La cybersecurity è un tema di crescente rilevanza nel mondo contemporaneo. Le aziende, negli ultimi anni, hanno messo in pratica nuove tecnologie e soluzioni IT. Con la digitalizzazione, le minacce informatiche sono diventate sempre più sofisticate e diffuse.
Secondo il rapporto 2023 sulla sicurezza informatica in Italia, il numero di attacchi informatici nel paese è aumentato del 168,6% nel 2022 rispetto all’anno precedente. Questo incremento ha portato molte organizzazioni a posizionare la sicurezza informatica come priorità.
La crescita degli attacchi informatici in Italia: cause e conseguenze
Negli ultimi cinque anni, gli attacchi informatici sono aumentati costantemente.
Confrontando i dati del 2018 con quelli del 2022, si nota un incremento del 60% degli attacchi individuati, con una media mensile globale di 207 attacchi gravi, rispetto ai 130 del passato.
La cybersecurity nel 2022 ha registrato il maggior numero di incidenti gravi a livello globale, pari a 2.489. Gli hacker si sono concentrati sull’Italia, che ha subito il 7,6% degli attacchi totali, rispetto al 3,4% del 2021. Inoltre, l’83% di questi attacchi ha avuto conseguenze gravi.
La ricerca dell’Osservatorio Cybersecurity & Data Protection della School of Management del Politecnico di Milano conferma il trend di crescita degli attacchi informatici, che hanno coinvolto anche le infrastrutture critiche. Nel periodo tra il primo semestre del 2021 e quello del 2022, si è registrato un aumento del 8,4%.
Il 67% delle aziende ha registrato un incremento degli attacchi informatici e il 14% ha subito danni effettivi a causa di tali incidenti.
Il mercato italiano della cybersecurity è cresciuto del 18% rispetto all’anno precedente, raggiungendo un valore di 1,86 miliardi di euro. Nonostante ciò, la spesa in cybersecurity in Italia rappresenta solo lo 0,10% del PIL. Tuttavia, l’aumento degli investimenti sia da parte privata che pubblica rappresenta un segnale di incoraggiamento per il futuro, poiché il mercato della cybersecurity sta crescendo significativamente.
Le aziende italiane stanno adottando un approccio olistico alla gestione dei rischi per stabilire le priorità di investimento. Il 49% delle organizzazioni incorpora la gestione del rischio cibernetico nel processo di gestione aziendale del rischio, ma molte lo considerano ancora un rischio separato o addirittura lo trascurano.
Solo il 32% delle aziende adopera metodi di valutazione finanziaria del rischio. Tali metodi, benché complessi, risultano efficaci nel sensibilizzare i dirigenti delle aziende sull’importanza della sicurezza informatica e sui possibili impatti commerciali di un eventuale incidente.
I settori più a rischio di cyber attacchi
L’analisi dei dati mostra il trend generale della gravità delle attività degli attaccanti, raggruppati per settore.
In sicurezza informatica, il termine “severity” indica la gravità di una minaccia o di un attacco informatico, ovvero la sua capacità di causare danni rilevanti all’organizzazione colpita.
Globalmente, i Multiple Targets sono le principali vittime degli attacchi informatici, con un aumento del 97% rispetto all’anno precedente.
In particolare, le organizzazioni governative, militari e di polizia scendono dal primo al terzo posto a vantaggio dei “bersagli multipli”, probabilmente influenzati dallo scenario geopolitico attuale.
Il trend attuale prevede attacchi alle grandi infrastrutture critiche, alle loro filiere e ad un intero ecosistema, non solo contro singole organizzazioni. Questo dimostra come le minacce siano sempre più sofisticate e ingegnerizzate, replicabili su larga scala, come dimostrato dalle notizie riportate dai media nell’ultimo anno.
Il comparto sanitario si posiziona in modo sempre più elevato nella classifica dei bersagli preferiti. Infatti, esso rappresenta un obiettivo attraente sia per i malintenzionati che cercano di trarre profitto dagli attacchi, sia per coloro che intendono danneggiare i servizi essenziali della comunità.
