’accesso non autorizzato ad un computer. Sempre più diffuso grazie anche alla facilità di reperimento del relativo codice sul Dark Web.
Escalating privilege: un insieme di tecniche che permette di scalare i privilegi di amministratore e prendere il controllo della macchina target, al fine di installare malware, trojan oppure trasformarla in un computer-zombie, utilizzandolo come base per sferrare altri attacchi informatici, grazie alla creazione di una backdoor.
DDoS: si tratta di un tipo di attacco che blocca il sistema informatico grazie alla trasmissione continua di richieste in quantità tale che non è possibile soddisfarle tutte. Acronimo di “Distributed Denial of Service”, rappresenta un attacco di portata così ampia che è necessario portarla a termine utilizzando numerose macchine zombie.
Drive by Download: è un attacco molto diffuso, dove la vittima viene portata a scaricare inconsapevolmente un malware sul dispositivo target cliccando su un link oppure una popup.
Phishing: molto simile al precedente, la differenza consiste nel fatto che in questo caso i criminali attendono che la vittima inserisca dati sensibili tramite un form quasi identico a quello del servizio lecito. Tale tecnica, per essere veicolata, utilizza principalmente la posta elettronica.
La motivazione degli attacchi vede un netto aumento, pari al +21,1%, delle attività criminali con fini di lucro.
Cybercrime +21.1%
Espionage-Sabotage -36.7%
Hacktivism -66.7%
Information Warfare 18.2%
Espionage-Sabotage + Inf. Warfare -29.65%
Le fasi di un cyber-attacco
Si sviluppa, principalmente, in quattro fasi che possono tuttavia variare a seconda del tipo di aggressione informatica e di obiettivo:
Footprinting: raccolta delle informazioni riguardanti i sistemi di sicurezza delle reti informatiche obiettivo.
Scanning: verifica da parte dell’hacker delle metodologie e degli strumenti migliori per sferrare l’attacco.
Enumeration: individuazione delle eventuali falle di sicurezza sfruttabili, utilizzando le credenziali degli account attivi, le risorse meno protette oppure software non aggiornati con vulnerabilità già conosciute.
Gaining Access: in questa fase l’hacker effettua la penetrazione nel sistema, portando a termine la sua attività criminale usando l’accesso ai sistemi informatici ottenuto grazie ai tre steps precedenti.
Come difendersi dal cyber-crime
Essere a conoscenza dei tipi di attacchi informatici perpetrati dagli hackers permette di mettere a punto le migliori strategie per contrastarli in maniera efficace e nei paragrafi precedenti è stato effettuato un piccolo focus sull’argomento.
Ogni impresa deve, vista la crescita continua dei crimini informatici, proteggere se stessa e chiunque abbia interessi di qualsivoglia natura nella sua attività ponendo in atto tutte quelle azioni necessarie al perseguimento di tale scopo. L’insieme di queste azioni prende il nome di Sicurezza Informatica.
Cos’è la sicurezza informatica?
È quella branca dell’informatica che tratta l’analisi delle vulnerabilità, in ogni loro forma, delle minacce e del rischio ad esse collegato. Su questa base sviluppa le varie azioni, organizzative e tecniche, per proteggere il sistema informatico ed i dati gestiti.
Sicurezza informatica attiva e passiva
La sicurezza informatica passiva
Detta anche sicurezza fisica, comprende l’insieme di tecniche e strumenti di natura difensiva, quindi che si occupano di impedire che eventuali attaccanti riescano ad avere accesso ai sistemi, risorse ed informazioni di proprietà dell’azienda.
Per sua natura è un’azione di respiro molto ampio, che comprende anche l’accesso fisico alla struttura, ai sistemi informatici, l’identificazione dei dipendenti e dei collaboratori, l’utilizzo di porte blindate e locali protetti.
Gli strumenti principali utilizzabili in tale tipologia di difesa sono:
- Firewall: è un componente passivo di difesa perimetrale di un sistema informatico. Se presente e configurato in modo corretto garantisce il controllo degli accessi tramite la verifica del traffico in ingresso (attacchi che provengono dall’esterno) ed in uscita (estrapolazione di dati e loro trasmissione verso un hub o repository non autorizzato oppure chiamata verso l’esterno di un malware già presente nel sistema per qualsiasi scopo illecito).
