I 10 cyber attacchi più comuni
Un cyber attacco è qualunque tipo di azione offensiva che ha come obiettivo un computer, sistemi informatici, server o infrastrutture di rete, usando varie metodologie per sottrarre, modificare o distruggere dati o sistemi informatici.
Ecco i 10 attacchi informatici più comuni
- Denial-of-service (DoS) and distributed denial-of-service (DDoS) attacks
- Man-in-the-middle (MitM) attack
- Phishing and spear phishing attacks
- Drive-by attack
- Password attack
- SQL injection attack
- Cross-site scripting (XSS) attack
- Eavesdropping attack
- Birthday attack
- Malware attack
1.Attacchi Denial-of-service (DoS) e distributed denial-of-service (DDoS)
Un attacco denial-of-service sovrasta le risorse di un sistema in modo che non possa rispondere alle richieste di servizio. Un attacco DDoS è anche un attacco alle risorse del sistema, ma è lanciato da un gran numero di altre macchine host che sono infettate da un software maligno controllato dall’attaccante.
A differenza degli attacchi che sono progettati per consentire all’attaccante di ottenere o aumentare l’accesso, il denial-of-service non fornisce benefici diretti agli attaccanti. Per alcuni di loro, è sufficiente avere la soddisfazione della negazione del servizio. Tuttavia, se la risorsa attaccata appartiene a un concorrente commerciale, allora il beneficio per l’attaccante può essere concreto. Un altro scopo di un attacco DoS può essere quello di portare un sistema offline in modo che un altro tipo di attacco possa essere lanciato. Un esempio comune è il session hijacking, che descriveremo più avanti.
Ci sono diversi tipi di attacchi DoS e DDoS; i più comuni sono l’attacco TCP SYN flood, l’attacco teardrop, l’attacco smurf, l’attacco ping-of-death e le botnet.
Attacco TCP SYN flood
In questo attacco, un attaccante sfrutta l’uso dello spazio buffer durante un handshake di inizializzazione della sessione del Transmission Control Protocol (TCP). Il dispositivo dell’attaccante inonda la piccola coda in-process del sistema di destinazione con richieste di connessione, ma non risponde quando il sistema di destinazione risponde a tali richieste. Questo fa sì che il sistema di destinazione vada in time out mentre aspetta la risposta dal dispositivo dell’attaccante, il che fa sì che il sistema si blocchi o diventi inutilizzabile quando la coda di connessione si riempie.
Ci sono alcune contromisure per un attacco TCP SYN flood:
- Mettere i server dietro un firewall configurato per fermare i pacchetti SYN in entrata.
- Aumentare la dimensione della coda di connessione e diminuire il timeout sulle connessioni aperte.
Attacco Teardrop
Questo attacco fa sì che i campi di lunghezza e di offset di frammentazione nei pacchetti sequenziali Internet Protocol (IP) si sovrappongano l’uno all’altro sull’host attaccato; il sistema attaccato tenta di ricostruire i pacchetti durante il processo, ma non ci riesce. Il sistema bersaglio si confondo e si blocca.
Se non ci sono patch a disposizione per proteggersi da questo attacco DoS, disabilitate SMBv2 e bloccate le porte 139 e 445.
Attacco Smurf
Questo attacco comporta l’utilizzo di IP spoofing e ICMP per saturare una rete bersaglio con il traffico. Questo metodo di attacco utilizza richieste ICMP echo mirate a indirizzi IP broadcast. Queste richieste ICMP provengono da un indirizzo “vittima” spoofato. Per esempio, se l’indirizzo della vittima è 10.0.0.10, l’aggressore dovrebbe spoofare una richiesta ICMP echo da 10.0.0.10 all’indirizzo broadcast 10.255.255.255. Questa richiesta andrebbe a tutti gli IP nell’intervallo, con tutte le risposte che tornano al 10.0.0.10, intasando la rete. Questo processo è ripetibile, e può essere automatizzato per generare una forte congestione della rete.
