Il volto tecnologico della cyber security: attività e tipologie di attacco

In questo articolo approfondiremo il primo, illustrando quelle che devono essere le pratiche di base che i tecnici devono mettere in campo per ridurre il più possibile l’area di attacco informatico. Parliamo di sette (più una) attività, la maggior parte delle quali a scopo preventivo.

1. Vulnerability analysis & mitigation: una serie di attività che nella maggior parte dei casi viene erroneamente affrontata una tantum. Oggi esistono tecnologie ad hoc che permettono di automatizzare le attività di Vulnerability analysis & mitigation, sui server come sugli endpoint.

2. Hardening: nonostante i progressi degli ultimi anni, si continua a parlare di un’attività manuale. Fare hardening significa letteralmente “irrobustire” un sistema informatico, attraverso delle operazioni che possono essere divise in tre step successivi: la pre-analisi del sistema, a livello di hardware e di software; la parte di remedy, per ridurre effettivamente la superficie di attacco; infine la parte di monitoraggio nel tempo.

3. Log collection & analysis: l’analisi dei file log consente di raccogliere informazioni cruciali riguardanti le attività compiute all’interno di un sistema informatico. I file log, infatti, contengono una lunga serie di dati sul funzionamento di un dispositivo o di un programma, così da poter individuare problemi o anomalie. Si tratta quindi di una pratica fondamentale per sapere sempre quello che sta accadendo nel sistema, mediante l’uso di software SIEM (Security Information and Event Management) deputati all’analisi dei log e al lancio di segnali di allarme quando necessario.

4. Data security/auditing: qui si entra anche nella parte normativa, a partire da un’analisi tesa a stabilire il livello del rischio del dato.

5. Risk assessment: l’attività di risk assessment permette di definire l’area di controllo del valore di rischio, per capire quanto un preciso dato, in una determinata zona, possa essere una fonte di rischio.

6. Sicurezza perimetrale: quando si parla di sicurezza perimetrale non si fa riferimento al solo firewall, come potrebbero pensare in tanti. Si parla anche di sicurezza fisica, andando a proteggere il dato anche dagli accessi fisici delle persone in determinate aree: nei casi migliori questi datacenter sono fortificati con ingresso regolato da badge, sistemi di videosorveglianza e via dicendo.

7. Disaster recovery: con questo termine si indica l’insieme delle tecniche e degli strumenti messi in campo per ripristinare l’accesso e la funzionalità di un’infrastruttura IT nell’eventualità di un evento disastroso, come potrebbe essere un attacco informatico. Il disaster recovery permette, in caso di incidente, di circoscrivere il danno più rapidamente possibile, tornando quanto prima all’operatività.

8. Sviluppo software (bonus): quando si sviluppa o si acquista un software è necessario considerare la presenza di bug presenti nel codice. Questi errori potrebbero infatti compromettere il livello di sicurezza dell’intero sistema.

Anche l’ultimo rapporto Clusit conferma il continuo aumentare degli attacchi informatici, a livello globale e nazionale: se nel 2018 si erano contati complessivamente 1.129 cybercrime, nel 2021 il numero è cresciuto fino a 1.763. Fin qui, nessuna sorpresa. A stupire è invece l’incremento della gravità di questi attacchi. Nel 47% dei casi si tratta infatti di attacchi che hanno procurato gravi danni all’azienda, mentre per un 32% si parla di attacchi critici, i quali da soli hanno portato a risultati nefasti, quali la chiusura dell’attività colpita.

Il termine più generale è, come è noto, quello di Malware, con il quale si indica genericamente un software malevolo che mette a rischio un sistema informatico. Il proliferare di diverse tipologie di attacco ha spinto il mondo IT ha creare delle etichette apposite per i diversi software malevoli, ovvero: