La tecnologia e le best practice della sicurezza informatica proteggono i sistemi critici e le informazioni sensibili da un volume sempre crescente di minacce in continua evoluzione.
Cos’è la sicurezza informatica?
La sicurezza informatica è la pratica di proteggere i sistemi critici e le informazioni sensibili dagli attacchi digitali. Note anche come sicurezza IT (information technology), le misure della sicurezza informaticasono progettate per combattere le minacce contro sistemi in rete e applicazioni, che hanno origine sia all’interno che all’esterno di un’organizzazione.
Nel 2020 , il costo medio di una violazione dei dati era di 3,86 milioni di dollari a livello globale e di 8,64 milioni di dollari negli Stati Uniti. Tali costi comprendono le spese di individuazione e risposta alla violazione, il costo del tempo di inattività e del mancato ricavo e il danno reputazionale a lungo termine per un’azienda ed il suo marchio. I criminali informatici prendono di mira le informazioni che consentono l’identificazione personale (personally identifiable information, PII) dei clienti – nomi, indirizzi, numeri identificativi nazionali (ad esempio, numeri di Sicurezza Sociale negli Stati Uniti o i codici fiscali in Italia), informazioni sulle carte di credito – e rivendono tali record nei mercati digitali non autorizzati. Spesso, le PII compromesse causano la perdita di fiducia da parte del cliente, sanzioni normative e addirittura azioni legali.
La complessità dei sistemi di sicurezza, dovuta a tecnologie disparate e alla mancanza di competenze interne, può amplificare tali costi. Tuttavia, le organizzazioni con una strategia di sicurezza informatica completa, governata da best practice e automatizzata utilizzando analitica avanzata, AI e machine learning, possono combattere le minacce informatiche in modo più efficace e ridurre il ciclo di vita e l’impatto delle violazioni quando queste si verificano.
Domini di sicurezza informatica
Una forte strategia per la sicurezza informatica dispone di livelli di protezione per difendersi dai crimini informatici, compresi gli attacchi informatici che provano ad accedere, modificare o eliminare i dati, estorcere denaro agli utenti o alle organizzazioni o puntano a interrompere le normali operazioni di business. Le contromisure dovrebbero riguardare:
- Sicurezza delle infrastrutture critiche: pratiche per la protezione dei sistemi informatici, delle reti e di altri asset su cui la società fa affidamento per la sicurezza nazionale, l’integrità economica e/o la sicurezza pubblica. Il NIST (National Institute of Standards and Technology) ha creato un framework di sicurezza informatica per aiutare le organizzazioni in questo settore, mentre il DHS (Department of Homeland Security) degli Stati Uniti fornisce indicazioni aggiuntive.
- Sicurezza della rete – misure di sicurezza per la protezione di una rete di computer dalle intrusioni, incluse connessioni cablate e wireless (Wi-Fi).
- Sicurezza delle applicazioni: processi che aiutano a proteggere le applicazioni in esecuzione in locale e nel cloud. La sicurezza dovrebbe essere integrata nelle applicazioni in fase di progettazione, con considerazioni relative alla gestione dai dati, all’autenticazione degli utenti e così via.
- Sicurezza del cloud: in particolare, una reale elaborazione confidenziale che codifica i dati del cloud a riposo (nello storage), in transito (durante lo spostamento da e verso il cloud) ed in fase di utilizzo (durante l’elaborazione) per supportare la privacy dei clienti, i requisiti aziendali e gli standard di conformità normativa.
- Sicurezza delle informazioni: misure di protezione dei dati, come il GDPR (Regolamento Generale sulla Protezione dei Dati) che proteggono i dati più o sensibili dall’accesso non autorizzato, dall’esposizione o dal furto.
- Formazione dell’utente finale: creazione della consapevolezza della sicurezza in tutta l’organizzazione per rafforzare la sicurezza degli endpoint. Ad esempio, gli utenti possono essere addestrati a cancellare allegati di email sospetti, evitare di utilizzare dispositivi USB sconosciuti e così via.
- Disaster Recovery/Pianificazione della business continuity: strumenti e procedure per la risposta ad eventi imprevisti, come calamità naturali, interruzioni di alimentazione o incidenti di sicurezza informatica, con interruzione minima delle operazioni principali.
