Partendo dal presupposto che non si può proteggere e controllare tutto all’interno delle reti, Antonio Madoglio, SE Manager di Fortinet, spiega perché risulta più conveniente identificare i dati critici, isolarli e mettere in atto un monitoraggio specifico sulle vie di approccio a tali dati.
Spesso e volentieri, il punto di ingresso che gli hacker utilizzano per fare breccia in un network aziendale è, infatti, rappresentato dagli utenti che cliccano su link malevoli. Una volta che il dispositivo utente viene compromesso, il pirata informatico inizia a muoversi nella rete per reperire i dati che gli saranno utili.
Quando avviene una violazione in azienda, spiega Madoglio, spesso vengono trafugati anche i dati personali dei singoli. Tali dati possono essere utilizzati non solo per furti di identità ma, in molto ancor più credibile, per attacchi di phishing, visto che più informazioni possiede un hacker, più facile sarà inviare un messaggio email credibile e che induca a cliccare su di esso.
Molte delle tecniche di attacco utilizzate oggi sono simili a quelle usate in passato, come ad esempio la violazione di password deboli o i download di malware che derivano dalla navigazione su siti Web o banner pubblicitari infetti da parte di utenti inconsapevoli.
A questi, negli ultimi anni, sono andati ad aggiungersi social media e servizi online, due potenziali canali che consentono agli hacker di perpetrare le loro azioni criminali in modo ancor più efficace e subdolo.
Tant’è che, attraverso tecniche di ingegneria sociale, che fanno leva sulle emozioni degli utenti, gli attacchi informatici si sono spostati sui dispositivi utilizzati per connettersi a Facebook o LinkedIn, come pure ai sempre più diffusi siti di incontri. E per quanto i concetti di ingegneria sociale siano gli stessi, a cambiare sono il vettore o la superficie di attacco tanto che, spesso e volentieri, utilizzare un antivirus tradizionale non basta a proteggersi.
Tra le nuove tecniche di hacking, ricorda l’esperto di Fortinet, l’attacco phishing risulta essere il più efficace per ottenere un accesso non autorizzato alle reti aziendali. Una email di phishing sarà collegata a un elemento malware o a un link dannoso ed è pensata proprio per far sembrare il messaggio reale e convincere gli utenti a fare clic sul collegamento.
Un’altra tecnica utilizzata dagli hacker è l’attacco drive-by, nel corso del quale gli hacker compromettono un sito Web installando un Java script dannoso che reindirizza l’utente ignaro a un altro sito contenente payload dannosi, che saranno a loro volta scaricati in background sul dispositivo dell’utente.
Vi è poi il malvertising. Quest’ultimo è simile agli attacchi drive-by, tranne per il fatto che in questo caso l’hacker si focalizza solo sui banner pubblicitari.
Ultimi ma non meno importanti, sono gli attacchi mobile che hanno come obiettivo i dispositivi portatili degli utenti utilizzati per diffondere il malware tramite SMS o sotto le mentite spoglie di applicazioni d’uso comune.
Questo nel migliore dei casi. Nel peggiore, dopo aver violato con successo una rete ed essersi “impossessato” di un qualsiasi dispositivo, l’hacker che ha un obiettivo specifico effettuerà il download di strumenti e malware per ulteriori compromissioni della rete mappandola per trovare altri server e reperire i dati che ricerca.
In questo caso, è probabile che cerchi il server delle Active Directory poiché contiene tutti i nomi e le password degli utenti. Se riesce nell’intento, si può dire che possiede le “chiavi del regno”.
Una volta reperiti i dati, in genere l’hacker cerca un server di staging su cui copiarli tutti. Il server ideale per questa operazione è una macchina stabile, ossia che rimane costantemente
collegata a Internet.
Tali dati vengono poi inviati ai server del criminale informatico, che spesso si trovano su un cloud collocato altrove, cosa che rende più arduo bloccare la fonte.
Più a lungo gli hacker riescono a stare all’interno di una rete, tanto più saranno in grado di ottenere qualsiasi tipo di informazione disponibile. La maggior parte dei dati aziendali sono memorizzati elettronicamente. Più passa il tempo, più aumenta le possibilità di scoprire come funzionano i processi di business e il flusso di dati.
Un esempio di quanto appena descritto è rappresentato da Carbanak, ribattezzato il cyber-furto del secolo, in cui gli hacker sono stati in grado di arrivare ai computer admin anche di 27 Istituti bancari italiani ottenendo l’accesso alle telecamere di videosorveglianza, che hanno consentito loro di vedere come i cassieri di banca lavorassero e registrare ogni dettaglio relativo ai processi, che venivano poi “imitati” per trasferire denaro sui propri sistemi.
Da qui l’importanza di segmetare la rete perché aiuta a ridurre l’impatto della violazione in quanto consente all’azienda di isolare l’incursione in un’area specifica, senza inficiare il resto della rete.
Inoltre, permette di collocare i dati sensibili in una zona di maggiore sicurezza che darà più filo da torcere ai malintenzionati, che impiegheranno quindi più tempo a trafugare dati.