Che cos'è un Cyber Attack?
Abbatti i silos della sicurezza e rafforza le tue difese con la potenza di un'unica piattaforma di cybersecurity.
Significato di cyber attacco
Un attacco informatico è un tentativo intenzionale e dannoso da parte di un individuo o di un gruppo di violare i sistemi informatici di organizzazioni o individui per rubare, interrompere o alterare i dati. Poiché oggi ci affidiamo maggiormente alle tecnologie digitali, gli attacchi informatici sono diventati una delle minacce più significative per le aziende e le persone. I cyber criminali stanno evolvendo costantemente le loro tattiche, sfruttando le vulnerabilità dei sistemi e adattandosi ai più recenti progressi tecnologici. Man mano che gli attacchi informatici diventano più sofisticati, la comprensione dei tipi, dei metodi e delle motivazioni alla base di questi attacchi è essenziale per mantenere un panorama digitale sicuro e per proteggere le informazioni sensibili.
Perché si verificano gli cyber attacco
Gli attacchi informatici si verificano per vari motivi, dal guadagno finanziario a motivi politici. Alcune delle motivazioni più comuni includono:
Guadagno finanziario
Molti cyber criminali cercano ricompense in denaro rubando informazioni sensibili come i dettagli della carta di credito, le credenziali di accesso o le informazioni sul conto bancario. Gli attacchi ransomware, che bloccano gli utenti dai loro sistemi fino al pagamento di un riscatto, sono particolarmente spinti dal punto di vista finanziario.
Spionaggio
Gli attacchi di spionaggio aziendale mirano a sottrarre segreti commerciali, ricerche e altri dati sensibili per ottenere un vantaggio competitivo. Tali attacchi sono spesso nascosti e possono passare inosservati per lunghi periodi.
Vendetta o intento malevolo
Gli ex dipendenti o gli individui scontenti possono compiere attacchi informatici per causare danni alla reputazione o interrompere le operazioni.
Desiderio di notorietà
Alcuni aggressori, spesso noti come hacker "black hat", conducono attacchi informatici per mostrare le loro competenze, guadagnare credibilità all'interno della comunità di hacking o semplicemente creare caos.
Tipi di attacchi informatici
Gli attacchi informatici si presentano in molte forme, ognuna delle quali utilizza tecniche diverse e prende di mira varie vulnerabilità. Di seguito sono riportati alcuni dei tipi più comuni di attacchi informatici:
Attacchi malware
Il malware, abbreviazione di malicious software, è progettato per infiltrarsi, danneggiare o ottenere l'accesso non autorizzato ai sistemi informatici. Nella cybersecurity, il malware è una minaccia persistente che può rubare informazioni sensibili e causare danni diffusi a utenti e organizzazioni. Comprendere le varie forme ed effetti del malware è fondamentale per sviluppare una strategia di cybersecurity completa.
Phishing e spear phishing
Il phishing è un tipo di attacco informatico che prevede l'invio di e-mail generiche da parte di criminali informatici che fingono di essere legittimi. Queste e-mail contengono link fraudolenti per rubare le informazioni private degli utenti. Gli attacchi di phishing sono più efficaci quando gli utenti non ne sono consapevoli.
Lo spear phishing si distingue come una delle forme più pericolose e mirate di attacchi informatici. A differenza dei normali attacchi di phishing, che creano un'ampia rete nella speranza di catturare vittime ignare, lo spear phishing è una forma altamente personalizzata e mirata di un attacco di phishing che prende di mira un utente piuttosto che una rete.
Denial of Service (DoS) e Distributed Denial of Service (DDoS)
Gli attacchi DoS e DDoS inondano un server di traffico, sovraccaricandolo e facendo perdere l'accesso agli utenti legittimi. Gli attacchi DDoS amplificano questo aspetto utilizzando più sistemi, spesso botnet, per colpire un singolo server.
Attacchi Man-in-the-Middle (MitM)
Gli attacchi MitM intercettano e alterano le comunicazioni tra due parti a loro insaputa. Gli aggressori possono modificare i dati o acquisire informazioni sensibili, come le credenziali di accesso.
SQL Injection
SQL injection è un attacco che manipola illegalmente un database iniettando istruzioni Structured Query Language (SQL) indesiderate in un'applicazione che dispone di un database relazionale (RDBMS). Esistono diversi tipi di SQL injection a seconda del metodo e dello scopo e, dal punto di vista degli aggressori informatici, vanno dal furto di informazioni, alla falsificazione dei dati e all'indagine delle vulnerabilità.
