Sul fronte della sicurezza informatica è bene conoscere i vettori di attacco, strumenti e modi di cui si servono i cyber criminali per attuare minacce e violazioni
I vettori di attacco sono tra le principali voci da considerare in tema di cybersecurity e con cui confrontarsi ogni giorno e con sempre maggiori complessità, dato che le minacce sono quanto mai varie e critiche. Basti pensare a virus e malware, allegati e-mail dannosi, pagine web e finestre pop-up che rimandano a siti malevoli, messaggi istantanei… Proprio pochi giorni fa la Cybersecurity & Infrastructure security Agency statunitense ha aggiunto due nuove vulnerabilità al suo catalogo delle vulnerabilità sfruttate note che rappresentano frequenti vettori di attacco.
I cyber criminali, oltre a tenersi sempre aggiornati, hanno una conoscenza approfondita dei comuni vettori di attacco alla sicurezza a disposizione. Nel determinare come sabotare o introdursi in un sistema informatico per rubare informazioni o ricattare l’azienda, cercano innanzitutto punti deboli da sfruttare. Possono essere vulnerabilità del software, credenziali utente compromesse, password deboli, dispositivi non configurati correttamente contribuiscono a creare opportunità per gli hacker malevoli e creare opportunità per eseguire violazioni di dati personali o altro. Oltre a trarre profitto dalle vulnerabilità di sistema, cercano anche il modo di contare sul vantaggio offerto da errori umani.
Per questo è bene conoscere cosa sono i vettori di attacco, le minacce più comuni e adottare opportune strategie di difesa.
Cosa sono i vettori di attacco
Un vettore di attacco è un percorso, un metodo o un mezzo attraverso il quale i criminali informatici penetrano in un sistema bersaglio. I vettori di attacco possono includere strumenti e azioni dei criminali informatici, nonché il fattore umano o le tecnologie vulnerabili da parte della potenziale vittima e dei suoi appaltatori. L’insieme di tutti i possibili vettori di attacco in un sistema o in un’organizzazione è chiamato superficie di attacco. È costituita da tutti i rischi per la sicurezza e i punti di ingresso a cui è esposto un bersaglio. Include tutte le vulnerabilità sconosciute (potenziali) e note su tutti i sistemi, hardware e componenti di rete.
I vettori di attacco comuni includono allegati e-mail, malware, trojan o virus, social engineering, phishing, attacchi di forza bruta, credenziali compromesse per abuso di autenticazione, acquisizione di account, negazione del servizio distribuita e sfruttamento di API e applicazioni web.
Si possono distinguere due tipi di vettori: diretti e indiretti. Nel primo caso l’autore della minaccia attacca direttamente il bersaglio. Nel secondo caso, il cyber delinquente sfrutta le vulnerabilità di altri sistemi utilizzando, per esempio, una vulnerabilità del browser Internet nel sistema operativo. È possibile anche distinguere due categorie di vettori di attacco, di tipo attivo e passivo. Nel primo caso si verificano nel caso in cui gli aggressori tentano di ottenere l’accesso non autorizzato a un sistema di rete interrompendone le operazioni. Esempi sono lo sfruttamento delle vulnerabilità senza patch, lo spoofing della posta elettronica, i malware e gli attacchi ransomware.
Nel caso dei vettori di attacco passivo, gli aggressori mirano ad accedere a un sistema preso di mira senza intaccarne le risorse. Lo spear-phishing, l’URL hijacking e altri attacchi basati sull’ingegneria sociale rientrano in questa seconda categoria.
Ci sono diversi metodi e strategie per difendersi, come vedremo più avanti. Firewall e software antivirus possono bloccare i vettori di attacco. Ma nessun metodo di protezione è totalmente a prova di attacco. Inoltre, è bene aggiornare spesso i metodi difensivi poiché gli hacker malevoli aggiornano costantemente i vettori di attacco e ne cercano di nuovi nel tentativo di ottenere accesso non autorizzato a computer e server.
I più comuni vettori di attacco
Come detto, sono davvero molteplici i vettori di attacco. Secondo l’Agenzia dell’Unione Europea per la Cybersicurezza (ENISA) i vettori di attacco basati su social engineering e ransomware sono saldamente al primo posto tra i vettori di attacco più comuni.
Detto questo, è bene elencare le principali voci.
Phishing
È uno dei vettori di attacco più utilizzati. Si basa su tecniche di ingegneria sociale per indurre gli utenti a scaricare file dannosi, fare clic su collegamenti dannosi o rivelare informazioni sensibili. Gli autori delle minacce lo utilizzano per vari scopi, come ottenere credenziali, lanciare attacchi ransomware e rubare informazioni finanziarie.
Sfruttamenti delle vulnerabilità
Una vulnerabilità è un difetto che gli autori delle minacce possono sfruttare per lanciare attacchi a software o hardware. Esistono due tipi principali di vulnerabilità: vulnerabilità note divulgate al pubblico e vulnerabilità zero-day che sono vettori sconosciuti. Gli autori delle minacce utilizzano entrambi i tipi per lanciare attacchi, ma le vulnerabilità zero-day sono considerate più redditizie poiché danno agli attori più tempo per attaccare prima che qualcuno venga a conoscenza delle loro attività.