Per proteggere i vostri dispositivi da questo attacco, è necessario disabilitare i broadcast diretti agli IP ai router. Questo impedirà che la richiesta di broadcast ICMP echo arrivi ai dispositivi di rete. Un’altra opzione sarebbe quella di configurare gli endpoint per impedire loro di rispondere ai pacchetti ICMP da indirizzi broadcast.
Attacco Ping of Death
Questo tipo di attacco utilizza pacchetti IP per pingare un sistema bersaglio con una dimensione IP superiore al massimo di 65.535 byte. I pacchetti IP di questa dimensione non sono consentiti, quindi l’attaccante frammenta il pacchetto IP. Una volta che il sistema di destinazione riassembla il pacchetto, si possono verificare buffer overflow e altri crash.
Gli attacchi di ping of death possono essere bloccati utilizzando un firewall che controlla la dimensione massima per i pacchetti IP frammentati.
Botnet
Le botnet sono i milioni di sistemi infettati con malware sotto il controllo degli hacker, utilizzate per effettuare attacchi DDoS. Questi bot o sistemi “zombie” vengono utilizzati per effettuare attacchi contro i sistemi di destinazione, spesso riempiendo la larghezza di banda e le capacità di elaborazione del sistema di destinazione. Questi attacchi DDoS sono difficili da tracciare perché le botnet si trovano in diverse località geografiche.
Le botnet possono essere mitigate da:
- Filtri RFC3704, che negherà il traffico da indirizzi spoofed e aiuterà a garantire che il traffico sia tracciabile fino alla sua corretta rete di origine. Per esempio, il filtraggio RFC3704 eliminerà i pacchetti provenienti da indirizzi fasulli.
- Black hole filtering, che blocca il traffico indesiderato prima che entri in una rete protetta. Quando viene rilevato un attacco DDoS, l’host BGP (Border Gateway Protocol) dovrebbe inviare aggiornamenti di routing ai router degli ISP in modo che indirizzino tutto il traffico diretto ai server vittime verso un’interfaccia null0 all’hop successivo.
2. Attacco Man-in-the-middle (MitM)
Un attacco MitM si verifica quando un hacker si inserisce tra le comunicazioni di un client e un server. Ecco alcuni tipi comuni di attacchi man-in-the-middle:
Dirottamento della sessione
In questo tipo di attacco MitM, un attaccante dirotta una sessione tra un client fidato e un server di rete. Il computer attaccante sostituisce il suo indirizzo IP con quello del client fidato, mentre il server continua la sessione, credendo di comunicare con il client. Ad esempio, l’attacco potrebbe svolgersi in questo modo:
- Un client si connette a un server.
- Il computer dell’attaccante ottiene il controllo del client.
- Il computer dell’attaccante disconnette il client dal server.
- Il computer dell’attaccante sostituisce l’indirizzo IP del client con il proprio indirizzo IP e
e falsifica il MAC Address del client. - Il computer dell’attaccante continua a dialogare con il server e il server crede di essere ancora in comunicazione con il client reale.
IP Spoofing
L’IP spoofing è usato da un attaccante per convincere un sistema che sta comunicando con un’entità nota e fidata e fornisce quindi all’attaccante l’accesso al sistema. L’attaccante invia un pacchetto con l’indirizzo sorgente IP di un host noto e fidato invece del proprio indirizzo sorgente IP ad un host di destinazione. L’host di destinazione potrebbe accettare il pacchetto e agire di conseguenza, concedendo l’accesso.
Replay
Un attacco replay si verifica quando un attaccante intercetta e salva vecchi messaggi e poi cerca di inviarli in seguito, impersonando uno dei partecipanti. Questo tipo può essere facilmente contrastato con timestamp di sessione o un nonce (un numero casuale o una stringa che cambia nel tempo).
