CYBER-GANG E COME PROTEGGERSI DAVVERO DAGLI ATTACCHI INFORMATICI

Ogni 39 secondi nel mondo un’azienda viene “bucata” ovvero, in gergo informatico, è vittima di un attacco informatico. Il valore dei riscatti richiesti nel mondo ha raggiunto quota 7.000 miliardi di dollari, ed è in continuo aumento. In Italia la spesa per la cybersicurezza è aumentata esponenzialmente, in maniera direttamente proporzionale agli attacchi subiti. Il Rapporto del Clusit* del 2022 riporta che negli ultimi 11 anni sono stati identificati, classificati e valutati oltre 14.000 attacchi informatici gravi (in media 1.274 all’anno, più di 100 al mese). Di questi, 7.144 si sono verificati negli ultimi 4 anni, dimostrando un’accelerazione impressionante nella frequenza delle minacce cibernetiche. Chi sono i target? La verità? Qualsiasi azienda! Dobbiamo pensare che i pirati informatici si comportano in maniera molto simile ai ladri di appartamento: di fronte a due aziende, una mediamente protetta con sistemi di videosorveglianza, cancelli, grate, e una non protetta da alcun sistema, i ladri colpiranno l’azienda non protetta. I pirati informatici allo stesso modo, colpiscono con molta facilità le aziende più facili e sprovviste di difese informatiche. Esse sono infatti le più facili fonti di reddito.

PERCHE’ BACK UP, ANTIVIRUS E FIREWALL NON SONO CYBER SICUREZZA

Quante volte sentiamo rispondere da un imprenditore: “il nostro sistema è sicuro! Abbiamo i back up, il firewall e l’antivirus.” Purtroppo è un gravissimo errore! Per quanto importanti, questi basilari sistemi di protezione non bastano affatto e non garantiscono alcuna copertura di fronte alla complessità delle minacce informatiche. Firewall e antivirus si limitano a “vedere” solo ciò che rientra nel loro specifico scopo. Si parla quindi di sistemi che lasciano inevitabilmente delle zone d’ombra. Le cyber minacce che circolano in rete oggi hanno raggiunto un grado di evoluzione molto più elevato rispetto a quello dei sistemi di difesa passiva tradizionali.

Un buon sistema di backup è assolutamente indispensabile per ogni azienda. Non è tuttavia sufficiente per essere in una botte di ferro. Anche perché i criminali informatici dopo che sono entrati e hanno infettato la nostra rete, lasciano il malware dormiente per mesi se non addirittura anni. Quando quindi, dopo il vero e proprio attacco si cerca di ripristrinare il back up, lo stesso è già infetto del malware, facendo risultare inutile il back up stesso. Fino a poco tempo fa il peggior danno che ci si potesse aspettare era la distruzione totale dell’infrastruttura informatica aziendale, e un robusto e ben progettato sistema backup-DR era in grado di risolvere alla base il problema, ripristinandola da zero. Purtroppo ai vecchi pericoli ora si sono affiancate nuove minacce, contro le quali le copie di dati di riserva da sole non sono in grado di opporsi.

I malware di tipo ransomware (Cryptolocker e derivati) si “limitavano” fino ad un paio di anni fa a rendere inaccessibili i dati al legittimo proprietario, chiedendo un pesante riscatto per fornire le chiavi di sblocco – con tutti i rischi facilmente immaginabili. Il ripristino di tutti i dati risolveva integralmente il problema. Oggi, i cyber-criminali sono corsi ai ripari e hanno previsto un’ingegnosa soluzione: i dati – aziendali, sensibili, riservati, finanziari, ecc. – vengono copiati sui computer degli hacker, prima di venire crittografati.

Così ora l’estorsione è doppia: alla vittima viene chiesto un riscatto sia per sbloccare i dati, che per evitare che gli stessi vengano resi pubblici su internet, o venduti alla concorrenza o sul dark web.
Va da sé che la parola dei criminali non offre comunque garanzie, e nello stesso tempo l’archiviazione, se può ripristinare i dati sull’infrastruttura dell’utente, non può fare nulla per quelli che sono già stati esportati.

Per quanto riguarda antivirus e firewall, sono facilmente bypassabili dai cyber criminali, se pensiamo che i firewall sono soggetti a scansione da parte dei cyber criminali ogni 20 secondi.