- Sicurezza dello storage: IBM FlashSystem® offre una solida resilienza dei dati con numerose protezioni. Questo include la crittografia e copie di dati immutabili e isolate. Questi rimangono nello stesso pool in modo che possano essere rapidamente ripristinati per supportare il recupero, minimizzando l’impatto di un attacco informatico.
- Sicurezza dei dispositivi mobili – IBM Security® MaaS360 with Watson ti consente di gestire e proteggere la tua forza lavoro dotata di dispositivi mobili con sicurezza delle app, sicurezza delle app del container app e posta su dispositivo mobile sicura.
Miti pericolosi sulla sicurezza informatica
Il numero di incidenti relativi alla sicurezza informatica è in crescita in tutto il mondo, tuttavia continuano a persistere concetti sbagliati, tra cui l’idea che:
- I criminali informatici siano estranei. In realtà, le violazioni della sicurezza informatica sono spesso il risultato di malintenzionati interni, che lavorano per conto proprio o collaborano con hacker esterni. Tali lavoratori interni possono far parte di gruppi ben organizzati, sostenuti da stati-nazione.
- I rischi sono noti.. In effetti, la superficie del rischio è ancora in espansione, con migliaia di nuove vulnerabilità segnalate in nuovi e vecchi dispositivi e applicazioni. E le opportunità di errore umano – in particolare da parte di dipendenti o collaboratori negligenti che involontariamente causano una violazione dei dati – continuano ad aumentare.
- I vettori di attacco sono contenuti.. I criminali informatici trovano continuamente nuovi vettori di attacco, inclusi sistemi Linux, OT (operational technology), dispositivi IoT (Internet of Things) e ambienti cloud.
- Il mio settore è sicuro.. Ogni settore ha la sua quota di rischi per la sicurezza informatica, con gli avversari informatici che sfruttano le necessità delle reti di comunicazione all’interno di quasi tutte le organizzazioni governative e del settore privato. Ad esempio, gli attacchi ransomware (vedere di seguito) stanno prendendo di mira più settori che mai, inclusi siti governativi e le aziende no-profit; inoltre, sono aumentate le minacce a supply chain, ai siti web “.gov” e alle infrastrutture critiche.
Minacce informatiche comuni
Nonostante i professionisti della sicurezza informatica lavorino duramente per colmare le lacune della sicurezza, gli aggressori sono sempre alla ricerca di nuovi modi per sfuggire all’attenzione dell’IT, aggirare le misure di difesa e sfruttare le debolezze emergenti. Le più recenti minacce alla sicurezza informatica stanno dando un nuovo senso alle minacce “conosciute”, sfruttando gli ambienti per il lavoro da casa, gli strumenti di accesso remoto ed i nuovi servizi cloud. Tali minacce in evoluzione comprendono:
Malware
Il termine “malware” si riferisce a varianti di software dannoso, ad esempio worm, virus, trojan e spyware, che forniscono accesso non autorizzato o danneggiano i computer. Gli attacchi malware sono sempre più senza file (“fileless”) e progettati per aggirare metodi di rilevamento classici, come gli strumenti antivirus, che eseguono la scansione per rilevare eventuali allegati dei file dannosi.
Leggi il Threat Intelligence Index on Malware per il 2022
Ransomware
Il ransomware è un tipo di malware che blocca file, dati o sistemi, e minaccia di eliminare o distruggere i dati – o di rendere pubblici dati sensibili o dati – a meno che non venga pagato un riscatto ai criminali informatici che hanno lanciato l’attacco. Recenti attacchi ransomware hanno colpito governi statali e locali, più facili da violare rispetto alle organizzazioni e sotto pressione per il pagamento di riscatti per ripristinare applicazioni e siti Web utilizzati dai cittadini.
Phishing/ingegneria sociale
Il phishing è una forma di ingegneria sociale che inganna gli utenti, portandoli a fornire le proprie informazioni riservate o PII. Nelle truffe di phishing, email o messaggi di testo sembrano essere inviati da un’azienda reale che richiede informazioni sensibili, come i dati della carta di credito o le informazioni di accesso. L’FBI ha rilevato un aumento del phishing legato alla pandemia, collegato alla crescita del lavoro in remoto.
