top of page
Anchor 100

Attacchi di Sicurezza Informatica

Gli autori delle minacce utilizzano attacchi di sicurezza informatica per eseguire attività dannose contro sistemi informatici, dispositivi o reti. Un attacco di sicurezza informatica può utilizzare uno o più vettori di attacco per prendere di mira individui o organizzazioni e raggiungere obiettivi che vanno dal guadagno finanziario al sabotaggio e al terrorismo.

Ad esempio, gli attori delle minacce possono utilizzare attacchi di forza bruta, riempimento di credenziali o altre forme di ingegneria sociale per ottenere l'accesso non autorizzato ai sistemi informatici. Gli attacchi più sofisticati, come le minacce persistenti avanzate (APT), impiegano varie tecniche e vettori per ottenere l'accesso non autorizzato a una rete aziendale e non vengono rilevati fino al raggiungimento dei loro obiettivi.

Un attacco alla sicurezza informatica riuscito può comportare una violazione dei dati. Successivamente, gli attori potrebbero tentare di rubare i dati, modificarli, venderli o trattenerli per un riscatto. Le tecniche di prevenzione includono il backup dei dati, i test di penetrazione, la formazione sui premi e la risoluzione delle vulnerabilità della sicurezza.

Tipi comuni di minacce alla sicurezza informatica

Violazione dei dati

Una violazione dei dati è un attacco informatico in cui dati sensibili, sensibili o protetti vengono compromessi o divulgati. Le violazioni dei dati possono verificarsi in organizzazioni di tutte le dimensioni. I dati rubati potrebbero includere informazioni di identificazione personale (PHI), informazioni sanitarie protette (PHI), segreti commerciali, dati dei clienti o altri dati sensibili.

Se una violazione dei dati comporta il furto di informazioni personali o una violazione degli obblighi di conformità del governo o del settore, l'organizzazione incriminata può incorrere in multe, azioni legali, danni alla reputazione e interruzioni operative.

SSRF

La falsificazione di richieste lato server (SSRF) è una vulnerabilità della sicurezza Web che consente a un utente malintenzionato di inviare una richiesta a una posizione inaspettata in un'applicazione lato server.

In un tipico attacco SSRF, un utente malintenzionato può convincere un server a stabilire una connessione a un servizio privato interno all'interno dell'infrastruttura dell'organizzazione. Può anche forzare il server a connettersi a sistemi esterni, esponendo dati sensibili come le credenziali.

XXE

XML External Entity Injection (XXE) è una vulnerabilità della sicurezza Web che consente a un utente malintenzionato di compromettere un'applicazione sfruttando il modo in cui gestisce i dati XML. Nella maggior parte degli attacchi XXE, gli aggressori possono visualizzare i file sul file system del server delle applicazioni e interagire con back-end o sistemi esterni a cui l'applicazione stessa ha accesso.

In alcuni casi, gli aggressori possono sfruttare le vulnerabilità XXE per lanciare attacchi SSRF (Server-side Request Forgery), compromettendo i server sottostanti o altre infrastrutture back-end.

XS

Il cross-site scripting (noto anche come XSS) è una vulnerabilità della sicurezza Web che può compromettere l'interazione dell'utente con le applicazioni vulnerabili. Consente agli aggressori di aggirare i criteri della stessa origine progettati per isolare i comandi provenienti da diversi siti Web. 

Una vulnerabilità XSS consente a un utente malintenzionato di impersonare un utente di un'applicazione, eseguire qualsiasi azione per la quale l'utente dispone di privilegi e ottenere l'accesso ai dati dell'utente. Se l'utente della vittima ha accesso amministrativo all'applicazione, XSS consente la completa compromissione dell'applicazione e dei suoi dati.

Iniezione di codice

Code injection è un termine generico per un attacco in cui gli aggressori inseriscono codice accettato dall'applicazione come input innocuo e interpretato o eseguito dall'applicazione, ma che in realtà contiene istruzioni dannose. 