- IDS (Intrusion Detection System): può essere software, hardware oppure la combinazione di entrambi. Identifica gli accessi non autorizzati al sistema ed è composto da quattro componenti primari: i sensori, che ricevono i dati dalla rete e dai computer, la console, strumento per monitorare lo stato della rete informatica e dei computer, il motore, che analizza i dati recepiti dai sensori ed individua le falle nella sicurezza informatica, l’analizzatore (motore di analisi) che utilizza un database contenente le regole e le metriche per identificare le eventuali violazioni della sicurezza.
- NIDS (Network Intrusion Detection System): strumento informatico, software oppure hardware, analizza il traffico di uno o più tratti di una LAN per individuarne le anomalie nel comportamenti e nei flussi che possono essere indice di possibili intrusioni informatiche. Effettua il monitoring di accessi non autorizzati, diffusione di malware, escalation privilege, intercettazione del traffico internet, attacchi DDoS.
- Antivirus, Antispyware, Antimalware, Antispam: generalmente uniti in un’unica suite di sicurezza, per assicurare una protezione ottimale, consentono la protezione del sistema informatico grazie al loro costante aggiornamento ed all’utilizzo delle tecniche di riconoscimento delle minacce di natura euristica e l’analisi comportamentale (semantica) di ogni programma destinato all’esecuzione.
- Honeypot: è un componente, che può essere hardware o software, utilizzato per attirare l’attenzione di un eventuale attaccante verso un insieme di dati di nessuna importanza per l’azienda. Lo si può considerare un’esca e, normalmente, consiste in un computer o sito web deputato esclusivamente a tale funzione.
- Backup: anche se non rappresenta un vero e proprio sistema di difesa, è uno strumento indispensabile in ottica di Disaster Recovery. Permette di recuperare informazioni perdute oppure danneggiate. Consiste nell’effettuare una o più copie di sicurezza dei dati (in questo caso è opportuno valutare l’utilizzo di un sistema RAID con possibilità di isolamento delle informazioni). Ha acquisito sempre più maggiore importanza per le imprese di tutte le dimensioni dopo l’incremento degli attacchi di tipo Ransomware.
La sicurezza informatica attiva
Conosciuta anche come sicurezza logica, è l’insieme di operatività e mezzi grazie ai quali vengono protetti a livello intrinseco informazioni e dati, garantendo la loro:
- Confidenzialità (riservatezza): le informazioni devono essere accessibili esclusivamente ai soggetti autorizzati ed aventi diritto. Ciò passa attraverso il concetto di autenticazione, che assicura che gli utenti siano effettivamente chi dicono di essere. Il permesso di accesso ai dati può essere personalizzato a seconda del ruolo e del livello occupato nell’organigramma aziendale. Permette il controllo di quali informazioni vengono raccolte, il loro utilizzo, chi e dove vengono conservate. Nessun utilizzatore può ottenere dal sistema informazioni la cui conoscenza non è di sua pertinenza (Need To Know). Questo riduce il livello di rischio derivante da un accesso illecito ai dati ed il loro conseguente utilizzo. Viene gestita sia in fase di comunicazione (crittografia, firma digitale, ecc) che di conservazione.
- Integrità: i dati devono essere completi e non corrotti, non alterabili da utenti non autorizzati oppure da eventuali malfunzionamenti del sistema stesso (si pensi ad un database). Le informazioni, infatti, devono essere corrette, coerenti ed affidabili.
- Disponibilità: l’accessibilità alle informazioni deve essere garantita solo se richiesta da un soggetto autorizzato con le modalità e le metriche previste dalla policy aziendale. Il sistema deve essere operativo in ogni momento e deve essere presente un meccanismo di recupero dei dati qualora questi divengano, per motivazioni esterne od interne, non più accessibili.
Si considerano parte integrante di tale concetto il Penetration Test, il Vulnerability Assessment e la crittografia.
Penetration Test
Il Penetration Test è un processo che analizza la sicurezza di un sistema informatico, ne valuta le vulnerabilità interne ed esterne e testa la sicurezza fisica. Viene posto in essere effettuando un attacco simulato ai sistemi, evidenziando le eventuali debolezze o falle. Di solito viene effettuato una volta l’anno, evidenzia puntualmente quali dati possono essere compromessi da un attacco, scopre falle all’interno dei normali processi aziendali al fine di ridurre il rischio e viene effettuato da un servizio esterno per garantire l’obiettività del test stesso.
Esistono vari tipi di Penetration Test: WAPT (Web Application Penetration Test), che è una simulazione di attacco al sito web aziendale al fine di mettere in luce le possibili vulnerabilità, che possono compromettere i principi di integrità, confidenzialità e disponibilità dei dati; MAPT (Mobile Applicatrio Penetration Test), che individua le vulnerabilità delle applicazioni aziendali utilizzate sulle piattaforme mobili degli utenti; Black-Box Penetration Test, simile ad un attacco reale ma limitato nel tempo utilizzabile per sferrarlo; White-Box Penetration Test, che permette di scoprire tutte le falle di sicurezza, anche di quelle per cui è necessario verificare il codice sorgente.