Exploit zero-day
Gli exploit zero-day prendono di mira le vulnerabilità sconosciute nel software prima che gli sviluppatori abbiano la possibilità di emettere una patch. Questi attacchi sono particolarmente pericolosi perché non esiste una difesa immediata.
Attacco Ransomware
Il ransomware è un malware che cripta file importanti sui sistemi di archiviazione locale e di rete e chiede un riscatto per decriptarli. Gli hacker sviluppano questo malware per ottenere denaro attraverso l'estorsione digitale. Il ransomware cripta i file, la chiave non può essere forzata e l'unico modo per recuperare le informazioni è da un backup. Il modo in cui funziona il ransomware lo rende particolarmente dannoso. Altri tipi di malware distruggono o rubano i dati ma lasciano aperte altre opzioni di recupero. Con il ransomware, se non ci sono backup, è necessario pagare il riscatto per recuperare i dati. A volte le aziende pagano il riscatto e l'aggressore non invia comunque la chiave di decrittazione.
Attacchi alla supply chain
Supply Chain Attack è un tipo di attacco informatico che prende di mira elementi meno sicuri nella supply chain di un'organizzazione piuttosto che attaccare direttamente l'organizzazione. L'obiettivo è infiltrarsi nella rete o nei sistemi di un'organizzazione compromettendo un fornitore, un partner o un fornitore terzo che ha accesso ai suoi dati, software o infrastruttura di rete.
Fasi degli attacchi informatici - Esempio
Esploreremo le diverse fasi di un attacco informatico esaminando come 8Base, un noto gruppo di ransomware, esegue i loro attacchi. Dall'infiltrazione iniziale alla crittografia e all'estorsione dei dati, suddivideremo ogni fase delle loro tattiche di ransomware.
Accesso iniziale
Il ransomware 8Base utilizza principalmente truffe di phishing per l'accesso iniziale.
Accesso alle credenziali
8Base utilizzano MIMIKATZ, LaZagne, WebBrowserPassView, VNCPassView, PasswordFox e ProcDump per recuperare password e credenziali sui computer della vittima.
Elusione della difesa
Per la sua evasione dalla difesa, il ransomware 8Base scende ed esegue un file batch chiamato defoff.bat (rilevato come KILLAV) per disabilitare i componenti di Windows Defender. Il ransomware 8Base utilizza anche codici di spazzatura, elimina le copie shadow, aggira Cuckoo Sandbox, cancella i registri degli eventi di Windows, disabilita i firewall e utilizza SmokeLoader per decrittografare e distribuire il payload.
Movimento laterale
Per il movimento laterale, è stato osservato che gli operatori ransomware 8Base utilizzano PsExec per distribuire il file batch e il file binario ransomware.
Escalation dei privilegi
8Base operatori di base del ransomware hanno modificato alcune voci del registro per bypassare User Access Control (UAC). Hanno anche modificato le chiavi di registro IFEO per allegare cmd.exe ai programmi di accessibilità accessibili dalla schermata di blocco.
Esfiltrazione
Gli attori delle minacce dietro il ransomware 8Base sono stati rilevati utilizzando lo strumento di terze parti e il servizio web RClone per esfiltrare le informazioni rubate.
Impatto
Il ransomware 8Base utilizza l'algoritmo AES-256 per crittografare i file di destinazione e quindi crittografa ogni chiave di crittografia utilizzando RSA-1024 con una chiave pubblica hardcoded. La chiave crittografata viene quindi aggiunta alla fine di ogni file crittografato. Ha una configurazione integrata (decrittografata durante il runtime) che contiene le estensioni dei file, i nomi dei file e le cartelle da evitare.
Metodi e tattiche utilizzati negli attacchi informatici
I cyber criminali utilizzano una serie di tecniche per lanciare attacchi ed evitare il rilevamento:
Ingegneria sociale
- Con la Social Engineering, gli aggressori manipolano le persone per indurre a divulgare informazioni sensibili, spesso impersonando fonti affidabili o utilizzando tattiche di paura.
Sfruttare le vulnerabilità del software
I cyber criminali sfruttano le vulnerabilità del software senza patch per ottenere l'accesso non autorizzato ai sistemi.
Attacchi di phishing
- Molti attacchi di phishing hanno successo a causa di errori degli utenti, come password deboli, condivisione accidentale dei dati o tentativi di phishing.
Queste tattiche aiutano gli aggressori a prendere piede all'interno dei sistemi e ad accedere ai dati sensibili, spesso senza rilevamento immediato.
Principali vettori di attacchi informatici
In questa sezione, esamineremo due dei principali vettori di attacco iniziali per aiutare i Chief Intelligence Security Officer (CISO) e i responsabili della sicurezza a rafforzare la loro strategia di sicurezza ASRM e ridurre il rischio informatico.
