Le minacce alla sicurezza informatica stanno crescendo in frequenza, diversità e complessità. Ottieni una revisione rapida e aggiornata di 21 minacce alla sicurezza informatica e come ottenere le informazioni necessarie per prevenire le violazioni dei dati e rafforzare la sicurezza delle informazioni.
In questo post imparerai:
- Cosa sono le minacce alla sicurezza informatica
- 21 minacce informatiche: DDoS, MitM, social engineering e altro
- Fonti comuni di minacce alla sicurezza informatica
- Tendenze e sfide della sicurezza informatica
- Come dare priorità alle minacce: il modello delle minacce OWASP
- Utilizzare la threat intelligence per la prevenzione delle minacce
- Cosa sono le minacce alla sicurezza informatica?
- Quali sono i principali tipi di minacce alla sicurezza informatica?
- Distributed denial of service (DDoS)
- Man-in-the-middle attack (MitM)
- Attacchi di ingegneria sociale
- Attacco malware e spyware
- Attacchi con password
- Minacce avanzate persistenti (APT)
- Fonti delle minacce informatiche
- Top Cyber security Issues and Trends
- Top Cyber security Challenges
- Prioritizzare le minacce informatiche: Il modello delle minacce OWASP
- Utilizzare le informazioni sulle minacce per la prevenzione delle minacce
- Impara di più sulle minacce alla sicurezza informatica
- Vedi le nostre guide aggiuntive sulla sicurezza delle informazioni
- Guida alla sicurezza SIEM
- Guida all’analisi del comportamento degli utenti e delle entità
- Guida alle minacce interne
- Guida ai Security Operations Centers
- DLP Guide
- Guida alla risposta agli incidenti
Cosa sono le minacce alla sicurezza informatica?
Le minacce alla sicurezza informatica riflettono il rischio di subire un attacco informatico. Un attacco informatico è uno sforzo intenzionale e malevolo da parte di un’organizzazione o di un individuo per violare i sistemi di un’altra organizzazione o individuo. Le motivazioni dell’attaccante possono includere il furto di informazioni, il guadagno finanziario, lo spionaggio o il sabotaggio.
Quali sono i principali tipi di minacce alla sicurezza informatica?
I principali tipi di minacce informatiche sono:
- Distributed denial of service (DDoS)
- Man in the Middle (MitM)
- Social engineering
- Malware e spyware
- Attacchi con password
- Minacce avanzate persistenti (APT)
Di seguito trattiamo ciascuna di queste minacce in maniera più dettagliata.
Distributed denial of service (DDoS)
L’obiettivo di un attacco denial of service (DoS) è quello di sopraffare le risorse di un sistema bersaglio e causarne l’arresto, negando l’accesso ai suoi utenti. Il Distributed denial of service (DDoS) è una variante del DoS in cui gli attaccanti compromettono un gran numero di computer o altri dispositivi, e li usano in un attacco coordinato contro il sistema bersaglio.
Gli attacchi DDoS sono spesso utilizzati in combinazione con altre minacce informatiche. Questi attacchi possono lanciare un denial of service per catturare l’attenzione del personale di sicurezza e creare confusione, mentre effettuano attacchi più sottili volti a rubare dati o causare altri danni.
I metodi degli attacchi DDoS includono:
- Botnets-sistemi sotto il controllo degli hacker che sono stati infettati con malware. Gli attaccanti usano questi bot per effettuare attacchi DDoS. Le grandi botnet possono includere milioni di dispositivi e possono lanciare attacchi su scala devastante.
- Attacco Smurf – invia richieste ICMP (Internet Control Message Protocol) echo all’indirizzo IP della vittima. Le richieste ICMP sono generate da indirizzi IP ‘spoofed’. Gli attaccanti automatizzano questo processo e lo eseguono su scala per sopraffare un sistema bersaglio.