Vulnerability Assessment
Rappresenta la fase di identificazione, quantificazione e prioritizzazione delle vulnerabilità di un sistema informatico. L’operazione ha natura ciclica, in quanto prevede il testing continuo dei risultati ottenuti dopo l’audit del sistema in base all’analisi precedente. Effettua il controllo delle vulnerabilità dei software utilizzati in azienda e che possono essere sfruttate, evidenzia quale programma è stato compromesso ed è effettuato da personale interno all’azienda. Si può suddividere in Host Assessment, se la sua applicazione riguarda la verifica delle vulnerabilità a livello di sistema, quali possono essere bug, presenza di backdoor, permissions non corrette relativamente ai file, e viene effettuata con tramite l’utilizzo di software specifici. Dato l’elevato costo in termini di tempo di questo tipo di intervento, viene posto in essere solo per la verifica di sistemi di importanza fondamentale per l’azienda. Altro tipo è rappresentato dal Network Assessment, che valuta una rete prendendo in considerazione vulnerabilità già note, determinando quali dei servizi in quel momento attivi possono essere vulnerabili a tali attacchi. Non necessitando di particolari configurazioni per essere effettuato, tale test ha un costo irrisorio in termini di tempo e carico dei sistemi stessi.
Crittografia e firma digitale
I documenti ed i dati sensibili vengono protetti dagli accessi illeciti usando strumenti di sicurezza specifici come la firma digitale ed i certificati digitali al fine di effettuare l’identificazione univoca dell’autorità emittente il certificato. Le principali metodologie utilizzate per porre in atto tale tecnica sono l’hashing, con cui una stringa di lunghezza arbitraria viene trasformata in una di valore fisso, dal momento che il suo scopo è quello di verificare i dati contenuti in essa; la crittografia simmetrica, che utilizza una sola chiave per crittografare e decrittografare le informazioni riducendo i tempi di elaborazione; la crittografia asimmetrica, che utilizza due chiavi differenti per crittografare e decrittografare: un messaggio sottoposto a questo tipo di crittografia può essere decrittografato esclusivamente con l’utilizzo di una chiave privata. Questa tecnica viene utilizzata per elevare la sicurezza nello scambio di informazioni e per garantire soprattutto quattro funzioni quali l’autenticazione, che garantisce l’identità delle parti in quel momento in contatto, la riservatezza, l’integrità ed il Non-Repudation che garantisce l’identità dell’utente che ha effettuato una certa operazione ed il suo collegamento ad essa.
Sicurezza informatica attiva e passiva: importanti ma non sempre sufficienti
Per ottenere i migliori risultati nella lotta al cyber-crime è necessario che sicurezza attiva e passiva collaborino dinamicamente, al fine di adattarsi alla continua ricerca di sistemi di hacking sempre più sofisticati da parte dei malintenzionati.
Occorre altresì considerare il cosiddetto fattore umano che risulta essere uno degli attori principali di un attacco informatico: la scelta di password deboli, l’incapacità di riconoscere un sito pericoloso oppure un’email di phishing, il collegamento di un supporto esterno (quale può essere una chiavetta usb) al computer aziendale senza prima averne verificato il contenuto e la sua sicurezza, la mancanza di formazione mirata a fornire quelle competenze necessarie per evitare i rischi informatici, comportano l’esposizione, non solo potenziale, dell’impresa ai cyber-attacchi.
Il contrasto degli attacchi informatici passa, dunque, attraverso lo studio di una strategia comprensiva di tutti quegli strumenti che possono garantire una difesa efficace e dinamica, e del coinvolgimento di tutti gli attori aziendali, di qualsiasi livello, sul tema della sicurezza informatica aziendale ed i comportamenti corretti per perseguirla. Per evitare di commettere errori di valutazione dei risultati ottenuti è fortemente consigliabile rivolgersi a professionisti del settore, che possono garantire, grazie alle loro competenze ed alla loro esperienza, la creazione di un efficace ed efficiente sistema di difesa dei sistemi informatici aziendali.
Scarica l’ebook “Lavorare in smart working: modelli e tecnologie”
Compara le migliori soluzioni per lo smart working, impara come strutturare il lavoro e i team e migliorare la produttività della tua azienda nella sua prossima trasformazione digitale