Informatica e Ingegneria Online

Caratteristiche, funzionamento e protezione dai vettori di attacco in informatica

Scritto il

Caratteristiche, funzionamento e protezione dai vettori di attacco in informatica

Che cos’è un vettore di attacco?

Un vettore di attacco (in inglese attack vector) è un percorso o un mezzo attraverso il quale un utente malintenzionato o un hacker può accedere a un computer o a un server di rete per fornire un carico utile o un risultato dannoso. I vettori di attacco consentono agli hacker di sfruttare le vulnerabilità del sistema, compreso l’elemento umano.

I comuni vettori di attacchi informatici includono virus e malware , allegati e-mail, pagine Web, finestre pop-up, messaggi istantanei (IM), chat room e inganni. Fatta eccezione per l’inganno, tutti questi metodi implicano la programmazione o, in alcuni casi, l’hardware. L’inganno avviene quando un operatore umano viene ingannato nel rimuovere o indebolire le difese del sistema.

In una certa misura, i firewall e i software antivirus possono bloccare i vettori di attacco. Ma nessun metodo di protezione è totalmente a prova di attacco. Un metodo di difesa può diventare rapidamente obsoleto, poiché gli hacker aggiornano costantemente i vettori di attacco e ne cercano di nuovi nel tentativo di ottenere accesso non autorizzato a computer e server.

I payload dannosi più comuni sono virus, che possono funzionare come vettori di attacco, Trojan horses, worm e spyware. Anche fornitori e fornitori di servizi di terze parti possono essere considerati vettori di attacco, poiché rappresentano un rischio per un’organizzazione se hanno accesso ai suoi dati sensibili.

In che modo gli hacker sfruttano i vettori di attacco?

Gli hacker hanno una conoscenza approfondita dei comuni vettori di attacco alla sicurezza a loro disposizione. Nel determinare come hackerare uno di questi vettori di sicurezza, cercano innanzitutto le vulnerabilità, o buchi di sicurezza , in questi vettori che pensano di poter penetrare.

Una falla di sicurezza può essere trovata in un software o nel sistema operativo (OS) di un computer. A volte, una vulnerabilità della sicurezza può aprirsi a causa di un errore di programmazione in un’applicazione o di una configurazione di sicurezza errata. Gli attacchi informatici possono anche essere a bassa tecnologia, come ottenere le credenziali di sicurezza di un dipendente o irrompere in un edificio.

Gli hacker scansionano costantemente aziende e individui per identificare tutti i potenziali punti di ingresso in sistemi, applicazioni e reti. In alcuni casi, potrebbero addirittura prendere di mira strutture fisiche o individuare utenti vulnerabili e dipendenti interni che condivideranno consapevolmente o inavvertitamente le loro credenziali di accesso alla tecnologia informatica (IT).

Vettori di attacco più comuni

Gli intrusi sono continuamente alla ricerca di nuovi vettori di attacco. I vettori di attacco più comuni includono quanto segue:

  1. Vulnerabilità del software. Se una rete, un sistema operativo, un sistema informatico o un’applicazione presenta una vulnerabilità di sicurezza senza patch, un utente malintenzionato può utilizzare un vettore di minaccia, come un malware, per ottenere un accesso non autorizzato.
  2. Credenziali utente compromesse. Gli utenti possono condividere consapevolmente o inavvertitamente i propri ID utente e password. Ciò può essere fatto verbalmente, ma gli aggressori informatici possono anche ottenere l’accesso alle credenziali attraverso un attacco di forza bruta che tenta diverse combinazioni di ID utente e password finché non viene scoperto un set di credenziali autorizzate. L’hacker utilizza quindi queste credenziali per hackerare una rete, un sistema o un’applicazione.
  3. Password e credenziali deboli. Negli attacchi di forza bruta, gli aggressori informatici concentrano i loro sforzi sull’hacking di ID utente e password deboli o facilmente indovinabili. Ma gli hacker rubano le credenziali anche utilizzando programmi che monitorano le reti Wi-Fi pubbliche per quando gli utenti inseriscono le proprie credenziali di accesso. Ad esempio, un hacker potrebbe installare un software di keylogging sulla workstation di un utente tramite un sito Web o un’e-mail infetta. Il programma di keylogging registra l’attività della tastiera dell’utente, inclusa l’immissione dell’ID e della password dell’utente. Gli hacker possono anche ottenere l’accesso inducendo gli utenti ad aprire allegati e-mail non richiesti che contengono collegamenti dannosi a siti Web fasulli che li convincono a fornire informazioni di identificazione personale (PII).
  4. Dipendenti dannosi. I dipendenti malintenzionati o scontenti possono hackerare reti e sistemi utilizzando le loro autorizzazioni di sicurezza per estrarre informazioni sensibili, come elenchi di clienti e proprietà intellettuale (IP) per cui chiedono un riscatto o vendono ad altri per scopi nefasti.
  5. Crittografia scarsa o mancante. In alcuni casi, i dipendenti – o l’IT – potrebbero dimenticare di crittografare le informazioni sensibili archiviate su laptop e smartphone sul campo. In altri casi, le tecniche di crittografia presentano difetti di progettazione noti o utilizzano solo chiavi limitate per crittografare e proteggere i dati.
  6. RansomwareIl ransomware è un tipo di malware che blocca i dati sul computer della vittima e l’aggressore minaccia di pubblicare i dati della vittima o di bloccarne l’accesso a meno che non venga pagato un riscatto. Il ransomware può bloccare i file di un utente, spesso richiedendo all’utente una somma in contanti per sbloccare i file. La maggior parte dei ransomware viene scaricata inavvertitamente su un computer o su una rete da un utente. Può presentarsi sotto forma di un file aperto da un utente che contiene un worm, ovvero un malware che si diffonde in una rete, o un trojan, che incorpora codice software dannoso in un file scaricato che blocca il computer o i dati dell’utente e poi chiede il pagamento.
  7. Phishing. Il phishing è la pratica ingannevole di inviare e-mail in cui l’aggressore finge di provenire da un’azienda rispettabile al fine di indurre le persone a rivelare informazioni personali, come password o numeri di carta di credito. Lo spear phishing è un attacco altamente mirato che prende di mira un singolo destinatario, cercando l’accesso non autorizzato a informazioni aziendali sensibili.
  8. Dispositivi non configurati correttamente. Le aziende possono configurare in modo errato la sicurezza software e hardware, rendendole vulnerabili agli hacker. Le preimpostazioni di sicurezza dei fornitori sulle apparecchiature sono lassiste e se l’IT non riconfigura l’apparecchiatura prima di installarla sulle reti, possono verificarsi attacchi alla sicurezza. In altri casi ancora, le aziende acquistano apparecchiature e dimenticano di configurare completamente la sicurezza.
  9. Relazioni di fiducia. In molti casi, le aziende affidano la propria sicurezza a fornitori esterni di sistemi e reti, fornitori di servizi cloud e partner commerciali. Quando i sistemi di queste terze parti vengono violati, le informazioni ottenute dagli hacker possono contenere anche informazioni sensibili delle società servite da questi fornitori. Gli esempi includono quando la rete di un importante operatore di carte di credito viene violata o quando viene violato un sistema sanitario e vengono rubati dati sensibili dei pazienti.
  10. Attacchi DDoS (Distributed Denial of Service). Gli attacchi DDoS inondano le vittime di e-mail fasulle, rendendo il loro sistema o la rete inutilizzabile e i servizi non disponibili per i destinatari previsti. Questi attacchi spesso prendono di mira i server web di organizzazioni finanziarie, commerciali e governative e vengono spesso utilizzati per distrarre un’organizzazione da altri attacchi di rete.

Caratteristiche, funzionamento e protezione dai vettori di attacco in informatica

Come proteggere i dispositivi dagli attacchi vettoriali comuni

Gli aggressori utilizzano una varietà di tecniche per penetrare nelle risorse IT aziendali. Poiché queste tecniche continuano ad evolversi, il compito dell’IT è identificare e implementare le policy, gli strumenti e le tecniche più efficaci nella protezione da questi attacchi. Di seguito è riportato un elenco di tecniche di protezione efficaci:

  • Implementare policy efficaci per le password. Garantire che nomi utente e password soddisfino criteri di lunghezza e robustezza adeguati e che le stesse credenziali non vengano utilizzate per accedere a più applicazioni e sistemi. Utilizza l’autenticazione a due fattori (2FA) o metodi di verifica, come una password e un numero di identificazione personale (PIN), per fornire un ulteriore livello di protezione per l’accesso al sistema.
  • Installa un software di monitoraggio e reporting della sicurezza. Ciò include software che monitora, identifica, avvisa e persino blocca i punti di ingresso a reti, sistemi, workstation e tecnologia edge una volta rilevato un potenziale attacco da parte di un utente o di una fonte non identificata o non autorizzata.
  • Controllare e testare regolarmente le risorse IT per individuare eventuali vulnerabilità. Come minimo, i test di vulnerabilità IT dovrebbero essere condotti trimestralmente e una società esterna di audit della sicurezza IT dovrebbe testare le risorse IT per la vulnerabilità ogni anno. Sulla base di questi risultati, le politiche, le pratiche e le tecniche di prevenzione della sicurezza dovrebbero essere aggiornate immediatamente.
  • Mantieni la sicurezza IT al centro dell’attenzione. Gli investimenti nella sicurezza costano denaro e un chief information officer (CIO) e un chief security officer (CSO) hanno bisogno che l’amministratore delegato (CEO) e il consiglio di amministrazione approvino questi acquisti. Ciò richiede briefing e formazione regolari per i dirigenti di livello C in modo che comprendano l’importanza di proteggere l’IT e le conseguenze per l’azienda e la sua reputazione se l’IT non viene protetto.
  • Formare gli utenti. A tutti i nuovi dipendenti dovrebbe essere fornita una formazione completa sulle politiche e sulle pratiche di sicurezza IT , mentre i dipendenti esistenti dovrebbero ricevere una formazione di aggiornamento ogni anno. Il personale IT, soprattutto nell’area della sicurezza, dovrebbe essere aggiornato sulle politiche e pratiche di sicurezza più recenti.
  • Collaborare con le risorse umane (HR). Gli audit sulle vulnerabilità dell’ingegneria sociale dovrebbero essere eseguiti con una società di audit di sicurezza esterna almeno una volta ogni due o tre anni. Se si verifica un’attività sospetta da parte di un dipendente, l’IT dovrebbe avvisare immediatamente le risorse umane in modo da poter intraprendere le azioni appropriate, sia che si tratti di incontrare un dipendente, limitare l’accesso di un dipendente, istruire un dipendente o licenziare un dipendente.
  • Installa immediatamente tutti gli aggiornamenti. Ogni volta che viene rilasciato un aggiornamento hardware, firmware o software, l’IT deve installarlo tempestivamente. Se i dispositivi vengono utilizzati sul campo, gli aggiornamenti di sicurezza devono essere forniti come notifiche push, in cui il software o il firmware vengono aggiornati automaticamente.
  • Utilizza i thin client per le aziende con una politica BYOD (Bring Your Own Device). È preferibile ospitare tutti i dati aziendali in un cloud sicuro o in un altro sistema aziendale in modo che gli utenti possano accedere da casa o dai propri dispositivi tramite una rete privata virtuale (VPN), che è limitata a un gruppo specifico di utenti e non è aperta al pubblico. Ciò elimina l’archiviazione di dati sensibili su dispositivi remoti.
  • Utilizza una crittografia avanzata dei dati sui dispositivi portatili. Che un dispositivo portatile sia un laptop, uno smartphone, un sensore o qualsiasi altro tipo di dispositivo edge, la crittografia dei dati dovrebbe essere utilizzata ovunque siano archiviati dati sensibili. Questo può essere fatto selezionando una potente tecnologia di crittografia dei dati, come Advanced Encryption Standard (AES). Il governo degli Stati Uniti utilizza AES, che contiene chiavi a 192 e 256 bit per la crittografia dei dati.
  • Esamina e imposta tutte le configurazioni di sicurezza per sistemi operativi, browser Internet, software di sicurezza, hub di rete e dispositivi periferici, come sensori, smartphone e router. Spesso i sistemi, i browser, gli hub e i dispositivi Internet of Things (IoT) sono dotati di impostazioni di sicurezza predefinite minime e le aziende dimenticano di modificare tali impostazioni. Come pratica standard, le aziende dovrebbero controllare e, se necessario, reimpostare la sicurezza su tutti i nuovi sistemi IT.
  • Proteggi gli spazi fisici. Anche se la maggior parte delle violazioni dei dati e degli attacchi alla sicurezza prendono di mira l’IT, possono verificarsi anche intrusioni nell’accesso fisico. Data center, server situati in diversi reparti aziendali e uffici remoti, apparecchiature mediche, sensori sul campo e persino schedari fisici negli uffici sono tutti obiettivi degli hacker. Dovrebbero essere messi in sicurezza, protetti e ispezionati regolarmente.

Pubblicato da Vito Lavecchia

Lavecchia Vito Ingegnere Informatico (Politecnico di Bari) Email: [email protected] Sito Web: https://vitolavecchia.altervista.org

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Tema Seamless Keith, sviluppato da Altervista

Apri un sito e guadagna con Altervista - Disclaimer - Segnala abuso - Notifiche Push - Privacy Policy - Personalizza tracciamento pubblicitario