- Attacco TCP SYN flood-attacco che inonda il sistema bersaglio con richieste di connessione. Quando il sistema di destinazione tenta di completare la connessione, il dispositivo dell’attaccante non risponde, costringendo il sistema di destinazione al time out. Questo riempie rapidamente la coda di connessione, impedendo agli utenti legittimi di connettersi.
I seguenti due attacchi sono meno comuni oggi, in quanto si basano su vulnerabilità nel protocollo internet (IP) che sono state affrontate sulla maggior parte dei server e delle reti.
- Attacco Teardrop-causa la sovrapposizione dei campi di lunghezza e frammentazione nei pacchetti IP. Il sistema preso di mira cerca di ricostruire i pacchetti ma non ci riesce, il che può causare un crash.
- Ping of death attack – invia un ping a un sistema bersaglio usando pacchetti IP malformati o sovradimensionati, causando il crash o il blocco del sistema bersaglio.
Man-in-the-middle attack (MitM)
Quando gli utenti o i dispositivi accedono a un sistema remoto su Internet, essi presumono di comunicare direttamente con il server del sistema bersaglio. In un attacco MitM, gli aggressori rompono questo presupposto, ponendosi tra l’utente e il server di destinazione.
Una volta che l’aggressore ha intercettato le comunicazioni, può essere in grado di compromettere le credenziali di un utente, rubare dati sensibili e restituire risposte diverse all’utente.
Gli attacchi MitM includono:
- Session hijacking-un aggressore dirotta una sessione tra un server di rete e un client. Il computer attaccante sostituisce il suo indirizzo IP con l’indirizzo IP del client. Il server crede di essere in corrispondenza con il client e continua la sessione.
- Replay attack-un criminale informatico origlia la comunicazione di rete e riproduce i messaggi in un momento successivo, fingendo di essere l’utente. Gli attacchi di replay sono stati ampiamente mitigati dall’aggiunta di timestamp alle comunicazioni di rete.
- IP spoofing-un attaccante convince un sistema che sta corrispondendo con un’entità fidata e conosciuta. Il sistema fornisce così l’accesso all’attaccante. L’attaccante falsifica il suo pacchetto con l’indirizzo sorgente IP di un host fidato, piuttosto che il proprio indirizzo IP.
- Attacco Eavesdropping – gli attaccanti sfruttano una comunicazione di rete insicura per accedere alle informazioni trasmesse tra client e server. Questi attacchi sono difficili da rilevare perché le trasmissioni di rete sembrano agire normalmente.
Gli attacchi di ingegneria sociale funzionano manipolando psicologicamente gli utenti a compiere azioni desiderabili per un attaccante, o a divulgare informazioni sensibili.
Gli attacchi di ingegneria sociale includono:
- Phishing-gli attaccanti inviano corrispondenza fraudolenta che sembra provenire da fonti legittime, solitamente via e-mail. L’e-mail può spingere l’utente a compiere un’azione importante o a cliccare su un link a un sito web dannoso, portandolo a consegnare informazioni sensibili all’attaccante, o a esporsi a download dannosi. Le email di phishing possono includere un allegato email infettato da malware.
- Spear phishing-una variante del phishing in cui gli attaccanti prendono di mira specificamente individui con privilegi di sicurezza o influenza, come gli amministratori di sistema o i dirigenti senior.
- Attacchi omografici-gli attaccanti creano siti web falsi con indirizzi web molto simili a un sito web legittimo. Gli utenti accedono a questi falsi siti web senza notare la leggera differenza nell’URL, e possono inviare le loro credenziali o altre informazioni sensibili a un attaccante.
Attacco malware e spyware
Gli attacchi utilizzano molti metodi per introdurre malware nel dispositivo di un utente. Agli utenti può essere chiesto di compiere un’azione, come cliccare su un link o aprire un allegato. In altri casi il malware utilizza le vulnerabilità nei browser o nei sistemi operativi per installarsi senza che l’utente ne sia a conoscenza o abbia dato il suo consenso.