L'email rimane uno dei vettori di attacco iniziale più comuni per i cyber criminali grazie alla sua facilità di manipolazione. Nel 2023, 73,8 miliardi di oltre 161 miliardi di minacce totali bloccate da Trend erano basate su email. Anche le spese legate a questi attacchi stanno crescendo; secondo il Rapporto sul costo di una violazione dei dati del 2024 di IBM, il phishing costa alle aziende in media 4,88 milioni di dollari all'anno.
Applicazioni web e web
Gli attacchi di cross-site scripting (XSS) sfruttano i difetti di codifica sui siti web o sulle applicazioni web per generare input dagli utenti. Non c'è da meravigliarsi che XSS rimanga un pilastro dell'Open Web Application Security Project (OWASP) Top 10 Web Application Security Risks: una grave vulnerabilità XSS in Ivory Search, un plug-in di ricerca WordPress, ha lasciato 60.000 siti web aperti all'iniezione di codice dannoso. Con il lavoro da remoto e il passaggio ai servizi cloud che si traduce in un boom di siti web e applicazioni, le aziende devono rafforzare la loro difesa per questo vettore di attacco iniziale.
Insider
Un rapporto globale del Ponemon Institute del 2022 ha rilevato che il tempo per contenere una minaccia interna è aumentato da 77 a 85 giorni, inducendo le organizzazioni a spendere di più per il contenimento. Inoltre, gli incidenti che hanno richiesto più di 90 giorni per essere contenuti costano in media 17,19 milioni di dollari su base annuale. Che l'insider sia semplicemente accidentale, negligente o dannoso, il prezzo da pagare rimane elevato.
- Scopri di più sui 7 vettori di attacco informatico più comuni per consultare la Guida completa alla protezione di sette vettori di attacco di Jon Clay, VP di Threat Intelligence per Trend Micro, in cui esamina sette vettori di attacco iniziali chiave e fornisce suggerimenti di sicurezza proattivi per aiutarti a ridurre il rischio informatico sulla superficie di attacco.
Impatto degli attacchi informatici sulle organizzazioni
Gli attacchi informatici possono avere un grave impatto sulle aziende, con conseguente downtime, perdita di dati e perdita finanziaria. Alcuni degli effetti più significativi includono:
Interruzione operativa
Gli attacchi malware o DoS (denial-of-service) possono causare arresti anomali di server e sistemi, interrompendo i servizi e portando a battute d'arresto finanziarie. Secondo il Cost of a Data Breach Report 2024, la violazione media dei dati ora costa 4,45 milioni di dollari a livello globale, il che riflette il prezzo elevato di queste interruzioni.
Compromissione dei dati
Gli attacchi SQL injection consentono agli hacker di alterare, eliminare o rubare dati critici dai database aziendali, il che può danneggiare le operazioni aziendali e la fiducia dei clienti.
Frode finanziaria
Gli attacchi di phishing inducono i dipendenti a trasferire fondi o a condividere informazioni riservate, causando perdite finanziarie dirette ed esponendo le organizzazioni a rischi futuri.
Pagamenti di riscatto
Gli attacchi ransomware bloccano i sistemi essenziali fino al pagamento di un riscatto. Nel 2024, il pagamento medio del ransomware è stato segnalato a quasi 1 milione di dollari, sottolineando il carico finanziario che questi attacchi mettono sulle aziende colpite.
Ogni attacco informatico può lasciare impatti duraturi che richiedono risorse considerevoli per il rilevamento, la risposta e il ripristino, aumentando il costo totale di una violazione.
Come prevenire un attacco informatico
Formazione e consapevolezza dei dipendenti
Poiché l'ingegneria sociale rimane un punto di ingresso comune per gli aggressori, la formazione regolare fornisce ai dipendenti le conoscenze necessarie per riconoscere le email di phishing, evitare le trappole di ingegneria sociale e seguire le best practice per proteggere i dati sensibili. La formazione del personale su queste tattiche riduce la probabilità di attacchi riusciti.
Attack Surface Management
La gestione della superficie di attacco (ASM) comporta l'identificazione e il monitoraggio di tutti i punti esterni in cui un aggressore potrebbe entrare in un sistema. La valutazione e la riduzione regolari di questi punti, come le porte di rete esposte, le applicazioni senza patch e i server mal configurati, aiutano a ridurre le vulnerabilità. Una strategia ASM efficace aiuta le organizzazioni a colmare potenziali lacune che gli aggressori potrebbero sfruttare.