Attualmente, non esiste una singola tecnologia o configurazione per prevenire tutti gli attacchi MitM. In generale, la crittografia e i certificati digitali forniscono un’efficace salvaguardia contro gli attacchi MitM, assicurando sia la riservatezza che l’integrità delle comunicazioni. Ma un attacco man-in-the-middle può anche essere iniettato nel mezzo delle comunicazioni in modo tale che nemmeno la crittografia può aiutare – per esempio, l’attaccante “A” intercetta la chiave pubblica della persona “P” e la sostituisce con la propria chiave pubblica. Quindi, chiunque voglia inviare un messaggio criptato a P usando la chiave pubblica di P sta inconsapevolmente usando la chiave pubblica di A. Pertanto, A può leggere il messaggio destinato a P e poi inviare il messaggio a P, criptato con la vera chiave pubblica di P, e P non noterà mai che il messaggio è stato compromesso. Inoltre, A potrebbe anche modificare il messaggio prima di reinviarlo a P. Come potete vedere, P sta usando la crittografia e pensa che le sue informazioni siano protette ma non lo sono, a causa dell’attacco MitM.
Quindi, come si può essere sicuri che la chiave pubblica di P appartenga a P e non ad A? Le autorità di certificazione e le funzioni hash sono state create per risolvere questo problema. Quando la persona 2 (P2) vuole inviare un messaggio a P, e P vuole essere sicuro che A non leggerà o modificherà il messaggio e che il messaggio provenga effettivamente da P2, si deve usare il seguente metodo:
- P2 crea una chiave simmetrica e la cripta con la chiave pubblica di P.
- P2 invia la chiave simmetrica criptata a P.
- P2 calcola un hash del messaggio e lo firma digitalmente.
- P2 cripta il suo messaggio e l’hash firmato del messaggio usando la chiave simmetrica e invia il tutto a P.
- P è in grado di ricevere la chiave simmetrica da P2 perché solo lui ha la chiave privata per decifrare la crittografia.
- P, e solo P, può decifrare il messaggio crittografato simmetricamente e l’hash firmato perché ha la chiave simmetrica.
- È in grado di verificare che il messaggio non sia stato alterato perché può calcolare l’hash del messaggio ricevuto e confrontarlo con quello firmato digitalmente.
- P è anche in grado di provare a se stesso che P2 era il mittente perché solo P2 può firmare l’hash in modo che sia verificato con la chiave pubblica di P2.
3. Attacchi di phishing e spear phishing
L’attacco di phishing è la pratica di inviare e-mail che sembrano provenire da fonti affidabili con l’obiettivo di ottenere informazioni personali o influenzare gli utenti a fare qualcosa. Combina l’ingegneria sociale e l’inganno tecnico. Potrebbe concretizzarsi in un allegato a un’email che carica un malware sul tuo computer. Potrebbe anche essere un link a un sito web illegittimo che può indurti a scaricare malware o a sottrarti le tue informazioni personali.
Lo spear phishing è un tipo di attività di phishing molto mirata. Gli aggressori si prendono del tempo per condurre ricerche sugli obiettivi e creare messaggi che siano personali e rilevanti. Per questo motivo, lo spear phishing può essere molto difficile da identificare ed è ancora più difficile proteggersi. Uno dei modi più semplici in cui un hacker può condurre un attacco di spear phishing è l’email spoofing, che avviene quando l’informazione nella sezione “Da” dell’email è falsificata, facendola sembrare come se provenisse da qualcuno che conosci, come il tuo management o un’azienda partner. Un’altra tecnica che i truffatori usano per aggiungere credibilità alla loro storia è la clonazione di siti web – copiano siti web legittimi per ingannarti e farti inserire informazioni di identificazione personale (PII) o credenziali di accesso.
Per ridurre il rischio di essere vittima di phishing, puoi usare queste tecniche:
- Pensiero critico – Non valutare un’email in maniera affrettata solo perché sei occupato o stressato o hai 150 altri messaggi non letti nella tua casella di posta. Fermati un minuto e analizza l’email.
- Passare sopra i link – Muovi il tuo mouse sopra il link, ma non cliccarlo! Lascia solo che il cursore del tuo mouse passi sopra il link e vedi dove ti porterebbe. Applica il pensiero critico per decifrare l’URL.
