Negli anni ‘70, un ingegnere informatico di nome Robert Thomas, sviluppa un programma, di nome “Creeper” nell’intento di testare le funzionalità di un software da lui sviluppato. Creeper non si limita a testare il software di Thomas, ma lo corrompe a tal punto da renderlo non più inutilizzabile. Si tratta della nascita del primo malware informatico. Di lì a poco un collega di Thomas, Ray Tomlinson, trova però un metodo per contrastare il primo malware sviluppato dal collega riuscendo a rintracciarlo e distruggerlo. La creazione del primo malware e il successivo sviluppo di un programma per contrastarlo, dà sostanzialmente il via al “conflitto” tra attacchi informatici e Cybersecurity che ha raggiunto oggi livelli globali.
Qual è lo stato dell'arte della cybersecurity ad oggi?
40 anni dopo Thomas, il mondo informatico si è evoluto, divenendo parte integrante della vita delle persone e del tessuto economico, sociale, culturale e politico di tutto il mondo.
Allo stesso modo, si sono evoluti gli attacchi informatici: oggi i malware non sono più semplici
programmi sviluppati con l’intento di testare un software, ma possono generare veri e propri buchi nei sistemi informatici. Di fronte a tali rischi, Paesi e aziende di tutto il mondo devono trovare soluzioni per contrastare le minacce a cui sono costantemente sottoposte.
L’arrivo del Covid-19, inoltre, non ha aiutato: si stima un aumento di circa 11% di attività
di Phishing e del 6% di ransomware nel 2020. Studenti in DAD e lavoratori in smart working
rappresentano prede perfette per Hacker nel rubare password, informazioni anagrafiche e dati
bancari. Questa situazione ha accelerato la necessità delle aziende di dotarsi di strutture di Cybersecurity, composte da persone specializzate e da strumenti all’avanguardia capaci di prevenire eventuali attacchi. Parlando di numeri Dal 2017 ad oggi il numero di aziende specializzate nell’ambito della Cybersecurity è quadruplicato. Non solo: le performance finanziare delle aziende nel settore hanno registrato, nell’ultimo anno, un incremento di circa il 60% rispetto ai risultati del 2018. Gli investimenti in ambito Cybersecurity continuano a crescere, questo perché in quanto le minacce che da contrastare sono sempre più numerose e sofisticate.
Principali tipologie di Malware
Il termine malware indica un generico programma creato con l’intento di sabotare un sistema informatico. Le tipologie di malware sono numerose, e nel corso di questo paragrafo analizzeremo come riconoscerle e quali strumenti di difesa utilizzare per proteggere i propri sistemi.
Virus
Termine spesso utilizzato per identificare un generico programma malefico, in realtà il virus
identifica una ben precisa tipologia di malware. Un virus è capace di attaccare un qualsiasi dispositivo dotato di software, riuscendo poi a “riprodursi” all’interno del sistema attaccato. I virus, Una volta entrati nel sistema della vittima, questi malware generano un rallentamento del computer, sovrascrivono il codice sorgente e corrompono i file. Il modo per difendersi da questi malware loro esiste ed è rappresentato, oltre che dall’attenzione nel visitare siti Internet poco sicuri, anche da altri programmi nati per contrastare i virus informatici: gli Antivirus. Questi contrastano eventuali programmi che cercano di infiltrarsi nei sistemi in cui essi sono installati. Altro strumento di difesa particolarmente utile sono i firewall, che proteggono i sistemi da connessioni a siti Internet poco sicuri.
Tra i vari metodi in cui è possibile essere “infettati” da un virus, ricopre una certa fama il più famoso è il Phishing. Quest’ultimo consiste nel ricevere un link all’apparenza innocuo, che però, una volta cliccato, immette nel sistema della vittima uno o più virus. Per contrastare il Phishing è opportuno leggere con attenzione il contenuto della mail e assicurarsi che il mittente sia una persona conosciuta. Il Phishing rappresenta sicuramente una delle forma di attacchi più comune al giorno d’oggi, specialmente nell’era del COVID. Non a caso, infatti, le aziende sensibilizzano molto i propri dipendenti nel fare attenzione alle mail che ricevono. Alcune simulano anche vere e proprie campagne pubblicitarie o lavorative, nelle quali inviano ai dipendenti false e-mail che invitano a scaricare la documentazione di lavoro. Lo scopo è verificare la loro attenzione nel leggere le e-mail e segnalare eventuali attività di phishing riscontrate. Queste mail contengono spesso degli errori di battitura e con la giusta attenzione è possibile riconoscerle ed evitare possibili rischi.
Trojan
Questa tipologia di malware si diffonde spesso tramite connessioni a siti poco sicuri, nei quali sono presenti file o programmi che possibile scaricare gratuitamente. Questi programmi all’apparenza innocui possono in realtà nascondere un trojan, che una volta scaricato si introduce nel sistema della vittima. Un utente malevolo può così rubare dati bancari, dati personali, documenti ed altre informazioni preziose. Tra le tipologie di Trojan più famose troviamo i Trojan DDOS, attraverso cui l’utente malefico crea una rete di pc infettati che iniziano a bombardare bombardano tramite mail di Phishing o Spam altri sistemi, andando così via via ad aumentare il numero di sistemi infettati. Esiste poi una specifica tipologia di trojan appositamente creati per attaccare i sistemi bancari. Uno dei più famosi è EMOTET, diffusosi alla fine del 2019, e che costrinse le autorità di Francoforte ad isolare la città, tagliando qualsiasi connessione ad Internet. Altra forma particolarmente famosa di Trojan è il Tikbot, particolarmente in voga perché in grado di sottrarre criptovalute. Questa tipologia di malware è spesso silente all’interno di un sistema, del quale cerca di crittografare i file e rubare le password di accesso.
