Tipi di minacce informatiche – Blog IBM

Nel senso più semplice, una minaccia alla sicurezza informatica, o minaccia informatica, indica che un hacker o un malintenzionato sta tentando di ottenere un accesso non autorizzato a una rete allo scopo di lanciare un attacco informatico.

Le minacce informatiche possono variare da quelle ovvie, come un’e-mail da parte di un potentato straniero che offre una piccola fortuna se fornisci solo il numero del tuo conto bancario, a quelle subdole e furtive, come una linea di codice dannoso che si insinua oltre le difese informatiche e vive sulla rete. rete per mesi o anni prima di innescare una costosa violazione dei dati. Più i team e i dipendenti della sicurezza conoscono i diversi tipi di minacce alla sicurezza informatica, più efficacemente potranno prevenire, prepararsi e rispondere agli attacchi informatici.

Malware

Il malware, abbreviazione di “software dannoso”, è un codice software scritto intenzionalmente per danneggiare un sistema informatico o i suoi utenti.

Quasi ogni attacco informatico moderno coinvolge qualche tipo di malware. Gli autori delle minacce utilizzano attacchi malware per ottenere accessi non autorizzati e rendere inutilizzabili i sistemi infetti, distruggendo dati, rubando informazioni sensibili e persino cancellando file critici per il sistema operativo.

I tipi comuni di malware includono:

• Ransomware blocca i dati o il dispositivo di una vittima e minaccia di mantenerli bloccati o di divulgarli pubblicamente, a meno che la vittima non paghi un riscatto all’aggressore. Secondo l’IBM Security X-Force Threat Intelligence Index 2023, gli attacchi ransomware hanno rappresentato il 17% di tutti gli attacchi informatici nel 2022.
• UN cavallo di Troia è un codice dannoso che induce le persone a scaricarlo fingendosi un programma utile o nascondendosi all’interno di software legittimo. Gli esempi includono i trojan di accesso remoto (RAT), che creano una backdoor segreta sul dispositivo della vittima, o i trojan dropper, che installano malware aggiuntivo una volta che hanno preso piede sul sistema o sulla rete di destinazione.
• Spyware è un malware altamente segreto che raccoglie informazioni sensibili, come nomi utente, password, numeri di carte di credito e altri dati personali, e li ritrasmette all’aggressore senza che la vittima lo sappia.
• Vermi sono programmi autoreplicanti che si diffondono automaticamente su app e dispositivi senza interazione umana.

Ulteriori informazioni sul malware

Ingegneria sociale e phishing

Spesso definita “hacking umano”, l’ingegneria sociale manipola gli obiettivi inducendoli a intraprendere azioni che espongono informazioni riservate, minacciano il benessere finanziario proprio o dell’organizzazione o compromettono in altro modo la sicurezza personale o organizzativa.

Il phishing è la forma di ingegneria sociale più conosciuta e pervasiva. Il phishing utilizza e-mail, allegati e-mail, messaggi di testo o telefonate fraudolenti per indurre le persone a condividere dati personali o credenziali di accesso, scaricare malware, inviare denaro a criminali informatici o intraprendere altre azioni che potrebbero esporle a crimini informatici.

I tipi comuni di phishing includono:

• Spear-phishing— attacchi di phishing altamente mirati che manipolano un individuo specifico, spesso utilizzando i dettagli dei profili pubblici dei social media della vittima per rendere la truffa più convincente.
• Phishing delle balene— spear phishing che prende di mira dirigenti aziendali o individui facoltosi.
• Compromissione della posta elettronica aziendale (BEC)—truffe in cui i criminali informatici si fingono dirigenti, venditori o soci d’affari fidati per indurre le vittime a trasferire denaro o a condividere dati sensibili.

Un’altra truffa comune di ingegneria sociale è spoofing dei nomi di dominio (chiamato anche spoofing DNS), in cui i criminali informatici utilizzano un sito Web o un nome di dominio falso che ne spaccia uno reale, ad esempio “applesupport.com” per support.apple.com, per indurre le persone a inserire informazioni sensibili. Le e-mail di phishing spesso utilizzano nomi di dominio del mittente contraffatti per far sembrare l’e-mail più credibile e legittima.