- Analizzare le intestazioni delle email – Le intestazioni delle email definiscono come un’email è arrivata al tuo indirizzo. I parametri “Reply-to” e “Return-Path” dovrebbero portare allo stesso dominio indicato nell’email.
- Sandboxing – È possibile testare il contenuto delle e-mail in un ambiente sandbox, registrando l’attività di apertura dell’allegato o cliccando sui link all’interno dell’e-mail.
4. Attacco drive-by
Gli attacchi drive-by download sono un metodo comune di diffusione del malware. Gli hacker cercano siti web insicuri e inseriscono uno script dannoso nel codice HTML o PHP di una delle pagine. Questo script potrebbe installare malware direttamente sul computer di qualcuno che visita il sito, o potrebbe reindirizzare la vittima a un sito controllato dagli hacker. I download drive-by possono avvenire quando si visita un sito web o si visualizza un messaggio e-mail o una finestra pop-up. A differenza di molti altri tipi di attacchi alla sicurezza informatica, un drive-by non si basa sul fatto che l’utente faccia qualcosa per attivare attivamente l’attacco – non è necessario cliccare su un pulsante di download o aprire un allegato e-mail dannoso per essere infettati. Un download drive-by può sfruttare un’app, un sistema operativo o un browser web che contiene falle di sicurezza dovute ad aggiornamenti non riusciti o alla mancanza di aggiornamenti.
Per proteggersi dagli attacchi drive-by, è necessario mantenere aggiornati i browser e i sistemi operativi ed evitare i siti web che potrebbero contenere codice dannoso. Attieniti ai siti che usi normalmente – ma tieni presente che anche questi siti possono essere violati. Non tenere troppi programmi e app inutili sul tuo dispositivo. Più plug-in hai, più vulnerabilità ci sono che possono essere sfruttate da attacchi drive-by.
5. Attacco sulle password
Poiché le password sono il meccanismo più comunemente usato per autenticare gli utenti a un sistema informatico, ottenere le password è un approccio di attacco comune ed efficace. L’accesso alla password di una persona può essere ottenuto guardando intorno alla scrivania della persona, ”sniffando” la connessione alla rete per acquisire password non criptate, usando l’ingegneria sociale, ottenendo l’accesso a un database di password o indovinandola direttamente. L’ultimo approccio può essere fatto in modo casuale o sistematico:
- Indovinare la password con la forza bruta significa usare un approccio casuale provando diverse password e sperando che una funzioni. Si può applicare una certa logica, provando password legate al nome della persona, al titolo di lavoro, agli hobby o a elementi simili.
- In un attacco con dizionario, un dizionario di password comuni viene utilizzato per tentare di ottenere l’accesso al computer e alla rete di un utente. Un approccio è quello di copiare un file criptato che contiene le password, applicare la stessa crittografia ad un dizionario di password di uso comune e confrontare i risultati.
Per proteggersi dagli attacchi con dizionario o a forza bruta, è necessario implementare una politica di blocco dell’account che bloccherà l’account dopo alcuni tentativi di password non validi.
6. Attacco SQL injection
L’injection SQL è diventata un problema comune con i siti web basati su database. Si verifica quando un malfattore esegue una query SQL al database attraverso i dati di input dal client al server. I comandi SQL sono inseriti nell’input del piano dati (per esempio, al posto del login o della password) per eseguire comandi SQL predefiniti. Un exploit SQL injection riuscito può leggere dati sensibili dal database, modificare (inserire, aggiornare o cancellare) i dati del database, eseguire operazioni di amministrazione (come lo spegnimento) sul database, recuperare il contenuto di un dato file e, in alcuni casi, emettere comandi sul sistema operativo.