Minacce interne
Dipendenti o ex dipendenti, business partner, appaltatori o chiunque abbia avuto accesso a sistemi o reti in passato può essere considerato una minaccia interno, nel caso abusi delle proprie autorizzazioni di accesso. Le minacce interne possono essere invisibili alle tradizionali soluzioni di sicurezza come firewall e sistemi di rilevazione delle intrusioni, che concentrano la propria attenzione sulle minacce esterne.
Attacchi DDoS (Distributed denial-of-service)
Un attacco DDoS tenta di bloccare un server, un sito web o una rete con un sovraccarico di traffico, generalmente da più sistemi coordinati. Gli attacchi DDoS travolgono le reti aziendali tramite il protocollo SNMP (simple network management protocol), utilizzato per modem, stampanti, switch, router e server.
APT (Advanced persistent threats)
In an APT, un intruso o un gruppo di intrusi si infiltra in un sistema e rimane inosservato per un periodo di tempo prolungato. L’intruso lascia intatti le reti ed i sistemi, in modo da poter spiare le attività aziendali e sottrarre dati sensibili evitando l’ attivazione delle contromisure difensive. La recente violazione dei sistemi del governo degli Stati Uniti da parte di Solar Winds è un esempio di APT.
Attacchi man-in-the-middle
Gli attacchi man-in-the-middle sono attacchi di intercettazione, in cui un criminale informatico intercetta e invia messaggi tra due parti con l’obiettivo di sottrarre dati. Ad esempio, in una rete Wi-Fi non protetta, un aggressore può intercettare i dati trasmessi tra la rete e il dispositivo dell’ospite.
Principali tecnologie e best practice per la sicurezza informatica
Le seguenti best practice e tecnologie possono aiutare la tua organizzazione a implementare una forte sicurezza informatica che riduce la tua vulnerabilità ad attacchi informatici e protegge i sistemi informativi critici, senza interferire con l’esperienza dell’utente o del cliente:
- IAM (Identity and access management) definisce i ruoli e i privilegi di accesso per ogni utente, nonché le condizioni in cui vengono concessi o negati i privilegi. Le metodologie IAM includono SSO (single sign-on), che consente a un utente di accedere a una rete una volta senza inserire nuovamente le credenziali durante la stessa sessione; l’autenticazione a più fattori, che richiede due o più credenziali di accesso; l’account utente con privilegi, che concedono privilegi amministrativi solo ad alcuni utenti; e la gestione del ciclo di vita degli utenti, che gestisce l’identità ed i privilegi di accesso di ciascun utente, dalla registrazione iniziale fino al ritiro. Gli strumenti IAM possono inoltre fornire ai professionisti della sicurezza informativa maggiore visibilità su attività sospette sui dispositivi degli utenti finali, inclusi gli endpoint ai quali non possono fisicamente accedere. Questo consente di accelerare i tempi di indagine e di risposta per isolare e contenere i danni di una violazione.
- Una piattaforma completa per la sicurezza dei dati protegge le informazioni sensibili in più ambienti, inclusi gli ambienti multicloud ibridi. Le migliori piattaforme per la sicurezza dei dati forniscono visibilità automatizzata in tempo reale sulle vulnerabilità dei dati, oltre al monitoraggio continuo che avverte delle vulnerabilità e dei rischi dei dati prima che diventino violazioni dei dati; dovrebbero inoltre semplificare la conformità con le norme governative e di settore sulla privacy dei dati. Anche i backup e la crittografia sono fondamentali per mantenere i dati al sicuro.
- SIEM (Security information and event management) aggrega e analizza i dati provenienti dagli eventi di sicurezza per rilevare automaticamente le attività sospette degli utenti e attivare una risposta preventiva o correttiva. Oggi, le soluzioni SIEM includono metodi di rilevazione avanzati come l’analisi del comportamento degli utenti e l’AI. SIEM può assegnare automaticamente le priorità alle minacce informatiche in base agli obiettivi di gestione del rischio dell’organizzazione. Inoltre, molte organizzazioni stanno integrando i propri strumenti SIEM con piattaforme SOAR (security orchestration, automation and response) che automatizzano e accelerano ulteriormente la risposta delle organizzazioni agli incidenti di sicurezza informatica e risolvono molti incidenti senza intervento umano.
(Fonte)