Le imprese del comparto ICT si posizionano nella parte alta della classifica, grazie alla loro elevata predisposizione. La loro esposizione risulta maggiore rispetto ad altri settori grazie all’elevato grado di digitalizzazione dei processi.
Interessante la crescita del comparto manifatturiero, rivelatosi altamente remunerativo per gli hacker nel corso del 2022.
Social Engineering
Le simulazioni in Sicurezza e Social Engineering dimostrano che gli errori umani possono generare rischi per la sicurezza aziendale. La ricerca ha evidenziato che la posta elettronica è il vettore più comune per i tentativi di phishing.
L’obiettivo di questi esperimenti è stato valutare se un attaccante esterno, privo di informazioni specifiche sull’azienda attaccata (oltre quelle disponibili pubblicamente su Internet), potesse accedere in modo non autorizzato a dati sensibili tramite attacchi di phishing ai danni dei dipendenti.
I criminali informatici non hanno sempre bisogno di molte informazioni per attaccare: a volte basta trovare, attraverso l’analisi dei canali social, una sola informazione su una persona come la sua passione per il calcio o la moda, per convincerla a cliccare su un’email a tema. In altri casi, invece, sono necessarie informazioni precise e dettagliate.
Dalle simulazioni è emerso che per un hacker è facile risalire ai contatti di un’azienda, conoscere gli interessi dei lavoratori e individuare eventuali vulnerabilità, al fine di persuadere i dipendenti a compiere azioni a suo vantaggio.
Problemi comuni di cybersecurity
Tra le minacce più diffuse, in campo cybersecurity, sono stati individuati 8 problemi ricorrenti:
SQL Injection
L’attaccante ha appena messo in atto una delle tecniche di attacco informatico più diffuse e pericolose: l’iniezione SQL. Questa tecnica consiste nell’inserire del codice malevolo all’interno di campi di input di un’applicazione web, in modo tale che il server elabori tali input come se fossero comandi legittimi, permettendo all’hacker di accedere al database o addirittura di avere il pieno controllo sul server. Nonostante sia una tecnica conosciuta da molti anni, l’iniezione SQL rimane una minaccia costante per le applicazioni web, perché spesso i programmatori non prestano sufficiente attenzione alla sicurezza del codice. Per evitare l’iniezione SQL, è necessario adottare pratiche di sviluppo sicure, come l’utilizzo di parametri per le query SQL, la validazione degli input e l’uso di librerie di codice sicure. Inoltre, è importante che i server siano costantemente aggiornati e protetti da firewall e programmi per la rilevazione degli attacchi. Le conseguenze di un attacco di iniezione SQL possono essere disastrose per un’azienda o un’organizzazione: dati sensibili possono essere rubati, informazioni riservate possono essere divulgate, e il server può essere reso inutilizzabile. Per questo motivo, è fondamentale che gli sviluppatori e gli amministratori di sistema si assicurino che le loro applicazioni web siano protette contro questo tipo di attacco.
Account Takeover
L’Account Takeover (ATO) è una forma di furto di identità online in cui un criminale informatico ottiene illegalmente l’accesso non autorizzato a un account altrui per commettere frodi. Gli hacker rubano le credenziali, cioè i nomi utente e le password di accesso, al fine di prendere il controllo di un account utente. Questo tipo di attacco può causare gravi conseguenze, come la perdita di dati, danni finanziari, ripercussioni legali e danni alla reputazione. Fortunatamente, grazie a tecniche di prevenzione e mitigazione del rischio, è possibile contrastare attivamente la minaccia o limitare i danni nel caso in cui l’account venga violato.
Authentication Bypass
L’hacker accede ad un account senza autenticarsi correttamente.
Insecure Direct Obiect Reference
L’IDOR, acronimo di Insecure Direct Object Reference, è un’importante vulnerabilità informatica che consente agli hacker di superare le restrizioni di accesso di un’applicazione per acquisire maggiori privilegi in modo orizzontale o verticale. In sostanza, l’IDOR permette agli utenti non autorizzati di visualizzare, modificare o eliminare direttamente dati appartenenti ad altri utenti della stessa applicazione. Questa vulnerabilità può essere sfruttata in molti modi e rappresenta una minaccia significativa per la sicurezza delle applicazioni web. Ad esempio, un attaccante potrebbe utilizzare l’IDOR per accedere ai dati personali di un altro utente, come indirizzo email, numero di telefono o informazioni finanziarie. Inoltre, potrebbe anche utilizzare questa vulnerabilità per modificare i dati dei propri account, ad esempio aumentando il proprio saldo bancario o cambiando le proprie autorizzazioni di accesso. Per prevenire l’IDOR, è importante che gli sviluppatori di applicazioni web implementino adeguati controlli di sicurezza. Ad esempio, potrebbero utilizzare tecniche come l’assegnazione di un ID univoco per ogni utente e l’utilizzo di token di sicurezza per garantire che solo gli utenti autorizzati possano accedere ai propri dati. Inoltre, i tester di sicurezza potrebbero utilizzare strumenti appositi per identificare eventuali vulnerabilità nell’applicazione e segnalarle agli sviluppatori in modo che possano essere corrette prima che vengano sfruttate dagli hacker. In sintesi, l’IDOR rappresenta una grave minaccia per la sicurezza delle applicazioni web e deve essere affrontato con il massimo impegno da parte degli sviluppatori e dei tester di sicurezza. Solo attraverso una stretta collaborazione e l’implementazione di solide misure di sicurezza sarà possibile proteggere le applicazioni web da questa pericolosa vulnerabilità.
Privilege Escalation
L’attaccante mira ad ottenere privilegi superiori rispetto a quelli a cui ha regolare accesso.
Brute Force
L’hacker riesce a ottenere informazioni di accesso valide, come username e password, mediante numerosi tentativi.
Cross-site scripting
L’attaccante riesce a eseguire del codice JavaScript arbitrario sulla postazione del bersaglio che accede al sito web attaccato.
Outdated Software Version
L’utilizzo di software obsoleto è la principale causa di problemi di sicurezza informatica.
Le soluzioni in ambito cybersecurity
Grazie alla sua tecnologia unica e alla scalabilità dei servizi, Seeweb offre strategie efficaci per proteggere i dati e garantire servizi di alta qualità e performance. Tra le diverse soluzioni di sicurezza online, troviamo sia strumenti come il Web Application Firewall (WAF) che attività specialistiche di consulenza e analisi come l’assessment QSA per risolvere i problemi elencati.
- Il Web Application Firewall (WAF) è uno strumento che protegge le tue applicazioni web e il tuo business. È completamente gestito e non richiede alcuna configurazione da parte dell’azienda. Se hai più siti web costruiti con la stessa tecnologia o CMS, puoi utilizzare un unico WAF senza dover apportare modifiche alle applicazioni. Il WAF funziona in modalità single-tenant, il che significa che deve essere attivato su uno o più server che offrono servizi web per ciascun cliente. Gli esperti di Seeweb possono aiutarti a sviluppare una strategia di difesa efficace ed efficiente per proteggere molti siti ad alto traffico.
- Il Quick Security Assessment (QSA) è un test che valuta il livello di vulnerabilità dei sistemi IT di un’azienda o di un’organizzazione. Ti consente di proteggere le tue applicazioni e le tue architetture IT, riducendo il rischio di cyber attacchi e salvaguardando la tua comunità aziendale. Il QSA è adatto a qualsiasi tipo di architettura e applicazione. Inizia identificando i server accessibili pubblicamente e i servizi che accettano richieste dall’esterno. Successivamente, vengono individuate eventuali vulnerabilità e validate durante la scansione. Infine, vengono fornite raccomandazioni per migliorare la sicurezza della tua applicazione web, inclusa una lista dei possibili vettori di attacco.
