Risorse > Glossario dei termini sulla sicurezza > Che cos'è la protezione dalle minacce informatiche

Che cos'è la protezione dalle minacce informatiche?

Che cos'è la protezione dalle minacce informatiche?

Le minacce informatiche sono costituite da vari tipi di software dannosi (malware), in grado di infiltrarsi nei sistemi informatici o nelle reti allo scopo di interrompere i servizi, rubare dati e, soprattutto, consentire agli aggressori di lucrare.

Pertanto, la protezione dalle minacce informatiche consiste in una serie di soluzioni per la sicurezza, progettate per difendere i sistemi e le reti dalle minacce.

 

L'evoluzione delle minacce informatiche

Man mano che il mondo dell'informatica si è evoluto, le tipologie di minacce sono diventate sempre più numerose. Una delle prime minacce fu un worm informatico chiamato Creeper, che viaggiava tra i terminali Tenex e conteneva il messaggio stampato "IO SONO CREEPER: PROVA A PRENDERMI SE CI RIESCI".

All'epoca, gli attacchi erano eseguiti prevalentemente da individui o piccoli gruppi semplicemente per vantarne i diritti, rappresentavano una seccatura e, probabilmente, per i team IT costituivano un dispendio di tempo e di denaro per riuscire a liberarsene. Si trattava di fenomeni alquanto singolari, se visti secondo gli standard moderni.

Da allora, le minacce informatiche hanno fatto molta strada. Gli hacker, da individui solitari, si sono evoluti in vere e proprie reti di criminali organizzati, cabale sponsorizzate dagli stato e bande ben finanziate, alla ricerca di modi per trarre profitto dalla criminalità informatica. Anche i loro attacchi hanno fatto molta strada: da semplici worm informatici sono diventati programmi sofisticati, in grado di svolgere diverse attività nefaste, spesso senza essere rilevati. Diamo un'occhiata ad alcuni strumenti dell'arsenale dei criminali informatici: 

  • I ransomware sono una forma di malware che blocca l'accesso ai dati e ai file di una vittima, di solito attraverso la crittografia, fino a quando la vittima non accetta di pagare una specifica somma di denaro.  
  • Gli exploit del browser consentono agli aggressori di sfruttare una vulnerabilità in un sistema operativo e modificare le impostazioni del browser di un utente all'insaputa di quest'ultimo. Gli aggressori li utilizzano per raccogliere le credenziali degli utenti, distribuire ransomware, eseguire malware, installare software dannosi di crypto mining ed elevare i privilegi.   
  • Malware è un termine generale per indicare un software dannoso progettato per causare danni a un computer, a un server o a una rete. Esistono diverse tipologie di malware, tra cui virus informatici, worm, cavalli di Troia, ransomware, spyware, adware, tra gli altri. Il malware viene spesso installato dopo che sono state sfruttate con successo delle vulnerabilità o tramite attacchi di ingegneria sociale e il suo codice può includere diverse tecniche per eludere il rilevamento e diffondersi. 
  • Le minacce avanzate persistenti (APT) sono attacchi in cui un soggetto non autorizzato ottiene l'accesso a una rete e lì vi rimane senza essere rilevato. Le APT sono definite "avanzate" perché utilizzano malware in grado di bypassare o eludere molte tipologie di protezioni di sicurezza. Sono "persistenti" perché, una volta in rete, il malware è in comunicazione costante con i server di comando e controllo (C&C), ai quali può inviare dati rubati o da cui può ricevere istruzioni. 
  • Il phishing consiste nell'atto di attirare i destinatari di e-mail e gli utenti del web per indurli a fornire informazioni private, come i numeri di carta di credito, spacciandosi per un'azienda legittima. Ad esempio, un utente potrebbe ricevere un'email da un'entità che appare come la Banca d'America, che chiede all'utente di effettuare l'accesso per un aggiornamento importante su una transazione. Nel momento in cui la vittima agisce, l'aggressore ottiene le sue credenziali di login e l'accesso a dati bancari. Solo pochi anni fa, questi siti web e messaggi di posta elettronica fittizi erano facili da individuare, ma ormai è diventato davvero difficile distinguerli dai siti autentici.  
  • Il domain squatting consiste nella registrazione di un dominio di primo livello, simile a un marchio noto, per lanciare attacchi di phishing, rubare le credenziali o distribuire i malware. Un buon esempio può essere il dominio gmali.com. A meno che l'utente non guardi attentamente, un'email da questo indirizzo potrebbe sembrare un messaggio legittimo da Gmail, magari contenente un avviso di sicurezza che richiede all'utente di visitare un sito web dannoso.
  • Gli attacchi omografici utilizzano tattiche simili a quelle del domain squatting. Questi attacchi basati su nomi di dominio internazionali (IDN) vengono utilizzati per ingannare le persone e indurle a fare clic su dei link che sembrano essere quelli di siti legittimi, in quanto impiegano caratteri omografi, come ad esempio l'utilizzo del numero "1" al posto della "l" nell'URL di Apple (https://www.app1e.com) o uno "0" (zero) invece di una "O" maiuscola in Olive Garden (https://www.0liveGarden.com).

