Latest news

Come avviene l’accesso iniziale in un attacco informatico

Entrati da poco nel 2023, è importante riflettere su alcuni dei principali cambiamenti e sviluppi che abbiamo osservato e segnalato nel 2022. Il rapporto annuale di revisione di quest’anno creato dal TheDFIRReport esamina i tipi di intrusioni che hanno avuto una maggiore diffusione.

L’accesso iniziale come primo step di un attacco informatico può avvenire in diverse modi, ma in generale si può dire che gli attaccanti cercano di sfruttare vulnerabilità o falle di sicurezza presenti nei sistemi informatici per accedere ai dati o alle risorse di un’organizzazione o di un individuo.

Tecniche usate dagli attaccanti per ottenere l’accesso iniziale:

Quali sono le tecniche usate dagli attaccanti per ottenere il primo accesso rispetto l’organizzazione target? Ecco la lista delle principali, dove al primo posto troviamo sempre il Phishing come strumento largamente utilizzato dagli attaccanti per ottenere un primo accesso rispetto al target.

accesso iniziale attacco informatico

Phishing:

Gli attaccanti inviano e-mail o messaggi di testo fraudolenti che sembrano provenire da fonti affidabili, come banche o fornitori di servizi online, per convincere le persone a fornire le loro credenziali di accesso o a cliccare su link dannosi.

Drive-by Compromise:

Il drive-by compromise è una tecnica di attacco informatico in cui gli attaccanti cercano di infettare i computer degli utenti senza che questi se ne accorgano. In pratica, gli attaccanti sfruttano vulnerabilità presenti nel software o nei browser web per installare malware o codice malevolo sui computer degli utenti che visitano un sito web compromesso.

L’attacco inizia quando un utente accede a un sito web infetto o compromesso. Il sito web può essere stato compromesso in precedenza dagli attaccanti attraverso tecniche come l’exploit di vulnerabilità del software, l’iniezione di codice malevolo o l’utilizzo di tecniche di phishing per convincere gli utenti a visitare il sito. Quando l’utente visita il sito web compromesso, il malware o il codice malevolo viene scaricato e installato automaticamente sul computer dell’utente senza che quest’ultimo ne sia consapevole.

Exploit di applicazioni:

L’exploit di applicazioni pubbliche è una tecnica di attacco informatico in cui gli attaccanti sfruttano le vulnerabilità presenti nelle applicazioni web pubbliche, al fine di compromettere i sistemi informatici degli utenti che le utilizzano.

Le applicazioni web pubbliche sono programmi o servizi che sono accessibili via Internet, tipicamente utilizzati da un grande numero di utenti. Questi possono includere forum online, siti di e-commerce, applicazioni di home-banking, servizi di cloud storage, e molte altre tipologie di servizio.

Gli attaccanti cercano di sfruttare le vulnerabilità presenti in queste applicazioni per accedere ai dati degli utenti o compromettere i sistemi informatici degli utenti. Le vulnerabilità possono includere errori di programmazione, problemi di sicurezza, bug del software o problemi di configurazione dei server web.

Una volta identificate le vulnerabilità, gli attaccanti possono utilizzare tecniche come l’exploit di buffer overflow, l’iniezione di codice SQL o l’exploit di file inclusi per sfruttare queste falle e accedere ai dati degli utenti o ai sistemi informatici.

Per proteggersi da questo tipo di attacco, gli sviluppatori delle applicazioni web pubbliche devono adottare buone pratiche di sviluppo del software e di sicurezza, come il testing delle applicazioni per identificare le vulnerabilità e la correzione delle falle di sicurezza non appena vengono scoperte.

Compromissione account:

Questa tattica, chiamata anche “Valid Credentials“, che consiste nell’utilizzare credenziali valide per accedere ai sistemi o alle risorse di un’organizzazione. Può essere utilizzata dagli attaccanti per eseguire attacchi a lungo termine o per infiltrarsi all’interno di un’organizzazione senza essere rilevati.

