L’hacker dormiente

Subire un attacco informatico per una pubblica amministrazione o un’azienda può essere devastante se l’intrusione è stata eseguita con cura. I danni ovviamente dipendono dal tipo di attacco e dalle contromisure messe in atto per contrastarlo. I più frequenti sono i data breach e i ransomware che vengono portati a termine nel giro di poche ore. Nel primo caso si ha il furto e la compromissione dei dati aziendali che richiede di eseguire il processo di analisi dei danni per valutare se notificare la violazione dei dati personali al Garante e agli interessati. Nel secondo caso l’intrusione ha lo scopo di ricatto ed è portata a compimento da virus che rendono inaccessibili i dati dei computer infettati mentre l’hacker chiede il pagamento di un riscatto per ripristinarli. Si tratta di due esempi in cui i cybercriminali hanno agito con attacchi rapidi che si sono palesemente manifestati, ma non è sempre così…

Nascosti nell’ombra

Aziende e PA che hanno subito attacchi e li hanno respinti o che all’apparenza non hanno mai subito intrusioni, possono ritenersi al sicuro? Significa che i sistemi di cybersicurezza di cui sono dotate hanno funzionato alla perfezione? Purtroppo no! Sono infatti sempre più evolute le tecnologie per nascondere l’intrusione per lunghi periodi di tempo, si chiamano attacchi dormienti e hanno diversi scopi.
Un hacker e il suo software maligno potrebbero essere abilmente nascosti per analizzare i pacchetti di dati che transitano sulle intranet aziendali in attesa delle informazioni “giuste”. Ma i cybercriminali potrebbero anche non essere interessati a causare danni ai computer su cui risiedono: annidati in un sito Web potrebbero attivarsi quando hanno bisogno di una botnet (una rete di computer infettati) per inviare attacchi di spam, diffondere virus ad altri utenti, oppure installare software di gestione per i loro traffici sfruttando l’hardware e la connessioni di aziende ignare di questa situazione. Si pensi ad esempio alle versioni aggiornate di Ryuk, un malware dormiente che può essere usato per eseguire l’accensione da Internet dei computer impostati con il Wake on LAN di cui conosce i dati e infettarli. Oppure il sito potrebbe essere usato come centro di comunicazioni fra attivisti politici di altri Paesi in cerca di connessioni sicure.

Se tutto va bene, preoccupati!

Il titolo di questo paragrafo potrebbe sembrare un ossimoro nella vita di tutti i giorni ma in ambito di cybersicurezza purtroppo non lo è. Le intrusioni nascoste sono una pratica drammaticamente frequente, e l’unico modo per stanare eventuali intrusioni nascoste è affidarsi ad aziende come Hypergrid dotate degli strumenti e delle tecnologie per eseguire: Vulnerability Assessment, Security Data Recorder e HyperSafe. Partiamo dall’ultimo: HyperSafe è un servizio che monitora le risorse di rete controllando le funzionalità, la configurazione e gli aggiornamenti sia dei server che dei dispositivi di sicurezza e il suo scopo è quello di anticipare qualsiasi tentativo di manomissione. Vulnerability Assessment è un servizio essenziale per le piccole e grandi aziende e per le pubbliche amministrazioni. Si tratta di una procedura per valutare in profondità la sicurezza dei sistemi informatici. Vengono ricercate ed analizzate tutte le potenziali vulnerabilità presenti su una rete aziendale con lo scopo di migliorarne la capacità di prevenire attacchi basati su eventuali falle. Infine, il Security Data Recorder, un servizio che registra tutto il traffico di rete e, in caso di verifiche da parte delle forze dell’ordine, è in grado di produrre la documentazione necessaria ad evidenziare eventuali responsabilità o a escludere ogni addebito.

Tutti i servizi sono configurabili in base alle esigenze aziendali, per maggiori informazioni contattaci all’indirizzo info@hypergrid.it