Per esempio, un modulo web su un sito web potrebbe richiedere il nome dell’account di un utente e poi inviarlo al database per estrarre le informazioni dell’account associato usando l’SQL dinamico come questo:
“SELECT * FROM users WHERE account = ‘“ + userProvidedAccountNumber +”’;”
Quando questo attacco funziona, perché viene indovinato l’ID dell’account,, lascia un buco per gli attaccanti. Per esempio, se qualcuno decidesse di fornire un ID account “‘ or ‘1’ = ‘1’”, questo risulterebbe in una stringa:
“SELECT * FROM users WHERE account = ‘’ or ‘1’ = ‘1’;”
Poiché ‘1‘ = ‘1‘ è sempre TRUE, il database restituirà i dati per tutti gli utenti invece di un solo utente.
La vulnerabilità a questo tipo di attacco di sicurezza informatica dipende dal fatto che SQL non verifica chi possa avere i permessi o meno. Pertanto, le iniezioni SQL funzionano soprattutto se un sito web utilizza SQL dinamico. Inoltre, l’iniezione SQL è molto comune con le applicazioni PHP e ASP a causa della prevalenza di vecchi sistemi. Le applicazioni J2EE e ASP.NET hanno meno probabilità di ricevere injection SQL sfruttabili a causa della natura delle interfacce di programmazione disponibili.
Per proteggervi da un attacco di SQL injection, applicate il modello least0privilege dei permessi nei vostri database. Attenetevi alle stored procedure (assicuratevi che queste procedure non includano alcun SQL dinamico) e alle istruzioni preparate precedentemente (query parametrizzate). Il codice che viene eseguito verso il database deve essere abbastanza forte da prevenire attacchi di tipo injection. Inoltre, convalidare i dati di input in funzione di una whitelist a livello di applicazione.
7. Attacco cross-site scripting (XSS)
Gli attacchi XSS utilizzano risorse web di terze parti per eseguire script nel browser web o nell’applicazione web della vittima. In particolare, l’attaccante inietta un payload con JavaScript dannoso nel database di un sito web. Quando la vittima richiede una pagina dal sito web, il sito web trasmette la pagina, con il payload dell’attaccante come parte del corpo HTML, al browser della vittima, che esegue lo script dannoso. Per esempio, potrebbe inviare il cookie della vittima al server dell’attaccante, e l’attaccante può estrarlo e usarlo per il session hijacking. Le conseguenze più pericolose si verificano quando XSS viene utilizzato per sfruttare ulteriori vulnerabilità. Queste vulnerabilità possono permettere ad un attaccante non solo di rubare i cookie, ma anche di registrare le battute di tasti, catturare screenshot, scoprire e raccogliere informazioni di rete, e accedere e controllare in remoto la macchina della vittima.
Anche se gli XSS possono essere inseriti all’interno di VBScript, ActiveX e Flash, il più ampiamente abusato è JavaScript – principalmente perché JavaScript è ampiamente supportato sul web.
Per difendersi dagli attacchi XSS, gli sviluppatori possono sanitizzare i dati inseriti dagli utenti in una richiesta HTTP prima di restituirli. Assicuratevi che tutti i dati siano convalidati o filtrati prima di restituire qualcosa all’utente, come i valori dei parametri della query durante le ricerche. Convertire i caratteri speciali come ?, &, /, <, > e gli spazi nei loro rispettivi equivalenti codificati in HTML. Date agli utenti la possibilità di disabilitare gli script lato client.
8. Attacco con intercettazione
Gli attacchi di eavesdropping si verificano attraverso l’intercettazione del traffico di rete. Con l’eavesdropping, un attaccante può ottenere password, numeri di carte di credito e altre informazioni riservate che un utente potrebbe inviare in rete. L’eavesdropping può essere passivo o attivo:
- Eavesdropping passivo – Un hacker rileva le informazioni ascoltando la trasmissione dei messaggi nella rete.
- Intercettazione attiva – Un hacker recupera attivamente le informazioni travestendosi da endpoint amico e inviando interrogazioni ai trasmettitori. Questa modalità include il probing, lo scanning e il tampering.