Questo tipo di attacco sfrutta la convalida impropria di dati non attendibili in un'applicazione. Tipi comuni di code injection includono command injection, SQL injection e PHP injection.

Iniezione di comandi

L'iniezione di comandi è un attacco progettato per eseguire comandi arbitrari sul sistema operativo host attraverso un'applicazione vulnerabile. Gli attacchi di command injection possono verificarsi quando un'applicazione passa dati non sicuri forniti dall'utente, come moduli, cookie o intestazioni HTTP, alla shell di sistema. 

In un attacco di command injection, i comandi del sistema operativo forniti dall'aggressore vengono in genere eseguiti con i privilegi dell'applicazione vulnerabile. Gli attacchi di command injection sono causati da una convalida dell'input insufficiente.

SQL Injection

L'iniezione SQL è una tecnica utilizzata dagli aggressori per ottenere l'accesso non autorizzato ai database delle applicazioni Web aggiungendo stringhe di codice dannoso alle query del database.

Gli aggressori manipolano il codice SQL per fornire l'accesso a risorse protette come dati sensibili ed eseguono istruzioni SQL dannose. L'iniezione SQL eseguita correttamente può esporre la proprietà intellettuale, i dati dei clienti o le credenziali dell'amministratore di un'azienda privata. La maggior parte delle tecniche utilizza caratteri di comando che cambiano il contesto di una query SQL per eseguire azioni impreviste sul database.

Gli attacchi SQL injection possono prendere di mira qualsiasi applicazione che utilizza un database SQL e i siti Web sono l'obiettivo di attacco più comune. I database SQL comuni includono MySQL, Oracle e SQL Server. Con l'avvento dei database NoSQL, gli aggressori hanno scoperto tecniche simili per eseguire l'iniezione NoSQL.

Esecuzione di codice remoto

L'esecuzione di codice in modalità remota (RCE) consente a un utente malintenzionato di eseguire codice dannoso in remoto su un computer. Questa vulnerabilità consente a un utente malintenzionato di assumere il controllo completo di un sistema interessato con i privilegi dell'utente che esegue l'applicazione. Dopo aver ottenuto l'accesso al sistema, gli aggressori spesso tentano di aumentare i privilegi. 

Molti altri tipi di attacchi qui elencati potrebbero portare a RCE in alcune circostanze e una serie di vulnerabilità nei sistemi operativi e nelle applicazioni abilita RCE. Qualsiasi attacco o exploit che abilita RCE è considerato estremamente grave e può avere conseguenze disastrose. 

Ripieno di credenziali

Credential stuffing è l'inserimento automatico di credenziali rubate nei moduli di accesso al sito Web per ottenere l'accesso non autorizzato agli account utente.

Molti utenti riutilizzano le stesse coppie di password e nome utente, quindi se tali credenziali vengono esposte in una violazione dei dati o tramite attacchi di phishing, possono consentire agli aggressori di accedere a più sistemi. Gli aggressori tentano di inviare le stesse credenziali a centinaia di siti Web per ottenere l'accesso ad account aggiuntivi. 

Il riempimento delle credenziali è simile a un attacco di forza bruta, ma invece di provare stringhe casuali o dizionari di password comuni, utilizza password note ottenute in precedenti violazioni.

Minaccia persistente avanzata

Advanced Persistent Threat (APT) è un termine generico usato per descrivere un attacco in cui un intruso o un gruppo di intrusi ottiene una presenza a lungo termine su una rete, solitamente con l'obiettivo di rubare dati sensibili.

Gli obiettivi di questi attacchi sono accuratamente selezionati e studiati e spesso coinvolgono grandi reti aziendali o governative. Molti aggressori APT fanno parte di gruppi di criminalità informatica organizzata o potrebbero essere supportati da stati nazionali ostili, il che significa che hanno le risorse, la tecnologia e il tempo per condurre attacchi altamente sofisticati.