Una volta che il malware è installato, può monitorare le attività dell’utente, inviare dati riservati all’aggressore, assistere l’aggressore nella penetrazione di altri obiettivi all’interno della rete e persino far partecipare il dispositivo dell’utente a una botnet sfruttata dall’aggressore per scopi malevoli.
Gli attacchi di ingegneria sociale includono:
- Virus trojan: inganna l’utente facendogli credere di essere un file innocuo. Un trojan può lanciare un attacco a un sistema e può stabilire una backdoor, che gli attaccanti possono utilizzare.
- Ransomware-impedisce l’accesso ai dati della vittima e minaccia di cancellarli o pubblicarli a meno che non venga pagato un riscatto.
- Malvertising-pubblicità online controllata da hacker, che contiene codice dannoso che infetta il computer di un utente quando clicca, o anche solo visualizza l’annuncio. Il malvertising è stato trovato su molte delle principali pubblicazioni online.
- Malware wiper-intende distruggere dati o sistemi, sovrascrivendo file mirati o distruggendo un intero file system. I wipers sono di solito destinati a inviare un messaggio politico, o a nascondere le attività degli hacker dopo l’esfiltrazione dei dati.
- Drive-by download-gli aggressori possono violare siti web e inserire script dannosi in PHP o nel codice HTTP di una pagina. Quando gli utenti visitano la pagina, il malware viene installato direttamente sul loro computer; oppure lo script dell’attaccante reindirizza gli utenti a un sito dannoso, che esegue il download. I download drive-by si basano sulle vulnerabilità dei browser o dei sistemi operativi.
- I software di sicurezza fasulli fingono di scansionare il malware e poi mostrano regolarmente all’utente falsi avvisi e rilevamenti. Gli attaccanti possono chiedere all’utente di pagare per rimuovere le false minacce dal loro computer o per registrare il software. Gli utenti che si conformano trasferiscono i loro dettagli finanziari all’attaccante.
Attacchi con password
Un hacker può ottenere l’accesso alle informazioni sulle password di un individuo ‘sniffando’ la connessione alla rete, usando l’ingegneria sociale, indovinando, o ottenendo l’accesso a un database di password. Un attaccante può “indovinare” una password in modo casuale o sistematico.
Gli attacchi alle password includono:
- Indovinare la password con la forza bruta – un attaccante usa un software per provare molte password diverse, nella speranza di indovinare quella corretta. Il software può usare una certa logica per provare le password legate al nome dell’individuo, il suo lavoro, la sua famiglia, ecc.
- Attacco con dizionario-un dizionario di password comuni viene utilizzato per ottenere l’accesso al computer e alla rete della vittima. Un metodo è quello di copiare un file crittografato che contiene le password, applicare la stessa crittografia a un dizionario di password usate regolarmente e confrontare i risultati.
Minacce avanzate persistenti (APT)
Quando un individuo o un gruppo ottiene un accesso non autorizzato a una rete e rimane scoperto per un lungo periodo di tempo, gli aggressori possono esfiltrare dati sensibili, evitando deliberatamente il rilevamento da parte del personale di sicurezza dell’organizzazione. Le APT richiedono aggressori sofisticati e comportano grandi sforzi, quindi sono tipicamente lanciate contro Stati nazionali, grandi aziende o altri obiettivi di grande valore.
Fonti delle minacce informatiche
Quando si identifica una minaccia informatica, è importante capire chi è l’attore della minaccia, così come le sue tattiche, tecniche e procedure (TTP). Le fonti comuni di minacce informatiche includono:
-
- Gli attacchi cibernetici degli Stati possono interrompere le comunicazioni, le attività militari o altri servizi che i cittadini utilizzano quotidianamente.
- I terroristi-terroristi possono attaccare obiettivi governativi o militari, ma a volte possono anche colpire siti web civili per interrompere e causare danni duraturi.
- Spie industriali-il crimine organizzato e le spie aziendali internazionali effettuano spionaggio industriale e furto di denaro. Il loro motivo principale è finanziario.
- Gruppi di criminalità organizzata – gruppi criminali si infiltrano nei sistemi per ottenere un guadagno monetario. I gruppi del crimine organizzato usano il phishing, lo spam e il malware per compiere furti d’identità e frodi online.