Malware
Il software dannoso funge da vettore di attacco che aiuta gli autori delle minacce a rubare dati, violare sistemi ed eseguire attività dannose. La maggior parte del malware è progettata per raggiungere obiettivi specifici. Il già citato ransomware crittografa i file e richiede un riscatto in cambio di chiavi di crittografia, mentre lo spyware spia gli utenti e invia queste informazioni all’autore.
Minacce interne
Non ci sono solo virus e malware. Tra i vettori di attacco più subdoli ci sono le minacce interne, che agiscono dall’interno dell’organizzazione come utenti autorizzati. Può trattarsi di un dipendente che rivela involontariamente informazioni riservate, come credenziali, a un attore di ingegneria sociale oppure ex dipendenti che abusano deliberatamente dei propri privilegi per svolgere attività non autorizzate.
Dispositivi non configurati correttamente possono essere vettori di attacco
Le aziende possono configurare in modo errato la sicurezza software e hardware, rendendole vulnerabili agli hacker. Le pre impostazioni di sicurezza dei fornitori sulle apparecchiature sono per lo più deboli e se l’IT non riconfigura l’apparecchiatura prima di installarla sulle reti, possono verificarsi attacchi alla sicurezza. In altri casi ancora, le aziende acquistano apparecchiature e dimenticano di configurare completamente la sicurezza.
Attacchi DDoS
Inondare il sistema di traffico indesiderato o inviar richieste per risorse che, alla fine, causano l’arresto completo del sistema preso di mira sono due strategie alla base degli attacchi DDoS (Distributed Denial-of-Service). Gli attacchi DDOS spesso prendono di mira i server web di organizzazioni finanziarie e vengono spesso utilizzati per distrarre un’organizzazione da altri attacchi di rete.
SQL Injection
Structured Query Language (SQL) è un linguaggio di programmazione che consente la comunicazione con i database. Molti server che archiviano dati sensibili si affidano a SQL per gestire i dati. SQL Injection è un vettore di attacco che inietta SQL dannoso per far sì che il server esponga le informazioni.
Strategie di difesa contro i cyber criminali
Sono varie le misure strategiche di difesa per vanificare l’efficacia dei vettori di attacco.
Per esempio, sapere quali vettori di attacco costituiscono una minaccia per un particolare sistema consente di migliorarne la sicurezza eliminando questi vettori.
Per la protezione di un sistema o un’organizzazione dalle intrusioni, gli esperti analizzano la superficie di attacco. Studiano i possibili vettori di attacco e valutano la probabilità del loro sfruttamento da parte degli aggressori. Per esempio, un modulo di feedback sul sito web di un’azienda può, in teoria, essere considerato un vettore di attacco contro i clienti se consente di inserire come nome una qualsiasi sequenza di caratteri, compresi i link.
Implementazione di un’autenticazione forte: le organizzazioni dovrebbero disporre di policy relative alle password per garantire che tutti i nomi utente e le password siano forti e archiviati correttamente. L’autenticazione a più fattori (MFA) dovrebbe essere obbligatoria, almeno per i sistemi sensibili e gli account amministrativi, per fornire un ulteriore livello di protezione.
Installare un software di monitoraggio e reporting della sicurezza è una strategia efficace. Ciò include software che monitora, identifica, avvisa e persino blocca i punti di ingresso a reti, sistemi, workstation e tecnologia edge una volta rilevato un potenziale attacco da parte di un utente o di una fonte non identificata o non autorizzata.
Eseguire test di penetrazione consente alle organizzazioni di identificare, dare priorità e testare le vulnerabilità della sicurezza. Di solito, un hacker etico, che sia un dipendente o un consulente, esegue penetration test. Essi imitano le tecniche degli aggressori per valutare la capacità di attacco di una rete, di un’applicazione o di un sistema informatico.
Altrettanto utile è svolgere audit regolari e test di vulnerabilità almeno ogni trimestre. Test e audit sono essenziali per identificare le vulnerabilità delle risorse IT e consentire alle organizzazioni di aggiornare i propri controlli e policy di sicurezza.
La formazione dei dipendenti è uno dei capisaldi per la cybersecurity. Ogni nuovo dipendente dovrebbe ricevere una formazione completa sulla sicurezza IT. Tutti i dipendenti dovrebbero contare su una formazione periodica (almeno annuale) per mantenersi aggiornati sulle politiche e sulle migliori pratiche di sicurezza.
L’installazione immediata di tutti gli aggiornamenti è altrettanto necessaria. Il reparto IT deve installare gli aggiornamenti software, hardware e firmware non appena diventano disponibili.
Se i dispositivi vengono utilizzati sul campo, gli aggiornamenti di sicurezza devono essere forniti come notifiche push, in cui il software o il firmware vengono aggiornati automaticamente.
Applicare la crittografia dei dati sui dispositivi portatili è una misura importante per proteggere i dati su dispositivi periferici come laptop e smartphone. Le organizzazioni possono selezionare una solida tecnologia di crittografia come Advanced Encryption Standard (AES) per ridurre al minimo il rischio di compromissione dei dati.
Oltre alla sfera virtuale è altrettanto importante proteggere gli spazi fisici. Anche se la maggior parte delle violazioni dei dati e degli attacchi alla sicurezza prendono di mira l’IT, possono verificarsi anche intrusioni nell’accesso fisico. Data center, server situati in diversi reparti aziendali e uffici remoti, apparecchiature mediche, sensori sul campo e persino schedari fisici negli uffici sono tutti obiettivi degli hacker. Dovrebbero essere messi in sicurezza, protetti e ispezionati con una certa regolarità.