UN CASO – GLI ETHICA HACKER CI INSEGNANO
COME AGISCONO I PIRATI INFORMATICI

Gli ethical hacker lavorano per scoprire le vulnerabilità dei sistemi informatici. Un esperimento recente ha dimostrato una vulnerabilità generale nei videoregistratori DVR, i più diffusi dispositivi per la videosorveglianza, utilizzati sia dai privati che dalle aziende. Tramite pacchetti software acquistati per pochi dollari sul dark web, gli hacker sono riusciti ad entrare nel DVR sfruttando la vulnerabilità di alcuni bypass. Trovato questo accesso sono risaliti ad un’azienda di trasporti Lombarda. Da questo punto di vulnerabilità gli hacker sono arrivati a bypassare il firewall. Le porte dell’azienda erano completamente aperte. Arrivati alle credenziali amministrative avrebbero potuto fare qualsiasi cosa. Inoltre, studiando informazioni pubbliche reperibili su internet, sono risaliti all’imprenditore e ai componenti della sua famiglia e, sui social network hanno scoperto le informazioni personali e private. Ovviamente gli ethical hacker qui si sono fermati. Il loro mestiere è quello di rilevare le vulnerabilità nei sistemi al fine di proteggere al meglio il sistema stesso. Al contrario le cyber-gang, dopo essere entrate attraverso i punti di vulnerabilità all’interno di un’azienda rimangono silenti per diversi mesi, anche per un anno. Quando ritengono sia il momento giusto, sferrano l’attacco chiudendo ogni accesso ai dati da parte dell’azienda. A quel punto diventa impossibile anche per la Polizia Postale scoprire da dove l’attacco è arrivato poiché i cybercriminali criptano tutto, anche gli stessi accessi da cui sono penetrati. Avendo raccolto inoltre, ogni genere di informazione personale, anche privata, chiedono un riscatto che, in genere, cuba il 5% del fatturato dell’azienda colpita. A quel punto, però, tutti i dati rubati sono già in vendita nel darkweb.

WEB, DEEPWEB E DARKWEB

In genere, per meglio comprendere la quantità di dati presente nel Deep web si utilizza la metafora dell’icerberg: la parte visibile della grande massa di ghiaccio corrisponde al cosiddetto surface web (web accessibile), vale a dire l’insieme delle risorse indicizzate dai motori di ricerca, mentre la parte sommersa rappresenta il web profondo. Indicativamente, possiamo rappresentarli con queste percentuali: Surface web 4%, deepweb 90%, darkweb 6%.

Il Deep web, nell’accezione italiana “web profondo” o “web sommerso” è l’insieme delle risorse presenti sul web che non sono indicizzate dai normali motori di ricerca. Ciò significa che l’attività degli utenti che operano all’interno del web sommerso è protetta dall’anonimato e non può essere analizzata.

Dark web, in italiano “web oscuro” o “rete oscura”, è l’espressione utilizzata per definire i contenuti del World Wide Web presenti nelle darknet, ovvero le reti virtuali private a cui è possibile accedere solo tramite specifici software o particolari configurazioni di rete.

Le cosiddette reti oscure possono essere utilizzate per diverse ragioni:

• Diffondere notizie di carattere riservato;
• Vendere prodotti illegali;
• Compiere crimini informatici (ad esempio: hacking o frodi)
• Condividere file illegali (piratati, illegali, contraffatti, eccetera);
• Aggirare la censura di internet e dei sistemi di filtraggio dei contenuti o superare i firewall.

Il cuore del Dark web è il Black Market, un vero e proprio mercato illegale in cui è possibile acquistare qualsiasi tipo di prodotto: dalle sostanze stupefacenti ai medicinali, dai documenti d’identità falsi alle armi, passando per le carte di credito clonate, i malware e i dati trafugati alle aziende, come email riservate e ricerche di mercato.

Tra le principali minacce del Dark web ci sono gli strumenti utilizzati dai cybercriminali per realizzare attacchi informatici: Keylogger, Botnet, Ransomware, Phishing

COME CI SI DEVE PROTEGGERE DAGLI ATTACCHI INFORMATICI

La cybersicurezza è un PROCESSO, non un firewall, non un antivirus ma una strategia che integra in azienda policy, strumenti e risorse che servono tutte insieme congiuntamente per difendere la struttura informatica.