Rilevare gli attacchi di intercettazione passiva è spesso più importante che individuare quelli attivi, poiché gli attacchi attivi richiedono che l’attaccante acquisisca la conoscenza degli endpoint amici conducendo prima l’intercettazione passiva.
La crittografia dei dati è la migliore contromisura per le intercettazioni.
9. Attacco “Birthday”
Gli attacchi di tipo “birthday” sono fatti contro gli algoritmi di hash che sono usati per verificare l’integrità di un messaggio, un software o una firma digitale. Un messaggio processato da una funzione di hash produce un message digest (MD) di lunghezza fissa, indipendente dalla lunghezza del messaggio di input; questo MD caratterizza in modo univoco il messaggio. L’attacco di tipo “birthday” si riferisce alla probabilità di trovare due messaggi casuali che generano lo stesso MD quando vengono elaborati da una funzione hash. Se un attaccante calcola per il suo messaggio lo stesso MD dell’utente, può tranquillamente sostituire il messaggio dell’utente con il suo, e il ricevitore non sarà in grado di rilevare la sostituzione anche se confronta gli MD.
10. Attacco malware
Il malware può essere descritto come un software indesiderato che viene installato nel vostro sistema senza il vostro consenso. Può attaccarsi al codice legittimo e propagarsi; può annidarsi in applicazioni utili o replicarsi attraverso Internet. Ecco alcuni dei tipi più comuni di malware:
- Virus macro – Questi virus infettano applicazioni come Microsoft Word o Excel. I virus macro si attaccano alla sequenza di inizializzazione di un’applicazione. Quando l’applicazione viene aperta, il virus esegue le istruzioni prima di trasferire il controllo all’applicazione. Il virus si replica e si attacca ad altro codice nel sistema informatico.
- Infettatori di file – I virus infettatori di file di solito si attaccano al codice eseguibile, come i file .exe. Il virus viene installato quando il codice viene caricato. Un’altra versione di un file infector si associa a un file creando un file virus con lo stesso nome, ma con estensione .exe. Pertanto, quando il file viene aperto, il codice del virus viene eseguito.
- Infettatori di sistema o di boot-record – Un virus di boot-record si attacca al master boot record sui dischi rigidi. Quando il sistema viene avviato, guarda il settore di avvio e carica il virus in memoria, dove può propagarsi ad altri dischi e computer.
- Virus polimorfici – Questi virus si nascondono attraverso vari cicli di crittografia e decrittografia. Il virus criptato e un motore di mutazione associato sono inizialmente decrittati da un programma di decrittazione. Il virus procede ad infettare un’area di codice. Il motore di mutazione sviluppa quindi una nuova routine di decrittazione e il virus cripta il motore di mutazione e una copia del virus con un algoritmo corrispondente alla nuova routine di decrittazione. Il pacchetto criptato del motore di mutazione e del virus è attaccato al nuovo codice, e il processo si ripete. Tali virus sono difficili da rilevare, ma hanno un alto livello di entropia a causa delle numerose modifiche del loro codice sorgente. I software antivirus possono utilizzare questa caratteristica per rilevarli.
- Virus furtivi – I virus furtivi prendono il controllo delle funzioni del sistema per nascondersi. Lo fanno compromettendo il software di rilevamento del malware in modo che il software riporti un’area infetta come non infetta. Questi virus generano un aumento della dimensione di un file quando viene infettato, oltre a modificare la data e l’ora dell’ultima modifica del file.
- Trojan – Un Trojan o un cavallo di Troia è un programma che si nasconde in un programma utile e di solito ha una funzione dannosa. Una grande differenza tra virus e trojan è che i trojan non si autoreplicano. Oltre a lanciare attacchi a un sistema, un trojan può apreire una backdoor che può essere sfruttata dagli attaccanti. Per esempio, un Trojan può essere programmato per aprire una porta dal numero elevato in modo che l’hacker possa usarla per ascoltare e poi eseguire un attacco.