- Hacker: c’è una vasta popolazione globale di hacker, che vanno dai principianti “script kiddies” o quelli che sfruttano kit di minacce già pronti, agli operatori sofisticati che possono sviluppare nuovi tipi di minacce ed evitare le difese organizzative.
- Hacktivists-hacktivists sono hacker che penetrano o interrompono i sistemi per motivi politici o ideologici piuttosto che per guadagno finanziario.
- Malicious insider-gli insider rappresentano una minaccia molto seria, in quanto hanno accesso ai sistemi aziendali e conoscenza dei sistemi target e dei dati sensibili. Le minacce interne possono essere devastanti e molto difficili da rilevare.
- Lo spionaggio informatico è una forma di attacco informatico che ruba dati intellettuali classificati o sensibili per ottenere un vantaggio su un’azienda competitiva o un ente governativo.
Top Cyber security Issues and Trends
Come la tecnologia si evolve, così fanno le minacce e i problemi che i team di sicurezza devono affrontare. Di seguito ci sono alcune delle principali tendenze e preoccupazioni della sicurezza informatica di oggi.
Il ruolo crescente dell’intelligenza artificiale (AI)
L’AI è un’arma a doppio taglio: sta migliorando le soluzioni di sicurezza e allo stesso tempo viene sfruttata dagli attaccanti per bypassare tali soluzioni. Parte della ragione di questo è la crescente accessibilità all’IA. In passato, sviluppare modelli di apprendimento automatico era possibile solo se si aveva accesso a budget e risorse significative. Ora, invece, i modelli possono essere sviluppati su portatili personali.
Questa accessibilità rende l’IA uno strumento che si è esteso dalle grandi corse agli armamenti digitali agli attacchi quotidiani. Mentre i team di sicurezza stanno usando l’IA per cercare di rilevare comportamenti sospetti, i criminali la stanno usando per creare bot che passano per utenti umani e per cambiare dinamicamente le caratteristiche e i comportamenti del malware.
Il gap di competenze nella sicurezza informatica continua a crescere
Dal 2018 c’è una crescente preoccupazione per il gap di competenze nella sicurezza informatica. Semplicemente non ci sono abbastanza esperti di sicurezza informatica per riempire tutte le posizioni necessarie. Man mano che vengono create più aziende e altre aggiornano le loro strategie di sicurezza esistenti, questo numero aumenta.
Le minacce moderne, dalle identità clonate alle campagne di deep fake, stanno diventando più difficili da rilevare e fermare. Le competenze di sicurezza richieste per combattere queste minacce vanno ben oltre la semplice comprensione di come implementare strumenti o configurare crittografie. Queste minacce richiedono una conoscenza diversificata di un’ampia varietà di tecnologie, configurazioni e ambienti. Per ottenere queste competenze, le organizzazioni devono reclutare esperti di alto livello o dedicare le risorse alla formazione dei propri.
Minacce di hacking e Internet of Things (IoT) in aumento
La quantità di dati contenuti in un veicolo moderno è enorme. Anche le auto che non sono autonome sono caricate con una varietà di sensori intelligenti. Questo include dispositivi GPS, piattaforme di comunicazione integrate, telecamere e controller AI. Le case di molte persone, i luoghi di lavoro e le comunità sono pieni di dispositivi intelligenti simili. Per esempio, gli assistenti personali incorporati negli altoparlanti sono dispositivi intelligenti.
I dati su questi dispositivi possono fornire informazioni sensibili ai criminali. Queste informazioni includono conversazioni private, immagini sensibili, informazioni di tracciamento e accesso a qualsiasi account utilizzato con i dispositivi. Questi dispositivi possono essere facilmente sfruttati dagli aggressori per il ricatto o il guadagno personale. Per esempio, abusando di informazioni finanziarie o vendendo informazioni sul mercato nero.