Ransomware
I ransomware vengono così denominati perché una volta installati nel sistema della vittima rendono inaccessibili file o dati, crittografando cartelle o interi Database. L’utente malevolo richiede quindi il pagamento di una somma di denaro per ristabilire le funzionalità del sistema. Nell’era delle criptovalute, questa tipologia di malware si è maggiormente diffusa ed evoluta, principalmente sfruttando la non tracciabilità dei pagamenti tramite criptovalute. Tra i vari tipi di Ransomware, meritevole di essere citato è sicuramente il Danabot: che nel 2018 è diventando particolarmente famoso in Italia per aver preso di mira gli indirizzi PEC di numerosissime aziende italiane tramite numerose mail di SPAM.
Backdoor
Questi malware nascono con l’intento di creare delle canali di accesso all’interno dei sistemi delle vittime colpite, prendendone di fatto il controllo totale. L’obiettivo degli Hacker è spesso quello di aumentare regolarmente il numero di sistemi sotto il proprio controllo, così da bloccare l’operatività dei siti e dei server. Anche per questa tipologia di minacce, la difesa migliore è sicuramente l’accortezza nel verificare i siti internet in cui si naviga, nello scaricare documenti, e nel cliccare link contenuti in mail sospette.
La Cybersecurity all'interno delle aziende
Per un’azienda, chiaramente, non è sufficiente dotarsi di antivirus o Firewall per proteggere i propri sistemi. È necessario strutturare team di lavoro con figure altamente specializzate in Cybersecurity per contrastare efficacemente le varie minacce che si presentano ogni giorno. In questo paragrafo analizzeremo quali sono le principali tipologie di attività svolte dai team di Cybersecurity e come si strutturano all’interno delle aziende.
Governance e Compliance
Per spiegare le attività svolte dal team di Governance e Compliance, immaginiamo un attimo i passaggi necessari per sviluppare una nuova applicazione, che comprendono cioè la fase di analisi iniziale, il suo sviluppo e la sua messa in funzione della nuova applicazione. Il team di Governance e Compliance fornisce i requisiti di sicurezza per avviare la fase di analisi progettuale, verificando la fattibilità dell’applicazione in accordo con le normative di sicurezza aziendali ed Europee. Confermata la fattibilità dell’applicazione ed avviata la fase di analisi, il team monitora poi continuamente che i requisiti definiti all’inizio siano correttamente rispettati e implementati. Le attività svolte dal questo team sono fondamentali per evitare che siano resi disponibili di rilasciare ai clienti applicazioni non accuratamente protette sicure e per questo vulnerabili alle frodi. Il team di governance deve inoltre verificare che l’azienda sia sempre in linea con le regolamentazioni per il trattamento dei dati sensibili imposte dal GDPR. per assicurare che rispetti i principi di sicurezza By design e By default.
Identity e access Management e sicurezza delle applicazioni
In termini di Cybersecurity, è fondamentale che ogni azienda abbia un processo strutturato e sicuro di creazione delle utenze digitali. La gestione del ciclo di vita delle utenze dei dipendenti e dei clienti è in carico ai team di Identity and access Management che gestisce il ciclo di vita delle utenze dei dipendenti e dei clienti, e implementa anche un corretto sistema di profilazione delle utenze. In questo modo è possibile proteggere asset critici aziendali e assegnare i corretti “grant” di accesso a determinate applicazioni, macchine virtuali, database e console di gestione. Il team di Identity e access Management presenta poi spesso specialisti nell’ambito della data protection, i quali si occupano di anonimizzare tutte quelle informazioni che un’utente correttamente autenticato e autorizzato non potrebbe vedere. Un caso emblematico, ad esempio, è l’accesso ad un database contenente i nominativi dei clienti, i codici pam, gli indirizzi di residenza, indirizzi mail, etc. Queste informazioni non posso essere visibili a chiunque, perciò è necessario “mascherarle” a coloro che non hanno gli adeguati permessi di accesso.
Security Operation Center (SOC) e Computer security incident response (CSIRT)
Il Security operations Center, Sintetizzato con il termine (SOC) monitora costantemente il corretto funzionamento della rete e dei sistemi informatici aziendali. Qualora venissero rilevate attività sospette, questi vanno prontamente segnalati al team CSIRT. Questo che deve implementare immediatamente subito le attività di resolution, per contrastare la minaccia rilevata ed assicurare che i sistemi continuino a funzionare correttamente. Subire un attacco informatico, con la conseguente sottrazione di dati sensibili, risulterebbe un danno gravissimo per la reputazione aziendale. Per questo motivo, il team SOC deve avvalersi sia di esperti nell’ambito della Cybersecurity sia delle ultime tecnologie e strumenti per prevenire, rilevare, identificare e contrastare eventuali minacce esterne.
In questo articolo abbiamo analizzato quale è lo stato dell’arte della Cybersecurity oggi, sia a livello globale che nelle singole aziende e quali sono le principali minacce che caratterizzano il mondo informatico oggi. Segui Finmate per leggere altri articoli in abito Europregettazione, FinTech e Finanza.