Gli aggressori APT possono utilizzare una varietà di metodi per penetrare in una rete senza essere rilevati. Eseguono movimenti laterali, aumentano i privilegi e distribuiscono malware come trojan o rootkit che consentono loro di ottenere una presa persistente. Gli aggressori possono rimanere sulla rete per mesi o anni, estraendo continuamente dati preziosi. 

Attacchi alla catena di approvvigionamento

Un attacco alla catena di approvvigionamento sfrutta un anello debole nella catena di approvvigionamento di un'organizzazione. Una catena di fornitura è una rete di tutti gli individui, le organizzazioni, le risorse, le attività e le tecnologie coinvolte nella creazione e vendita di un prodotto. La catena di fornitura comprende tutti gli aspetti della consegna dei materiali, dal fornitore al produttore fino alla consegna all'utente finale. 

In diversi attacchi recenti, aggressori sofisticati hanno preso di mira la catena di fornitura del software, compromettendo componenti software o sistemi ritenuti attendibili e distribuiti da migliaia di organizzazioni in tutto il mondo. Ciò rende fondamentale per le organizzazioni controllare attentamente gli standard di sicurezza dei propri fornitori, componenti software di terze parti e sistemi IT.

Avvelenamento della cache

L'avvelenamento della cache è un attacco di rete in cui un utente malintenzionato inserisce informazioni errate nel DNS (Domain Name System) o nella cache Web per danneggiare gli utenti. Gli aggressori utilizzano un server Web e una cache per propagare informazioni errate a un server DNS o alla cache di un sistema di destinazione, con l'obiettivo di fornire agli utenti risposte HTTP (Hypertext Transfer Protocol) dannose.

In genere, l'avvelenamento della cache DNS devia il traffico da siti Web legittimi a siti Web dannosi controllati da un utente malintenzionato. Ciò lascia gli utenti vulnerabili a rischi come infezioni da malware e furto di dati. 

Contrabbando di richieste HTTP

Gli attacchi di contrabbando di richieste HTTP sfruttano le incoerenze nel modo in cui due server HTTP analizzano una richiesta HTTP non conforme a RFC. In genere si tratta di un server back-end e di un firewall o proxy abilitato per HTTP. L'attaccante crea diverse richieste HTTP personalizzate che nascondono o "contrabbandono" una richiesta dannosa in una richiesta apparentemente benigna.

Attraverso le vulnerabilità del contrabbando HTTP, gli aggressori possono aggirare le misure di sicurezza, ottenere l'accesso a informazioni sensibili e dirottare le sessioni degli utenti. Questo attacco può anche portare a exploit secondari come bypass del firewall, avvelenamento parziale della cache e cross-site scripting (XSS).

LFI e RFI

L'inclusione di file locali (LFI) è una vulnerabilità Web che può consentire a un utente malintenzionato di eseguire o accedere a un file su un sito Web o un'applicazione Web vulnerabile. Ciò può consentire all'attaccante di leggere file sensibili, accedere a informazioni riservate ed eseguire comandi arbitrari sul server back-end.

L'inclusione di file remoti (RFI) è il processo di inclusione di file remoti sfruttando un processo di inclusione di file di inclusione vulnerabile implementato nell'applicazione. È diverso da LFI perché consente a un utente malintenzionato di eseguire codice dannoso da una fonte esterna, invece di accedere a file già presenti su un server Web locale.

In un attacco RFI, un hacker utilizza la funzionalità di inclusione dinamica dei file, presente in molti framework Web, per caricare un file o uno script esterno dannoso. Se un'applicazione Web accetta l'input dell'utente (come URL e valori dei parametri) e lo passa al meccanismo di inclusione dei file senza un'adeguata convalida, gli aggressori possono eseguire RFI per iniettare uno script o eseguibile dannoso.