Fattori esterni e minacce specifiche alla sicurezza stanno convergendo per influenzare il panorama generale della sicurezza e dei rischi; pertanto, i leader del settore devono prepararsi adeguatamente per migliorare la resilienza e supportare gli obiettivi aziendali.

Peter Firstbrook, Gartner

Quando una minaccia informatica diventa un attacco

Ma quindi cosa accade se una di queste minacce informatiche riesce in qualche modo a penetrare in un'organizzazione? In genere, l'attacco inizia con il vettore di consegna iniziale, ad esempio un'e-mail di phishing con uno exploit o un malware nascosto all'interno. Il file dannoso viene consegnato quando un utente lo scarica o fa clic su un link contenuto nell'e-mail. La fase successiva consiste nello sfruttamento, in cui il programma cerca le vulnerabilità nel sistema che può sfruttare per eseguire il codice. Dopodiché si ha l'installazione, dove il malware viene caricato sul computer della vittima. Il callback è la fase successiva, in cui il carico utile del malware tenta di comunicare con i server di C&C. L'ultima fase consiste nella detonazione, in cui il malware installa del malware aggiuntivo, esfiltra i dati o esegue qualsiasi altra azione programmata dal server di C&C.

La difesa migliore contro le minacce informatiche

Alcuni settori e aziende costituiscono degli obiettivi particolarmente interessanti per le minacce informatiche, per via della sensibilità dei loro dati o della loro capacità di pagare riscatti più consistenti. Tuttavia, tutte le organizzazioni dovrebbero essere a conoscenza delle misure preventive da adottare, in quanto questi attacchi stanno diventando sempre più diffusi.

Gli approcci legacy alla sicurezza, fondati su apparecchi di applicazione basati su hardware e situati nel data center, non sono in grado di proteggere adeguatamente le aziende dalle minacce informatiche avanzate di oggi. Le organizzazioni non sono in grado di aggiornare rapidamente questi dispositivi, per stare al passo con il panorama delle minacce in continua evoluzione; inoltre, non possono replicare questo set di soluzioni di sicurezza presso le filiali o far sì che segua i dipendenti che lavorano praticamente ovunque.

Una piattaforma nativa del cloud fornisce la protezione dalle minacce informatiche necessaria alle organizzazioni digitali di oggi, ma non tutte le piattaforme cloud sono uguali. Deve trattarsi di una piattaforma creata appositamente per il cloud, non essere un'istanza virtuale di apparecchi di sicurezza, poiché questi ultimi soffrono delle stesse limitazioni delle loro controparti nel data center: incapacità di seguire gli utenti, problemi correlati alla larghezza di banda e prestazionali e incapacità di scalare in base alla domanda degli utenti.

Per fornire una protezione efficace per combattere le minacce informatiche, una piattaforma nativa del cloud dovrebbe integrare le seguenti funzionalità:

  • Firewall cloud: protegge gli utenti impedendogli di raggiungere domini dannosi e fornisce controlli granulari per rilevare e prevenire il tunneling del DNS. 
  • Sistema di prevenzione delle intrusioni (IPS): monitora una rete alla ricerca di attività dannose, come violazioni delle policy o minacce alla sicurezza, tra cui botnet, minacce avanzate e 0-day, e ispeziona tutto il traffico criptato per individuare e bloccare le minacce nascoste.
  • Sandbox: impedisce l'esecuzione di file corrotti sul dispositivo dell'utente. I file sospetti vengono copiati su un sistema operativo virtualizzato e quindi eseguiti per rilevare eventuali comportamenti dolosi.
  • Isolamento del browser: impedisce ai contenuti dei siti web dannosi di raggiungere il dispositivo dell'utente o la rete aziendale. Il contenuto servito da una pagina web non viene infatti scaricato, ma viene consegnato all'utente tramite un rendering sicuro sotto forma di pixel, in modo da tenere lontano l'eventuale codice dannoso nascosto.

Sei davvero in grado di proteggerti dalle minacce informatiche? Scoprilo in prima persona, attraverso un'Analisi gratuita dell'esposizione alle minacce di Internet.

 

Risorse aggiuntive

Proteggi la forza lavoro in remoto dall'aumento delle minacce informatiche

Visualizza l'infografica
Proteggere la forza lavoro da remoto dall'aumento delle minacce informatiche

In che modo Zscaler è in grado di interrompere la cyber kill chian

Leggi il white paper
In che modo Zscaler è in grado di interrompere la cyber kill chian

Zscaler Cloud Sandbox

Leggi l'E-book
Zscaler Cloud Sandbox

Scopri cosa si nasconde nel traffico criptato

Scarica il white paper
Scopri cosa si nasconde nel traffico criptato