News

Minacce informatiche: quali sono e come difendersi | DigitelNET

Scritto da DigitelNET | 27-mag-2024 8.52.39

Gli incidenti di ransomware sono aumentati nella prima metà del 2023 e non hanno mostrato segni di rallentamento, mentre anche l’attivismo si è ampliato con l’emergere di nuovi gruppi. Sono queste alcune evidenze riportate da ENISA (Agenzia Europea per la Cybersecurity).

L’osservazione delle attività di hackeraggio evidenzia l’uso di strumenti capaci di eludere più a lungo possibile il rilevamento della presenza delle diverse tipologie di malware, aumentando la difficolta per i difensori di identificare le minacce. L’obiettivo è massimizzare le possibilità di successo in caso di intrusione evitando di destare i sospetti della vittima.

I cyber criminali si sono ulteriormente professionalizzati in una logica di divisione del lavoro e di servizi as-a-Service. Non solo hanno utilizzato nuove tattiche e metodi per infiltrarsi negli ambienti, ma hanno anche messo in atto nuovi approcci per esercitare pressioni sulle organizzazioni colpite, attuando tecniche di doppia estorsione che associano il ricatto e diverse modalità di furto dei dati. 

Questa evoluzione del crimine informatico ha significative ricadute sulle aziende attaccate, con rischi di tipo economico, di reputazione e affidabilità, con la diffusione di informazioni sensibili.

Quali sono le principali minacce informatiche?

Le minacce alla sicurezza stanno crescendo in modo esponenziale anche come conseguenza del numero crescente di dispositivi connessi a Internet e alle reti aziendali: smartphone, notebook, laptop, dispositivi di fabbrica…

Le tipologie di attacco più diffuse a livello europeo, nel 2022 e nel primo semestre 2023, sono i ransomware e le minacce alla disponibilità. La crescita non si arresta neppure nel terzo trimestre quando gli attacchi ransomware sono aumentati del 32% e gli attacchi DDoS del 41% rispetto al secondo trimestre 2023, secondo i dati del Global Security Operation Center del Gruppo Leonardo.

Le principali minacce informatiche identificate sono:

  • Il Malware continua a rappresentare la principale tecnica di attacco utilizzata e oggi rappresenta un terzo del totale; in questa categoria si colloca anche il ransomware che consiste nella cifratura dei dati dell’azienda e della richiesta di riscatto per poterne disporre;
  • Le minacce alla disponibilità, Denial of Service (DoS) o il più complesso DDoS (Distribuited DoS), mirano a rendere inaccessibile o inutilizzabile un servizio sovraccaricandone le risorse (rete, elaborazione, memorizzazione, etc.). Gli attacchi stanno diventando sempre più estesi e complessi, spostandosi anche verso le reti mobili e l’Internet of Thing (IoT);
  • L’ingegneria sociale e il phishing, hanno in Italia un’incidenza maggiore rispetta ai casi internazionali, evidenziando la necessità di aumento della consapevolezza rispetto alle minacce informatiche da parte degli utenti. Rappresentano il principale veicolo per altri attacchi che contano sul fattore umano;
  • Gli attacchi alla supply chain, puntano a colpire l’anello più debole della catena: gli incidenti causati da terze parti rappresentavano 17% delle intrusioni nel 2021 rispetto a meno dell'1% nel 2020;
  • La categoria unknown, ancora troppo elevata (18%) indica le situazioni dove non è stato possibile identificare la tecnica primaria dell’attacco. In questa categoria si possono far rientrare le minacce che sfruttano le vulnerabilità zero-day, ossia qualunque vulnerabilità di un software non nota o non gestita. Uno zero-day exploit è un programma che sfrutta una vulnerabilità zero-day come sistema di attacco. Un malware zero-day è invece un virus non conosciuto e dunque difficilmente identificabile dagli antivirus;
  • Lo spyware è un tipo di software semi-illegale con l’obiettivo di spiare la vittima. Ufficialmente viene presentato per il controllo di criminali e terroristi ma in realtà spesso non si limita a spiare queste categorie; alcune analisi hanno evidenziato che uno spyware (Vulkan) avrebbe fornito tecnologie in grado di prendere di mira i sistemi OT.

Cos’è l’hackeraggio e come si può intervenire

Hackeraggio è il termine che indica l'attività di hacking, un processo mediante il quale un individuo, noto come hacker, cerca di ottenere accesso non autorizzato a sistemi informatici altrui. Questo comporta spesso il superamento di misure di sicurezza digitali per scopi fraudolenti, come il furto di dati sensibili o la compromissione di sistemi. L'hackeraggio può manifestarsi attraverso varie forme, tra cui il phishing, il malware e l'ingegneria sociale.

Come accade a livello globale, la maggioranza delle attività di hackeraggio note in Italia fa riferimento alla categoria Cybercrime, che rappresenta il 69% del totale (fonte Clusit, primo semestre 2023), una quota in calo rispetto all’anno precedente anche se in termini assoluti gli attacchi mantengono un tasso di incessante crescita. L’obiettivo primario di questo tipo di hackeraggio è economico

Non c’è dunque da stupirsi che l’organizzazione sia una vera e propria un’azienda del crimine informatico, secondo un modello di business Malware-as-a-Service. I diversi gruppi suddividono le proprie attività in microservizi operativi, così da essere sempre più specializzati nelle diverse fasi dell’attacco. 

I malware specializzati nel furto di informazioni vengono, ad esempio, impiegati dai broker di accesso iniziale (IAB) per accedere alle reti aziendali e per rivenderlo ad altri attori che completano il lavoro. Nei market virtuali vengono vendute le specifiche delle vulnerabilità zero-day o direttamente i codici malevoli in grado di sfruttarle, cioè gli exploit

Un’evoluzione recente prevede che venga venduto l’accesso ottenuto attraverso l’utilizzo dello zero-day, secondo un modello access-as-a-service. Di fatto, l’hacker non vende la vulnerabilità che ha individuato, ma ottiene l’accesso ad un sistema e vende questo accesso sul mercato nero. In questo modo preserva l’esistenza dello zero-day, che non viene mai diffuso.

Crescono in modo decisamente rilevante gli attacchi classificati come Hacktivism (30% rispetto alla quota del 6,9% del 2022). Si tratta di attacchi dimostrativi, che impiegano soprattutto attacchi DDoS, molto spesso perpetrati con finalità politica ai danni di enti o aziende.

Conoscere gli autori dei crimini informatici, comprendere il modo in cui pensano e agiscono, quali siano le loro motivazioni e i loro obiettivi è essenziale per una gestione efficace delle minacce informatiche e per migliorare la risposta agli incidenti.

Cos’è la cyber threat intelligence?

Con un monitoraggio costante degli ultimi sviluppi riguardanti le tattiche e le tecniche utilizzate dagli autori delle minacce per raggiungere i propri obiettivi e rimanendo aggiornati con le tendenze, in termini di motivazioni è possibile raggiungere degli elevati standard di difesa dagli attacchi. 

È quanto costituisce la cyber threat intelligence: la disciplina che si occupa di raccogliere e analizzare dati eterogenei, provenienti da diverse sorgenti informative interne ed esterne, per estrarre informazioni utili a conoscere le caratteristiche dell’attore del crimine informatico, in modo da poter attribuire un profilo di rischio specifico per i propri asset e sviluppare azioni di contrasto efficaci

Le piattaforme di threat intelligence elaborano feed di minacce esterne e i log file interni per creare un feed contestualizzato di alert per i team di sicurezza e ne costituiscono il primo livello di analisi.

Anche i penetration test svolgono un ruolo chiave nell’identificazione delle vulnerabilità informatiche aziendali mediante la simulazione di attacchi di hackeraggio, per porvi rimedio prima che un potenziale criminale informatico le trovi e le sfrutti.

Neutralizzare le minacce informatiche con DigitelNET

Le continue minacce alla sicurezza informatica, basate su nuovi software usati da hacker sempre più sofisticati, per essere neutralizzate, richiedono l’evoluzione da un atteggiamento reattivo a uno proattivo.

L’aumento del 300% degli attacchi in Italia, fra il 2019 e il primo semestre del 2023, a fronte di una crescita globale del 61,5%, ha, fra le probabili cause, la modesta capacità di difesa delle organizzazioni italiane. Da una ricerca Clusit su un campione di PMI, emerge, ad esempio, che solo il 20% del totale prevede persone interne dedicate alla cybersecurity, mentre più di un terzo non identifica alcuna persona di riferimento, nemmeno esterna. Eppure, il 37% dello stesso gruppo di aziende dichiara di essere stata coinvolta di recente in incidenti di sicurezza, mentre era il 28% solo sei mesi prima.

Gli accorgimenti necessari, per neutralizzare le minacce informatiche, possono sembrare così complessi e fuori dalla portata delle competenze di una PMI che ha altrove il proprio core business, da scoraggiare qualunque azione.

Tuttavia, non sembra prudente affidarsi alla buona sorte, con l’idea di non essere appetibili per il crimine informatico, mettendo a rischio la sicurezza della propria azienda e quella dei partner della propria supply chain. 

Sembrerebbe invece più saggio prendere in considerazione l’opportunità di affidare a un partner qualificato la gestione della sicurezza che possa realizzare una corretta configurazione della rete per diminuire la vulnerabilità agli attacchi, eseguire un penetration test, analizzare le minacce note e zero-day, verificare la necessità di patching.

DigitelNET, azienda presente dal 1996 nel settore delle tecnologie dell'informazione può essere il partner giusto per offrire protezione dalle minacce informatiche e neutralizzarle. Mette infatti a disposizione dell’azienda cliente la competenza e l’esperienza accumulate nel corso degli anni, le soluzioni più avanzate nel campo della cybersecurity, un servizio clienti consolidato e il contatto diretto con consulenti di fiducia.