Con i veicoli in particolare, la minaccia di danni personali è anche molto reale. Quando i veicoli sono parzialmente o interamente controllati da computer, gli aggressori hanno l’opportunità di violare i veicoli proprio come qualsiasi altro dispositivo. Questo potrebbe consentire loro di utilizzare i veicoli come armi contro gli altri o come mezzo per danneggiare il conducente o i passeggeri.
Top Cyber security Challenges
In aggiunta ai problemi più specifici trattati sopra, ci sono anche sfide più ampie affrontate da molti team di sicurezza informatica. Qui sotto ci sono alcune delle sfide attuali più comuni.
I dispositivi mobili sono difficili da gestire e proteggere
Anche se le persone non hanno abbracciato completamente le tecnologie intelligenti, quasi tutti hanno un dispositivo mobile di qualche tipo. Smartphone, computer portatili e tablet sono comuni. Questi dispositivi sono spesso multiuso, utilizzati sia per lavoro che per attività personali, e gli utenti possono collegare i dispositivi a più reti durante il giorno.
Questa abbondanza e l’uso diffuso rendono i dispositivi mobili un obiettivo attraente per gli aggressori. Il targeting non è nuovo, ma la vera sfida deriva dal fatto che i team di sicurezza non hanno il pieno controllo sui dispositivi. Le politiche BYOD (Bring your own device) sono comuni, ma queste politiche spesso non includono il controllo o la gestione interna.
Spesso, i team di sicurezza sono in grado di controllare solo ciò che accade con questi dispositivi all’interno del perimetro della rete. I dispositivi possono essere obsoleti, già infettati da malware, o avere protezioni insufficienti. L’unico modo che i team di sicurezza possono avere per bloccare queste minacce è rifiutare la connettività, il che non è pratico.
La complessità dell’ambiente cloud
Con le aziende che si spostano quotidianamente verso le risorse cloud, molti ambienti stanno diventando sempre più complessi. Questo è particolarmente vero nel caso di ambienti ibridi e multi-cloud, che richiedono un monitoraggio e un’integrazione estesi.
Con ogni servizio e risorsa cloud che viene incluso in un ambiente, il numero di endpoint e le possibilità di configurazione errata aumentano. Inoltre, poiché le risorse sono nel cloud, la maggior parte, se non tutti gli endpoint sono rivolti a Internet, garantendo l’accesso agli aggressori su scala globale.
Per proteggere questi ambienti, i team di cybersecurity hanno bisogno di strumenti avanzati e centralizzati e spesso di più risorse. Questo include risorse per la protezione e il monitoraggio 24/7, dato che le risorse sono in funzione e potenzialmente vulnerabili anche quando la giornata lavorativa è finita.
Sophisticated phishing exploits
Il phishing è una vecchia ma ancora comune tattica usata dagli aggressori per ottenere dati sensibili, incluse credenziali e informazioni finanziarie. In passato, le email di phishing erano vaghe, spesso in posa come figure di autorità con ampie basi di utenti. Per esempio, Facebook o Netflix. Ora, invece, il phishing fa spesso leva sull’ingegneria sociale.
Molte persone rendono volentieri pubbliche grandi quantità di informazioni su se stessi, tra cui dove vivono e lavorano, i loro hobby e la loro fedeltà al marchio. Gli attaccanti possono utilizzare queste informazioni per inviare messaggi mirati, aumentando la probabilità che gli utenti cadano nei loro trucchi.
Attacchi sponsorizzati dallo stato
Quanto più il mondo si sposta nel regno digitale, il numero di attacchi su larga scala e sponsorizzati dallo stato sono in aumento. Le reti di hacker possono ora essere sfruttate e comprate da stati nazionali e gruppi di interesse opposti per paralizzare i sistemi governativi e organizzativi.
