La partecipazione all’economia digitale a cui imprese di qualunque settore e dimensione devono partecipare per poter prosperare, impone un’apertura che aumenta il potenziale perimetro di attacco del crimine informatico rendendo al tempo stesso obsolete le tradizionali soluzioni di difesa di tipo reattivo.
L’analisi delle minacce online più diffuse è propedeutica alla conoscenza degli attori del cyber crime e all’individuazione dell’approccio e delle soluzioni avanzate che le organizzazioni dovrebbero adottare per proteggersi efficacemente.
L’Information Security svolge un ruolo cruciale nella protezione delle risorse aziendali. Il National Institute of Standards and Technology degli Stati Uniti la definisce come “protezione delle informazioni e dei sistemi informativi da accessi, usi, divulgazioni, interruzioni, modifiche o distruzioni non autorizzate, al fine di garantire riservatezza, integrità e disponibilità”.
Information security si concentra principalmente sulla prevenzione di furti, distorsioni e distruzione di informazioni che possono includere dati sensibili su clienti, dipendenti, fornitori e aspetti finanziari o commerciali. Più in dettaglio, l’Information Security deve difendere dalle minacce:
In sintesi, l’Information security è un processo continuo e in evoluzione che richiede misure adeguate contro il crimine informatico e le nuove minacce nel mondo digitale. Mantenere un livello adeguato di protezione delle informazioni e dei sistemi è fondamentale per la sopravvivenza aziendale.
Gli attacchi più comuni, messi in atto dal crimine informatico e che rappresentano una minaccia per la sicurezza in rete e per le informazioni, impiegano principalmente strumenti come:
Secondo le informazioni raccolte CERT-AGID relative al 2023 ai reati informatici in Italia, accanto a una significativa diminuzione delle campagne malevole veicolate attraverso account compromessi di PEC (ridotto all’1%) si registra il notevole aumento dello smishing (che raggiunge il 23%). Si tratta dell’invio massivo di SMS con comunicazioni ingannevoli, spesso simulando la provenienza da Istituti bancari e contenenti link malevoli. Il canale più utilizzato, dal 76% degli attaccanti, però rimane la posta elettronica ordinaria.
Il ransomware rimane la minaccia più rilevante oltre che pericolosa per le ricadute economiche e reputazionali nei confronti dell’azienda. Si è riscontrato anche in Italia un caso di ransomware (Knight) distribuito attraverso un loader (costituito da una falsa fattura) e veicolato tramite email.
Le compromissioni da ransomware continuano a essere realizzate manualmente, sfruttando accessi ai sistemi ottenuti mediante l’utilizzo di malware di tipo Infostealer (creati per sottrarre le informazioni personali e sensibili della vittima) o RAT (Remote Access Trojan, in grado di controllare a distanza il computer o la rete). Si è, in generale, osservata la crescita di strumenti che consentono di assumere da remoto il controllo completo delle macchine delle vittime come farebbe un utente locale.
Continuano a essere presenti minacce online, per ottenere informazioni sensibili, quali vishing (voice phishing), dove i truffatori effettuano chiamate telefoniche che simulano di provenire dalla banca o altra istituzione nota, e spoofing che si basa sulla falsificazione di indirizzi e-mail o siti web.
In sintesi, le principali minacce in rete che un’organizzazione può subire e i rischi che deve prevenire:
Alcune soluzioni avanzate per la sicurezza come la Cyber Threat Intelligence e il Threat Hunting aiutano a proteggere le informazioni e le risorse aziendali, assicurando la sicurezza in rete.
La threat intelligence consiste nella raccolta di informazioni utili a delineare le minacce che probabilmente colpiranno l’organizzazione, a descrivere le tecniche usate dai threat actor, l’approccio adottato per colpire diversi bersagli, le modalità di interazione fra i diversi attori del crimine informatico.
Dietro ogni attacco si nasconde un avversario umano con differenti motivazioni, obiettivi e capacità. La threat intelligence aiuta le organizzazioni ad avere una migliore comprensione degli avversari per anticipare le minacce emergenti e prendere decisioni di sicurezza utili per proteggersi.
La threat intelligence può attingere da diverse fonti, tra cui log di sistema e telemetria di rete, feed di minacce esterne, open source, forum deep e dark web, esempi di malware, scambio di informazioni con partner ed esperti del settore.
La threat intelligence può essere suddivisa in tre categorie principali:
La fruizione degli output non è però banale. Per questo sono stati sviluppati algoritmi, tecniche e tecnologie basate su data science e intelligenza artificiale per renderle utilizzabili dagli esperti di sicurezza e consentire all’organizzazione di sviluppare o migliorare il proprio piano di prevenzione e contrasto per prevenire le minacce.
Il threat hunting segue un approccio differente che punta a rilevare e dare la caccia agli attaccanti prima che la loro presenza sia manifesta e prima che l’attacco sia in corso. La ricerca può partire da una potenziale minaccia sulla base delle informazioni derivanti dalla threat intelligence, da notizie sul settore o da alcuni segnali colti dagli esperti.
Il punto di partenza è comunque l’ipotesi della presenza di una minaccia specifica all’interno dell’organizzazione. Il threat hunting sfrutta l'intelligence di tipo tattico sulle minacce per catalogare gli indicatori di compromesso e gli indicatori di attacco noti, associati alle nuove minacce.
Il successo deriva sia dall'utilizzo degli strumenti e tecniche avanzate, impiegate per verificare l’ipotesi di minaccia, scavando in profondità nei dati, registri e modelli in rete, sia dalla comprensione e dalla conoscenza dei servizi e dei sistemi aziendali critici.
Questo approccio combina strumenti di analisi dei dati con l’apprendimento automatico. Il threat hunting deve infatti analizzare una grande quantità di informazioni per rilevare irregolarità che potrebbero suggerire potenziali attività dannose. Le anomalie rilevate diventano piste che gli analisti esperti indagano ulteriormente per identificare minacce nascoste.
Per mitigare i rischi fin qui esposti è fondamentale agire a monte adottando pratiche di sviluppo sicuro, testare regolarmente le infrastrutture e le reti, applicare in modo tempestivo gli aggiornamenti critici per prevenire le vulnerabilità e garantire una difesa più robusta contro gli attacchi informatici.
Va ricordato infatti che gran parte degli attacchi cyber di successo sono stati svolti sfruttando vulnerabilità note e sistemi non aggiornati.
L’attività di patching (che in inglese in significa toppa) consiste nell’applicare un software scritto per aggiornare, correggere, migliorare un programma. Uno degli scopi fondamentali, al fine della sicurezza, consiste nell’apportare le correzioni necessarie per il superamento di vulnerabilità o altri errori rilevati che potrebbero lasciare aperte le porte al crimine informatico.
Il patching che può essere svolto a caldo (senza fermare e far ripartire il sistema) o a freddo (con la temporanea indisponibilità del servizio) dovrebbe avvenire con regolarità. Sono disponibili tool che consentono di programmare in modo automatico e semiautomatico la distribuzione e l’installazione delle patch su sistemi e programmi della propria rete.
Le attività di protezione e mitigazione dei rischi fin qui descritte, per essere condotte efficacemente, richiedono competenze tecnologiche, conoscenza approfondita degli strumenti e best practices non sempre presenti all’interno delle organizzazioni.
Un partner come DigitelNET può supportare l’azienda nel percorso verso una difesa sempre più robusta dagli attacchi del crimine informatico grazie alla sua partnership con i principali vendor di sistemi e di soluzioni avanzate di sicurezza, alle sue competenze nel campo degli strumenti di intelligence e di difesa, l’approccio personalizzato e collaborativo con il cliente.