Attacco Man-in-the-Middle (MITM).

In un attacco man-in-the-middle, un criminale informatico intercetta una connessione di rete per intercettare e inoltrare messaggi tra due parti e rubare dati. Le reti Wi-Fi non protette sono spesso terreno di caccia felice per gli hacker che desiderano lanciare attacchi MITM.

Attacco Denial of Service (DoS).

Un attacco denial-of-service è un attacco informatico che travolge un sito Web, un’applicazione o un sistema con volumi di traffico fraudolento, rendendolo troppo lento da utilizzare o del tutto indisponibile per gli utenti legittimi. Un attacco Denial of Service distribuito, o attacco DDoS, è simile, tranne per il fatto che utilizza una rete di dispositivi o bot infetti da malware connessi a Internet, nota come botnet, per paralizzare o mandare in crash il sistema di destinazione.

Exploit zero-day

Un exploit zero-day è un tipo di attacco informatico che sfrutta una vulnerabilità zero-day, ovvero una falla di sicurezza sconosciuta o non ancora risolta o senza patch nel software, nell’hardware o nel firmware del computer. “Zero day” si riferisce al fatto che un fornitore di software o dispositivo ha “zero giorni” – o nessun tempo – per correggere le vulnerabilità perché gli autori malintenzionati possono già utilizzarli per ottenere l’accesso ai sistemi vulnerabili.

Una delle vulnerabilità zero-day più note è Log4Shell, un difetto nella libreria di registrazione Apache Log4j ampiamente utilizzata. Al momento della sua scoperta, nel novembre 2021, la vulnerabilità Log4Shell esisteva sul 10% delle risorse digitali globali, tra cui molte applicazioni web, servizi cloud ed endpoint fisici come i server.

Ulteriori informazioni sul rilevamento e sull’applicazione di patch a una vulnerabilità Log4j

Attacco alla password

Come suggerisce il nome, questi attacchi coinvolgono i criminali informatici che cercano di indovinare o rubare la password o le credenziali di accesso all’account di un utente. Molti attacchi con password utilizzano l’ingegneria sociale per indurre le vittime a condividere involontariamente questi dati sensibili. Tuttavia, gli hacker possono anche utilizzare attacchi di forza bruta per rubare le password, provando ripetutamente diverse combinazioni di password popolari finché non si riesce.

Attacco all’Internet delle cose (IOT).

In un attacco IoT, i criminali informatici sfruttano le vulnerabilità dei dispositivi IoT, come dispositivi domestici intelligenti e sistemi di controllo industriale, per impossessarsi del dispositivo, rubare dati o utilizzare il dispositivo come parte di una botnet per altri fini dannosi.

Attacchi di iniezione

In questi attacchi, gli hacker inseriscono codice dannoso in un programma o scaricano malware per eseguire comandi remoti, consentendo loro di leggere o modificare un database o modificare i dati di un sito Web.

Esistono diversi tipi di attacchi iniezioni. Due dei più comuni includono:

• Attacchi SQL injection—quando gli hacker sfruttano la sintassi SQL per falsificare l’identità; esporre, manomettere, distruggere o rendere non disponibili i dati esistenti; o diventare l’amministratore del server del database.
• Scripting cross-site (XSS)—questo tipo di attacchi sono simili agli attacchi SQL injection, tranne per il fatto che invece di estrarre dati da un database, in genere infettano gli utenti che visitano un sito web.

Fonti delle minacce alla sicurezza informatica

Le fonti delle minacce informatiche sono varie quasi quanto i tipi di minacce informatiche. Molti autori di minacce hanno intenzioni dannose, mentre altri, come gli hacker etici o le minacce interne inconsapevoli, hanno intenzioni positive o, per lo meno, neutre.

Conoscere le motivazioni e le tattiche dei vari autori delle minacce è fondamentale per fermarli o addirittura usarli a proprio vantaggio.