Per alcuni di questi attacchi, i risultati sono facilmente visibili. Per esempio, sono stati identificati numerosi attacchi che hanno coinvolto la manomissione delle elezioni. Altri, tuttavia, possono passare inosservati, raccogliendo silenziosamente informazioni sensibili, come le strategie militari o la business intelligence. In entrambi i casi, le risorse che finanziano questi attacchi permettono ai criminali di utilizzare strategie avanzate e distribuite che sono difficili da rilevare e prevenire
Prioritizzare le minacce informatiche: Il modello delle minacce OWASP
Il numero di minacce informatiche sta crescendo rapidamente, ed è impossibile per le organizzazioni prepararsi a tutte. Per aiutare a dare priorità agli sforzi di sicurezza informatica, OWASP ha sviluppato un modello per valutare le minacce informatiche, riassunto come segue:
Rischio = Probabilità + Impatto
Considera la probabilità di una minaccia informatica – quanto è facile per gli attaccanti effettuare un attacco? Ci sono degli aggressori là fuori con le competenze necessarie? Quanto è probabile che siate in grado di rilevare e mitigare la minaccia?
Inoltre, considerate l’impatto della minaccia – quanto sono sensibili i sistemi che potrebbero essere colpiti, quanto sono preziosi e sensibili i dati che potrebbero essere persi, e in generale quale sarebbe l’impatto finanziario o sulla reputazione di un attacco?
Combinando la probabilità con l’impatto, potete identificare le minacce che sono significative per la vostra organizzazione e assicurarvi di essere protetti.
Utilizzare le informazioni sulle minacce per la prevenzione delle minacce
Le informazioni sulle minacce sono informazioni organizzate e preanalizzate sugli attacchi che possono minacciare un’organizzazione. Le informazioni sulle minacce aiutano le organizzazioni a comprendere le minacce informatiche potenziali o attuali. Più informazioni ha il personale di sicurezza sugli attori delle minacce, le loro capacità, infrastrutture e motivazioni, meglio possono difendere la loro organizzazione.
I sistemi di intelligence sulle minacce sono comunemente usati in combinazione con altri strumenti di sicurezza. Quando un sistema di sicurezza identifica una minaccia, può essere incrociato con i dati di intelligence sulle minacce per capire immediatamente la natura della minaccia, la sua gravità e i metodi conosciuti per mitigare o contenere la minaccia. In molti casi le informazioni sulle minacce possono aiutare a bloccare automaticamente le minacce, per esempio, gli indirizzi IP cattivi conosciuti possono essere forniti a un firewall, per bloccare automaticamente il traffico dai server compromessi.
Le informazioni sulle minacce sono in genere fornite sotto forma di feed. Ci sono feed gratuiti di informazioni sulle minacce e altri forniti da enti commerciali di ricerca sulla sicurezza. Diversi fornitori forniscono piattaforme di informazioni sulle minacce che vengono fornite con numerosi feed di informazioni sulle minacce e aiutano a gestire i dati sulle minacce e a integrarli con altri sistemi di sicurezza.
Impara di più sulle minacce alla sicurezza informatica
Minacce alla sicurezza delle informazioni e strumenti per affrontarle
Il valore delle informazioni oggi le rende una merce desiderabile e un obiettivo allettante per il furto e il sabotaggio, mettendo a rischio di attacco coloro che le creano e le utilizzano. I criminali trovano costantemente nuovi modi per aggirare gli strumenti di sicurezza e gli sviluppatori di sicurezza stanno lavorando per stare al passo costruendo soluzioni più intelligenti.
La perdita di informazioni può causare grandi danni a un’azienda, ma prendendo le giuste precauzioni e utilizzando gli strumenti appropriati, il rischio può essere notevolmente ridotto. Continuate a leggere per scoprire quali tipi di minacce alla sicurezza delle informazioni dovete considerare, compresi esempi di minacce comuni, e come potete mitigare i vostri rischi.
Leggi di più: Minacce alla sicurezza delle informazioni e strumenti per affrontarle
Drive By Download: Cosa sono e come evitarli
La maggior parte delle persone non pensano due volte ai siti web che visitano, cliccando velocemente e non prestando molta attenzione al fatto che un link li reindirizzi o se viene utilizzato un protocollo sicuro. Spesso, questo non è un problema, ma se vi capita di visitare un sito che è stato compromesso, il vostro sistema può essere rapidamente infettato da un drive by download.