IDORO

Un attacco IDOR (Insecure Direct Object Reference) si verifica quando un'applicazione fornisce l'accesso diretto a un oggetto in base all'input personalizzato dell'utente. Gli aggressori possono ottenere un accesso diretto e non autorizzato alle risorse modificando il valore di un parametro in modo che punti direttamente a un oggetto, che potrebbe essere una voce di database o qualsiasi file sul sistema locale. 

Ciò può consentire a un utente malintenzionato di aggirare l'autenticazione e accedere direttamente a risorse sensibili sul sistema, come record e file di database. 

Errata configurazione del cloud

Gli errori di configurazione della sicurezza sono comuni negli ambienti cloud. Si verificano quando le impostazioni di sicurezza non sono definite correttamente o vengono utilizzati valori predefiniti non sicuri. Un semplice esempio è un bucket cloud contenente dati sensibili, che viene esposto a Internet senza autenticazione.

La maggior parte dei servizi basati su cloud può essere configurata in modo sicuro, ma ciò richiede vigilanza da parte del cliente cloud. L'errata configurazione si verifica spesso quando gli utenti configurano una risorsa cloud senza proteggerla adeguatamente, lasciandola aperta allo sfruttamento da parte di aggressori. In altri casi, le risorse cloud potrebbero essere state adeguatamente protette in quel momento, ma potrebbero essere diventate insicure a causa di una nuova vulnerabilità o di una modifica dell'ambiente cloud. 

Istanze di calcolo, bucket di archiviazione, database cloud, container o applicazioni software as a service (SaaS) configurati in modo errato (per citare solo alcuni tipi di risorse cloud) possono essere facilmente rilevati dagli aggressori utilizzando una varietà di strumenti di scansione. Molte violazioni su larga scala e molto pubblicizzate sono state il risultato di configurazioni errate del cloud che non sono state rilevate e risolte in tempo dall'organizzazione. Ciò aumenta la necessità di una scansione continua dei sistemi cloud e di una rapida correzione delle configurazioni errate della sicurezza.


 

Come prevenire gli attacchi alla sicurezza informatica
 

Test di penetrazione

Un penetration test (pen test) è una simulazione autorizzata di un attacco informatico contro un sistema informatico o una rete. Il test di penetrazione ha lo scopo di identificare le vulnerabilità sfruttabili e controllare la posizione di sicurezza dell'organizzazione. Gli hacker etici eseguono test di penetrazione per aiutare le organizzazioni a trovare e correggere in modo proattivo gli exploit critici che possono portare a violazioni della sicurezza.

 

Test continui delle applicazioni: programmi di ricompensa e programmi di divulgazione di vulnerabilità (VDP)

Un VDP incoraggia terze parti ad aiutare un'organizzazione a scoprire le vulnerabilità della sicurezza. Stabilisce linee guida chiare per hacker etici, ricercatori e altri, su come scoprire e inviare vulnerabilità all'organizzazione. Questo aiuta a proteggere le organizzazioni da vulnerabilità note pubblicamente e consente ai ricercatori di sicurezza di operare senza temere azioni legali. 

In un VDP, le organizzazioni possono occasionalmente premiare i ricercatori, ma non esiste un meccanismo di compensazione organizzato. Un programma bug bounty, al contrario, è un sistema di ricompensa organizzato offerto agli hacker etici per aver scoperto e divulgato bug. I programmi di ricompensa pagano per ogni vulnerabilità scoperta. I partecipanti etici ai programmi di bug bounty possono guadagnare entrate a tempo pieno e le organizzazioni possono attivare e disattivare i programmi secondo necessità.

Creare un programma di formazione sulla consapevolezza della sicurezza informatica

La ricerca indica che un appaltatore o un dipendente può avviare due dei tre incidenti di minaccia interna prevenibili. Le organizzazioni possono proteggersi creando un programma di formazione sulla consapevolezza della sicurezza informatica. Aiuta a identificare i comportamenti rischiosi dei dipendenti, a tenere traccia delle metriche di miglioramento e a fornire ai dipendenti l'istruzione, le competenze e le conoscenze necessarie per una cultura della sicurezza al primo posto.