Alcuni degli autori più noti di attacchi informatici includono:

Criminali informatici

Questi individui o gruppi commettono crimini informatici, principalmente a scopo di lucro. I crimini comuni commessi dai criminali informatici includono attacchi ransomware e truffe di phishing che inducono le persone a effettuare trasferimenti di denaro o a divulgare informazioni su carte di credito, credenziali di accesso, proprietà intellettuale o altre informazioni private o sensibili.

Hacker

Un hacker è qualcuno con le competenze tecniche necessarie per compromettere una rete o un sistema di computer.

Tieni presente che non tutti gli hacker sono autori di minacce o criminali informatici. Ad esempio, alcuni hacker, chiamati hacker etici, essenzialmente si spacciano per criminali informatici per aiutare le organizzazioni e gli enti governativi a testare i loro sistemi informatici per individuare eventuali vulnerabilità agli attacchi informatici.

Attori-stato-nazione

Gli stati nazionali e i governi spesso finanziano gli autori delle minacce con l’obiettivo di rubare dati sensibili, raccogliere informazioni riservate o interrompere l’infrastruttura critica di un altro governo. Queste attività dannose includono spesso lo spionaggio o la guerra informatica e tendono ad essere altamente finanziate, rendendo le minacce complesse e difficili da rilevare.

Minacce interne

A differenza della maggior parte degli altri criminali informatici, le minacce interne non sempre derivano da attori malintenzionati. Molti addetti ai lavori danneggiano le loro aziende attraverso errori umani, come l’installazione involontaria di malware o la perdita di un dispositivo fornito dall’azienda che un criminale informatico trova e utilizza per accedere alla rete.

Detto questo, esistono addetti ai lavori dannosi. Ad esempio, un dipendente scontento può abusare dei privilegi di accesso per ottenere un guadagno monetario (ad esempio, pagamento da parte di un criminale informatico o di uno stato nazionale) o semplicemente per ripicca o vendetta.

Anticipare gli attacchi informatici

Password complesse, strumenti di sicurezza della posta elettronica e software antivirus sono tutte fondamentali linee di difesa contro le minacce informatiche.

Le organizzazioni si affidano inoltre a firewall, VPN, autenticazione a più fattori, formazione sulla sensibilizzazione alla sicurezza e altre soluzioni avanzate per la sicurezza degli endpoint e della rete per proteggersi dagli attacchi informatici.

Tuttavia, nessun sistema di sicurezza è completo senza funzionalità all’avanguardia di rilevamento delle minacce e risposta agli incidenti per identificare le minacce alla sicurezza informatica in tempo reale e aiutare a isolare e risolvere rapidamente le minacce per ridurre al minimo o prevenire i danni che possono causare.

IBM Security® QRadar® SIEM applica l’apprendimento automatico e l’analisi del comportamento degli utenti (UBA) al traffico di rete insieme ai log tradizionali per un rilevamento più intelligente delle minacce e una risoluzione più rapida. In un recente studio di Forrester, QRadar SIEM ha aiutato gli analisti della sicurezza a risparmiare più di 14.000 ore in tre anni identificando falsi positivi, a ridurre del 90% il tempo dedicato alle indagini sugli incidenti e a ridurre del 60% il rischio di subire una grave violazione della sicurezza.* Con QRadar SIEM, i team di sicurezza con risorse limitate dispongono della visibilità e dell’analisi di cui hanno bisogno per rilevare rapidamente le minacce e intraprendere azioni immediate e informate per ridurre al minimo gli effetti di un attacco.

Ulteriori informazioni su IBM QRadar SIEM

*The Total Economic Impact™ di IBM Security QRadar SIEM è uno studio commissionato condotto da Forrester Consulting per conto di IBM, aprile 2023. Basato sui risultati previsti di un’organizzazione composita modellata da 4 clienti IBM intervistati. I risultati effettivi varieranno in base alle configurazioni e alle condizioni del cliente e, pertanto, non possono essere forniti i risultati generalmente attesi.