Qui, vedremo cosa è un drive by download, il tipo di danno che può causare, e coprire alcune strategie che il vostro centro operativo di sicurezza può utilizzare per ridurre al minimo il rischio.
Leggi di più: Drive By Downloads: Cosa sono e come evitarli
Crimine informatico: Tipi, esempi e cosa può fare la tua azienda
Il crimine informatico è il rovescio della medaglia della cybersicurezza – un enorme spettro di attività dannose e illegali svolte utilizzando computer e Internet. Questo articolo ti aiuterà a capire il crimine informatico e come difendere la tua organizzazione da esso.
Leggi di più: Cyber Crime: Tipi, esempi e cosa può fare la tua azienda
Cos’è MITRE ATT&CK: una spiegazione
MITRE ATT&CK è una base di conoscenza accessibile a livello globale delle tattiche e delle tecniche degli avversari, basata su osservazioni reali di attacchi informatici. Sono visualizzate in matrici che sono organizzate per fasi di attacco, dall’accesso iniziale al sistema al furto di dati o al controllo della macchina. Ci sono matrici per le comuni piattaforme desktop-Linux, macOS e Windows, così come le piattaforme mobili.
Leggi di più: Che cos’è MITRE ATT&CK: An Explainer
Che cos’è MITRE ATT&CK: An Explainer
Il quadro, il modello e la tassonomia MITRE ATT&CK forniscono un catalogo categorizzato e strutturato di tattiche (il “perché” di un attacco) e tecniche (il “come” e talvolta il “cosa” di un attacco). La relazione tra tattiche e tecniche è organizzata e presentata come matrice ATT&CK. La filosofia del modello ATT&CK è che concentrandosi e dando priorità alla difesa contro il comportamento documentato delle minacce, è possibile comprendere, prevenire e mitigare queste minacce e attacchi.
Leggi di più: Mitigare le minacce alla sicurezza con MITRE ATT&CK
Difesa contro il Ransomware: Prevenzione, protezione, rimozione
Un attacco ransomware può essere paralizzante per un’organizzazione. Durante un attacco, i criminali informatici bloccano l’accesso ai file o alla rete, sostenendo che se si paga un riscatto, l’accesso verrà ripristinato. Una strategia di difesa efficace contro il ransomware è essenziale per prevenire danni ingenti e deve includere tre pilastri: prevenzione, protezione e rimozione rapida.
Leggi di più: Difendersi dai ransomware: Prevenzione, Protezione, Rimozione
Top 5 Tecniche di ingegneria sociale e come prevenirle
L’ingegneria sociale sfrutta l’anello più debole della nostra catena di sicurezza – la nostra forza lavoro umana – per accedere alle reti aziendali. Gli aggressori usano trucchi sempre più sofisticati e manipolazioni emotive per indurre i dipendenti, anche quelli più anziani, a cedere informazioni sensibili. Scoprite le fasi di un attacco di social engineering, quali sono le principali minacce di social engineering secondo l’InfoSec Institute e le migliori pratiche per difendersi da esse.
Leggi di più: Le 5 principali tecniche di ingegneria sociale e come prevenirle
Rilevamento dell’escalation dei privilegi: La chiave per prevenire gli attacchi avanzati
Gli aggressori stanno diventando sempre più sofisticati, e gruppi organizzati di hacker stanno portando avanti attacchi avanzati contro obiettivi interessanti. Una componente chiave in quasi tutti gli attacchi avanzati è l’escalation dei privilegi – un tentativo di compromettere un account, e poi espandere i privilegi dell’attaccante, ottenendo il controllo di più account o aumentando il livello di privilegio dell’account compromesso.
Leggi di seguito per capire come funziona l’escalation dei privilegi, come rilevarla nella tua organizzazione, e come proteggere i tuoi sistemi e fermare gli attacchi avanzati prima che raggiungano le tue risorse più sensibili.