Piattaforme di sicurezza dei dati
Le piattaforme di sicurezza dei dati forniscono una supervisione completa dell'accesso e del movimento dei dati nei sistemi di un'organizzazione. Queste piattaforme aiutano a prevenire l'accesso non autorizzato monitorando i dati sensibili, identificando potenziali violazioni e applicando le politiche di protezione dei dati. Centralizzando la gestione della sicurezza dei dati, le aziende possono migliorare la visibilità dei dati e la resilienza complessiva alle minacce informatiche.
Identity and Access Management (IAM)
Le soluzioni IAM sono essenziali per controllare l'accesso degli utenti a sistemi e dati. Con l’IAM, le organizzazioni possono implementare l'accesso basato sui ruoli, garantendo che i dipendenti abbiano accesso solo alle informazioni necessarie per le loro funzioni lavorative. Gli strumenti IAM supportano anche la verifica e il monitoraggio dell'identità, prevenendo l'accesso non autorizzato e riducendo al minimo i potenziali danni causati da account compromessi.
Controlli di sicurezza e test di penetrazione regolari
Gli audit di sicurezza di routine e i test di penetrazione aiutano le organizzazioni a identificare e mitigare le vulnerabilità in modo proattivo. Testando attivamente le difese e convalidando le misure di sicurezza, le aziende possono rafforzare la loro resilienza contro le minacce emergenti ed evitare i vettori di attacco comuni.
Criteri password avanzati e autenticazione a più fattori
L'implementazione di criteri di password avanzati e l'applicazione dell'autenticazione a più fattori (MFA) possono ridurre significativamente il rischio di accesso non autorizzato.
Come rilevare un attacco informatico
Security Information and Event Management (SIEM)
I sistemi SIEM raccolgono e analizzano i dati provenienti da varie fonti nell'ambiente IT di un'organizzazione per rilevare attività sospette. Centralizzando i registri e correlando gli eventi di sicurezza, SIEM fornisce informazioni in tempo reale sulle potenziali minacce e consente ai team di identificare modelli insoliti che possono indicare un attacco.
Endpoint Detection and Response (EDR)
Gli strumenti EDR monitorano gli endpoint, come computer e dispositivi mobili, per rilevare eventuali comportamenti anomali. Essi ricercano continuamente segni di intrusione, come accessi non autorizzati o malware, e possono rispondere alle minacce isolando gli endpoint infetti. Le soluzioni EDR aiutano a rilevare gli attacchi in anticipo, limitando l'ambito e l'impatto di una violazione.
Rilevazione delle anomalie
Il rilevamento delle anomalie prevede l'identificazione di comportamenti che si discostano da una linea di base stabilita. Monitorando metriche come il traffico di rete o il comportamento degli utenti, gli strumenti di rilevamento delle anomalie possono segnalare attività irregolari, come tentativi di accesso non autorizzati o trasferimenti improvvisi di dati, che potrebbero segnalare un attacco informatico in corso.
Honeypot
Gli Honeypot sono sistemi o file di esca che imitano risorse preziose per attirare gli aggressori. Quando gli aggressori interagiscono con un honeypot, rivelano la loro presenza, tattiche e intenzioni senza influire sui dati o sui sistemi effettivi. Gli Honeypot aiutano a rilevare gli attacchi in anticipo, fornendo al contempo preziose informazioni sui metodi degli aggressori.
Threat Intelligence
Le informazioni sulle minacce includono la raccolta di informazioni su minacce e vulnerabilità note da fonti esterne per anticipare potenziali attacchi. Questa intelligence è integrata nei sistemi di sicurezza per rilevare in modo proattivo gli indicatori di compromissione. Le informazioni sulle minacce forniscono un livello strategico di rilevamento, avvisando i team delle minacce attive che colpiscono organizzazioni o settori simili.
Ricerca delle minacce
La ricerca delle minacce è un approccio proattivo per identificare le minacce nascoste all'interno della rete di un'organizzazione. Gli analisti della sicurezza esperti cercano prove di attività dannose che potrebbero aver eluso le difese automatizzate. Ricercando attivamente gli indicatori di compromissione, i team di ricerca delle minacce possono rilevare attacchi sofisticati prima che si aggravino.
Come rispondere a un attacco informatico
Piano di risposta agli incidenti
Un piano di risposta agli incidenti ben definito è alla base di un'efficace mitigazione degli attacchi. Questo piano delinea le misure essenziali da adottare subito dopo aver rilevato un attacco informatico, tra cui la designazione dei ruoli chiave, la notifica agli stakeholder e l'isolamento dei sistemi interessati. L'obiettivo è ridurre al minimo i danni, limitando rapidamente la minaccia, garantendo una risposta coordinata in tutti i team e stabilendo azioni chiare per proteggere le risorse critiche.