L’attaccante può acquisire credenziali valide attraverso una varietà di tecniche, come l’hacking delle credenziali dell’utente, il phishing delle credenziali di accesso o l’utilizzo di credenziali rubate o precedentemente compromesse. Una volta acquisite le credenziali valide, l’attaccante può utilizzarle per accedere a sistemi o risorse che altrimenti sarebbero inaccessibili.

Per proteggersi dall’attività associata, le organizzazioni possono adottare misure come l’implementazione di politiche di password robuste, l’implementazione di soluzioni di autenticazione multifactor e l’uso di tecniche di monitoraggio e rilevamento delle attività degli utenti.

Perchè il firewall in questi scenari non è sufficiente come misura di difesa

Il firewall è uno strumento di sicurezza fondamentale per proteggere i sistemi informatici dalle minacce provenienti da Internet. Il firewall è progettato per filtrare il traffico di rete in entrata e in uscita, bloccando l’accesso non autorizzato ai sistemi informatici e alle reti. Tuttavia, il firewall da solo non è sufficiente per garantire una protezione completa contro le minacce informatiche, per diverse ragioni:

Limitazioni del firewall: I firewall non possono proteggere contro tutte le possibili minacce informatiche, poiché alcuni attacchi possono utilizzare tecniche sofisticate per eludere le difese del firewall. Ad esempio, le minacce possono utilizzare il traffico di rete già autorizzato dal firewall per entrare nella rete, rendendo inefficace il controllo del firewall.

Attacchi interni: Il firewall è utile per proteggere contro gli attacchi esterni, ma non è in grado di proteggere contro gli attacchi interni. Ciò significa che un attaccante che ha ottenuto l’accesso alla rete interna dell’organizzazione può bypassare il firewall e accedere direttamente ai sistemi e alle risorse della rete interna.

Errori di configurazione: Il firewall può essere configurato in modo errato o incompleto, creando falle nella sicurezza che possono essere sfruttate dagli attaccanti per accedere alla rete.

Social Engineering: Il firewall non è in grado di proteggere da attacchi di phishing, oppure altre attività legate all’operato dell’utente end-users finale.

Per proteggere adeguatamente i sistemi informatici dalle minacce informatiche, è necessario utilizzare una combinazione di soluzioni di sicurezza, tra cui firewall, antivirus, antimalware, soluzioni di rilevamento delle intrusioni, autenticazione forte e altre soluzioni di sicurezza. Inoltre, le organizzazioni devono adottare buone pratiche di sicurezza, come la gestione delle patch, la formazione degli utenti e la gestione degli accessi, per garantire una protezione completa dei propri sistemi e dati.

sicurezza dati

Nexsys offre servizi sistemici di consulenza informatica per la tua azienda con l’obiettivo di implementare la migliore soluzione IT. Oltre  ai servizi di consulenza offriamo corsi di formazione in ambito di sicurezza informatica ICT per garantire una maggiore sicurezza e ottimizzazione dei processi e dei sistemi.

I nostri corsi di formazione sono rivolti a tutti i profili professionali ICT come il corso Cybersecurity Blue Team, ma anche agli utenti che desiderano saperne di più sulla sicurezza informatica, come il corso di Cybersecurity Awareness.

Desideri informazioni maggiori sui nostri corsi o hai bisogno di consulenza informatica non esitare a contattarci telefonicamente 045 2456669, per mail info@nexsys.it oppure compilando il form sul nostro sito cercheremo di proporvi la soluzione migliore su misura per te e per la tua azienda.

Hai bisogno di maggiori informazioni?

I nostri esperti IT sapranno certamente aiutarti!

My Agile Privacy

Questo sito utilizza cookie tecnici e di profilazione. 

Puoi accettare, rifiutare o personalizzare i cookie premendo i pulsanti desiderati. 

Chiudendo questa informativa continuerai senza accettare. 

Inoltre, questo sito installa Google Analytics nella versione 4 (GA4) con trasmissione di dati anonimi tramite proxy. 

Prestando il consenso, l'invio dei dati sarà effettuato in maniera anonima, tutelando così la tua privacy.