Leggi di più: Rilevamento dell’escalation dei privilegi: La chiave per prevenire gli attacchi avanzati
Concetti diSIEM: Incidenti di sicurezza
Gli incidenti di sicurezza indicano il fallimento delle misure di sicurezza o la violazione dei sistemi o dei dati delle organizzazioni. Questo include qualsiasi evento che minaccia l’integrità, la disponibilità o la riservatezza delle informazioni. Le cause degli incidenti di sicurezza includono violazioni del perimetro, attacchi informatici e minacce interne.
Gli incidenti di solito richiedono l’intervento di un amministratore IT. La risposta agli incidenti (IR) è un processo organizzato con cui le organizzazioni si difendono dagli incidenti di sicurezza.
Leggi di più: Concetti SIEM: Incidenti di sicurezza
Vedi le nostre guide aggiuntive sulla sicurezza delle informazioni
Per guide più approfondite su ulteriori argomenti di sicurezza delle informazioni come le violazioni dei dati, vedi sotto:
Guida alla sicurezza SIEM
La sicurezza SIEM si riferisce all’integrazione di SIEM con strumenti di sicurezza, strumenti di monitoraggio della rete, strumenti di monitoraggio delle prestazioni, server ed endpoint critici e altri sistemi IT.
Vedi i migliori articoli della nostra guida sulla sicurezza SIEM
- 7 SIEM Open Source: Caratteristiche e limiti
- Soluzioni SIEM: Come funzionano e perché ne avete bisogno
- Combattere gli attacchi informatici con SOAR
Guida all’analisi del comportamento degli utenti e delle entità
UEBA sta per User and Entity Behavior Analytics che è una categoria di strumenti di cybersecurity che analizza il comportamento degli utenti e applica analisi avanzate per rilevare le anomalie.
Vedi gli articoli principali della nostra guida User and Entity Behavior Analytics
- Cos’è UEBA e perché dovrebbe essere una parte essenziale della tua risposta agli incidenti
- User Behavior Analytics (UBA/UEBA): La chiave per scoprire minacce alla sicurezza interne e sconosciute
- Profilazione comportamentale: The Foundation of Modern Security Analytics
Guida alle minacce interne
Una minaccia interna è un’attività dannosa contro un’organizzazione che proviene da utenti con accesso legittimo alla rete, alle applicazioni o ai database di un’organizzazione.
Vedi gli articoli principali della nostra guida alle minacce interne
- Lotta alle minacce interne con la scienza dei dati
- Indicatori di minacce interne: Trovare il nemico all’interno
- Come trovare insider maligni: Tackling Insider Threats Using Behavioral Indicators
Guida ai Security Operations Centers
Un Security Operations Center (SOC) è tradizionalmente una struttura fisica di un’organizzazione, che ospita un team di sicurezza informatica.
Vedi i migliori articoli della nostra guida ai centri operativi di sicurezza
- Come costruire un centro operativo di sicurezza per piccole aziende
- Ruoli e responsabilità del centro operativo di sicurezza
- SecOps: 7 passi per : Taking DevOps One Step Further
- Data Breach Guide
DLP Guide
DLP è un approccio che cerca di proteggere le informazioni aziendali. Impedisce agli utenti finali di spostare le informazioni chiave al di fuori della rete.
Vedi gli articoli principali della nostra guida DLP
- Data Loss Prevention Policy Template
- Data Loss Prevention Tools
- Violazioni della sicurezza: Cosa devi sapere
Guida alla risposta agli incidenti
La risposta agli incidenti è un approccio alla gestione delle violazioni della sicurezza.
Vedi gli articoli principali della nostra guida alla risposta agli incidenti
- La guida completa all’organizzazione CSIRT: Come costruire un team di risposta agli incidenti
- Come implementare rapidamente un’efficace politica di risposta agli incidenti
- Piano di risposta agli incidenti 101: Come costruirne uno, modelli ed esempi
Lascia un commento