Security Orchestration, Automation, and Response (SOAR)
Le piattaforme SOAR semplificano i processi di risposta integrando strumenti di sicurezza e automatizzando le attività ripetitive. In caso di attacco, SOAR può avviare automaticamente azioni come l'isolamento dei sistemi infetti, il blocco degli indirizzi IP dannosi o la distribuzione di patch. Automatizzando i workflow, SOAR riduce i tempi di risposta, consentendo ai team di sicurezza di affrontare le minacce rapidamente e concentrarsi su attività complesse e ad alta priorità.
Rilevamento e risposta estesi (XDR)
XDR offre un approccio unificato per rilevare e rispondere alle minacce su più livelli dell'ambiente di un'organizzazione, inclusi endpoint, reti e infrastruttura cloud. In un attacco informatico, XDR aggrega e analizza i dati provenienti da tutte le fonti per offrire una visione completa dell'origine, dell'ambito e dell'impatto della minaccia. Questa visibilità consente ai team di sicurezza di rispondere con azioni mirate, contenendo l'attacco in modo più efficace e impedendone la diffusione tra i sistemi.
Documentazione e analisi dell'incidente
Una volta risolto l'incidente, è importante creare una documentazione dettagliata che aiuti l'organizzazione a comprendere come si è verificato l'attacco, cosa è andato bene e identificare eventuali lacune di sicurezza. Questa analisi post-incidente può anche aiutare a migliorare il piano di risposta agli incidenti, poiché le informazioni apprese possono migliorare le strategie di risposta, le procedure e altri dettagli che potrebbero essere mancati in precedenza.
Hacktivism
L'hacktivism si riferisce agli attacchi cybercriminali che spesso implicano l'intrusione in sistemi per scopi motivati politicamente o socialmente, di solito per rilasciare una dichiarazione a sostegno di una causa o contro governi o organizzazioni.
Derivato dalla combinazione delle parole "hack" e "attivismo", il termine "hacktivismo" è stato coniato per la prima volta nel 1996 da Omega, un membro del collettivo di hacker Cult of the Dead Cow.
Cosa motiva gli hacktivisti
In passato, le azioni degli hacktivisti erano paragonate a graffiti simbolici e digitali. Al giorno d'oggi, i gruppi di hacktivisti assomigliano alle bande urbane. In precedenza composti da individui con competenze ridotte, questi gruppi si sono evoluti in team con competenze medio-alte, spesso di dimensioni inferiori ma molto più capaci. L'escalation delle competenze ha aumentato direttamente i rischi posti alle organizzazioni.
I gruppi di hacktivisti sono definiti da convinzioni politiche distinte riflesse sia nella natura dei loro attacchi che nei loro obiettivi. A differenza dei cyber criminali, gli hacktivisti in genere non cercano di ottenere un guadagno finanziario, sebbene abbiamo osservato sovrapposizioni con il crimine informatico. Nella maggior parte dei casi, questi gruppi si concentrano sull'avanzamento dei loro programmi politici, che variano in termini di trasparenza. In generale, le loro motivazioni possono essere classificate in quattro gruppi distinti: ideologico, politico, nazionalistico e opportunistico. Mentre alcuni gruppi sono strettamente allineati con una categoria, altri perseguono più programmi, spesso con un focus primario integrato da cause secondarie.
Informazioni correlate sugli attacchi informatici
IA vs IA: DeepFakes ed eKYC
Questa analisi esamina i rischi per la sicurezza dei sistemi eKYC in relazione agli attacchi deepfake, evidenziando le diverse strategie adottate dai cyber criminali per aggirare le misure di sicurezza eKYC.
Considerazioni informatiche per le organizzazioni durante i periodi di conflitto
Questo articolo fornisce una panoramica completa delle modifiche e delle strategie necessarie che i CISO devono implementare per salvaguardare le risorse delle loro organizzazioni, mantenere la continuità aziendale e mantenere la fiducia pubblica in situazioni di conflitto.
Soluzione Vision One Platform di Trend Micro
Il blocco più rapido degli avversari e il mantenimento del controllo dei rischi informatici partono da una piattaforma singola. Gestisci la sicurezza in modo olistico con funzionalità complete di prevenzione, rilevamento e risposta alimentate dall'intelligenza artificiale, dalla ricerca sulle minacce e dall'intelligence.
Trend Vision One supporta ambienti IT ibridi diversi, automatizza e orchestra i workflow e fornisce servizi di cybersecurity esperti, in modo da semplificare e far convergere le operazioni di sicurezza.