- Bombe logiche – Una bomba logica è un tipo di software maligno che viene aggiunto a un’applicazione e viene attivato da un evento specifico, come una condizione logica o una data e ora specifiche.
- Worm – I worm differiscono dai virus in quanto non si attaccano a un file ospite, ma sono programmi autonomi che si propagano attraverso reti e computer. I worm sono comunemente diffusi attraverso allegati di posta elettronica; l’apertura dell’allegato attiva il programma worm. Un tipico exploit di un worm comporta l’invio di una copia di se stesso a ogni contatto dell’indirizzo e-mail di un computer infetto. Oltre a condurre attività dannose, un worm che si diffonde attraverso internet e sovraccarica i server di posta elettronica può provocare attacchi denial-of-service verso i nodi della rete.
- Dropper – Un dropper è un programma usato per installare virus sui computer. In molti casi, il dropper non è infettato da codice dannoso e, quindi, potrebbe non essere rilevato dal software di scansione dei virus. Un dropper può anche connettersi a Internet e scaricare gli aggiornamenti del software antivirus che risiede su un sistema compromesso.
- Ransomware – Il ransomware è un tipo di malware che blocca l’accesso ai dati della vittima e minaccia di pubblicarli o cancellarli se non viene pagato un riscatto. Mentre alcuni semplici ransomware possono bloccare il sistema in un modo che non è difficile da recuperare per una persona esperta, le versioni più avanzate e più diffuse di questo malware utilizzano una tecnica chiamata estorsione criptovirale, che cripta i file della vittima in un modo da renderli quasi impossibile da recuperare senza la chiave di decrittazione.
- Adware – L’adware è un’applicazione software utilizzata dalle aziende per scopi di marketing; vengono visualizzatii banner pubblicitari mentre qualunque programma è in esecuzione. L’adware può essere scaricato automaticamente sul tuo sistema durante la navigazione di qualsiasi sito web e può essere visualizzato attraverso finestre pop-up o attraverso una barra che appare automaticamente sullo schermo del computer.
- Spyware – Lo spyware è un tipo di programma che viene installato per raccogliere informazioni sugli utenti, sui loro computer o sulle loro abitudini di navigazione. Tiene traccia di tutto ciò che fai a tua insaputa e invia i dati a un utente remoto. Può anche scaricare e installare altri programmi maligni da internet. Lo spyware funziona come l’adware, ma di solito è un programma separato che viene installato inconsapevolmente quando si installa un’altra applicazione freeware.
Conclusione
Per riuscire a difenderci, dobbiamo conoscere bene gli attacchi. In questo articolo abbiamo esaminato i 10 attacchi più comuni di sicurezza informatica che gli hacker utilizzano per bloccare e compromettere i sistemi informatici. Come puoi vedere, gli aggressori hanno molte opzioni, come gli attacchi DDoS, l’infezione da malware, l’intercettazione man-in-the-middle e indovinare le password con la modalità brute-force, per cercare di ottenere un accesso non autorizzato alle infrastrutture critiche e ai dati sensibili.
Le misure per mitigare queste minacce variano, ma le basi della sicurezza rimangono le stesse: mantenete aggiornati i vostri sistemi e utilizzate sistemi di protezione endpoint di nuova generazione, formate i vostri dipendenti, configurate il vostro firewall per mettere in whitelist solo le porte e gli host specifici di cui avete bisogno, mantenete forti le vostre password, usate un modello di minimo privilegio nel vostro ambiente IT, fate backup regolari, prevedete un sistema di disaster recovery e controllate continuamente i vostri sistemi IT alla ricerca di eventuali attività sospette.
Fonte: Netwrix
Per approfondire l’argomento e capire quali azioni mettere in atto concretamente per alzare il livello di sicurezza della tua infrastruttura informatica scarica il T – book Security Edition. All’interno troverai un focus dedicato all’MFA (MultiFactor Authentication) un metodo di autenticazione a più fattori che rappresenta un passo in avanti nel processo di difesa della rete aziendale.
Compila il form qui sotto e scarica subito il T-Book Security Edition.