Il 99% degli attacchi vengono sferrati dall’interno della rete aziendale sfruttando vulnerabilità o errori umani. Quello che un’azienda deve fare è alzare al massimo il livello di sicurezza dei propri sistemi. Come già detto, vale la stessa logica dei furti in appartamento; i sistemi di sicurezza diventano ottimi deterrenti. Più protezione significa meno rischio.

SOC E VULNERABILITY ASSESSMENT

SOC - DIFESA PRO ATTIVA h24 – Il Soc effettua un monitoraggio h 24, sette giorni su sette di tutte le azioni che vengono eseguite dagli end point**aziendali. Si introduce un Agent, il quale viene installato sui pc, sui mobile, sui server, sui sistemi operativi. L’Agent è latente e non pesa sulle prestazioni dei pc. Il SOC contiene tutte le firme virali e funge da radar di monitoraggio. Lo stesso restituisce numerosissimi rapportini utili ai fini statistici e può creare esche all’interno della rete che servono per far cadere in trappola l’hacker. Es. se ci sono cartelle con nomi tipo “password banche” che attirano l’attacco, il sistema blocca l’hackeraggio e comincia a fare analisi su di lui. L’agent ha un sistema MDR, tramite il quale si possono creare regole per avviare dei processi, isolare macchine, impedire determinate azione, come ad esempio l’utilizzo di penne usb o, in alternativa, autorizzarne sono alcune con specifici mac-address, che l’IT ritiene sicure. Gli agent stanno in forma silente per 15 giorni e producono un listato di parametri lanciando allarmi se ci sono anomalie. Dietro l’agent c’è una struttura che ha all’interno un team di ingegneri informatici che fanno analisi tramite intelligenza artificiale e machine learning. Le configurazioni errate o non sicure vengono segnalate dall’agent e ci informano sulla necessità di variazione (es. password da cambiare). Il SOC è diventato un asset primario per ogni organizzazione ai fini del contenimento del tempo di risposta agli incidenti.

VULNERABILITY ASSESSMENT

In ambito informatico, per Vulnerability Assessment si intende quel processo finalizzato a identificare e classificare i rischi e le vulnerabilità, in termini di sicurezza, dei sistemi informativi aziendali.

Il Vulnerability Assessment è un’analisi di sicurezza che ha come obiettivo l’identificazione di tutte le vulnerabilità potenziali dei sistemi e delle applicazioni valutando il danno potenziale che l’eventuale “attaccante” può infliggere all’unità produttiva.

Queste attività hanno lo scopo di scovare all’interno o all’esterno di un’organizzazione gli eventuali errori di programmazione o di errate configurazioni, commessi durante un’installazione o un upgrade dei sistemi informativi. Uno degli aspetti chiave di questa tipologia di analisi è l’isolamento tempestivo delle vulnerabilità evidenziate che potrebbero causare un blocco temporale o una grave perdita di dati.

Un buon strumento di Vulnerability Assessment permette all’utente di avere una situazione aggiornata del livello di sicurezza degli asset IT. Ovviamente, questo è il punto di partenza per ottimizzare tutti gli sforzi di security management.

Viene eseguito seguendo il sistema dei cyber criminali, tramite una scansione per verificare se sono esposte in rete delle vulnerabilità. Queste producono un report molto dettagliato, che poi viene riassunto classificando le vulnerabilità in bassa, media o alta severità.

2 - Penetration Test – si penetra attraverso i punti di vulnerabilità e si quantifica quanto potrebbe essere la perdita dovuta al rischio. Questi penetration test vanno ripetuti ciclicamente, per rivalutare lo stadio di rischio. Tramite Penetration Test si possono certificare anche dei software, per attestarne la sicurezza.

Se sei un rivenditore UTAX entra nell’articolo presente nell’Ok Magazine, troverai delle novità e promozioni scaricabili cliccando sui link allegati.

LEGENDA

*Associazione Italiana per la Sicurezza Informatica 

**End point: dispositivi fisici che si connettono e scambiano informazioni con una rete di computer. Alcuni esempi di endpoint sono dispositivi mobili, computer desktop, macchine virtuali, dispositivi incorporati e server.

*** I servizi gestiti di rilevamento e risposta incidenti, Managed Detection and Response (MDR) sono costituiti da attività di monitoraggio delle minacce h24/7, rilevamento eventi di incidente e capacità di mitigazione e risposta.

16/10/2023