Affrontare OWASP Top 10 vulnerabilità

L'Open Web Application Security Project (OWASP) è un'organizzazione senza scopo di lucro dedicata ad aiutare a migliorare la sicurezza delle applicazioni, fornendo una base di conoscenza gratuita e credibile sul proprio sito web. L'elenco delle 10 principali vulnerabilità di OWASP include le vulnerabilità critiche delle applicazioni web. L'elenco viene rivisto e aggiornato secondo necessità. È riconosciuto a livello globale come una guida essenziale alle best practice per la sicurezza delle applicazioni web.

Usa database CVE

I database CVE (Common Vulnerabilities and Exposures) forniscono un elenco di informazioni divulgate pubblicamente su vulnerabilità ed esposizioni della sicurezza. Consente alle parti di condividere facilmente informazioni sulle vulnerabilità note e di aggiornare rapidamente le strategie di sicurezza con le più recenti falle di sicurezza. CVE fornisce un identificatore standardizzato e un nome/numero per ogni esposizione o vulnerabilità. Ogni identificatore offre l'accesso a minacce specifiche attraverso diverse fonti di informazioni.  

Monitora l'accesso di terze parti ai tuoi dati

La maggior parte delle organizzazioni consente l'accesso di terze parti ai propri dati. Dipendenti remoti, fornitori aziendali, fornitori e subappaltatori possono accedere alle informazioni e alle risorse aziendali per svolgere il proprio lavoro e condurre affari. Tuttavia, l'accesso di terze parti espone le organizzazioni a varie minacce interne, come malware e perdite di credenziali. Le organizzazioni possono proteggere le proprie informazioni monitorando le attività di terze parti e limitando l'ambito dell'accesso degli utenti di terze parti.

Fai il backup dei tuoi dati

Il backup aiuta a proteggere i tuoi dati. Se l'organizzazione subisce una violazione, una perdita o un'interruzione dei dati, puoi recuperare le informazioni dai backup dei dati. È possibile utilizzare i backup dei dati per ripristinare un file sovrascritto e ripristinare i file eliminati. Se un attacco ransomware prende di mira la tua organizzazione, puoi utilizzare le tue copie di backup invece di pagare il riscatto. 
 

Conclusione

In questo articolo, abbiamo trattato 16 comuni attacchi alla sicurezza informatica, tra cui:

  • Violazioni dei dati: accesso non autorizzato e furto di dati da parte di autori di minacce.

  • Cross site scripting (XSS): consente agli aggressori di impersonare un utente di un'applicazione ed eseguire azioni indesiderate per loro conto.

  • Iniezione SQL: coinvolge gli aggressori che inseriscono query SQL dannose negli input dell'utente.

  • Minacce persistenti avanzate: consente agli aggressori di ottenere un accesso permanente a una rete o a un sistema protetto.

  • Attacchi alla catena di approvvigionamento: consentono agli aggressori di sfruttare le relazioni di fiducia tra un'azienda e i suoi venditori o fornitori.

  • Configurazione errata del cloud: comporta lo sfruttamento di sistemi cloud che non sono stati adeguatamente protetti dai loro utenti.

Per proteggere la tua organizzazione da questi e altri attacchi, utilizza una combinazione di misure di protezione interne e aiuto esterno. Internamente, dovresti allineare sviluppatori, personale operativo e team di sicurezza sulle best practice per prevenire le vulnerabilità nelle applicazioni Web e in altri sistemi critici, esaminare le relazioni con i fornitori di terze parti e assicurarti di disporre di una solida strategia di backup.

Oltre a ciò, è una buona idea coinvolgere esperti di sicurezza esterni nella tua strategia di sicurezza informatica. Penetration testing e bug bounty sono solo due modi in cui puoi sfruttare il talento degli hacker etici per scoprire e risolvere le tue vulnerabilità più critiche.

Anchor 200
bottom of page