Cos'è un vettore di attacco?

I vettori di attacco sono i modi in cui un aggressore può violare dati sensibili o compromettere un'organizzazione.

Obiettivi di apprendimento

Dopo aver letto questo articolo sarai in grado di:

  • Definire il vettore di attacco
  • Elencare i principali vettori di attacco
  • Confrontare il vettore di attacco con la superficie di attacco

Argomenti correlati


Vuoi saperne di più?

Abbonati a theNET, il riepilogo mensile di Cloudflare sulle tematiche più discusse in Internet.

Fai riferimento all'Informativa sulla privacy di Cloudflare per scoprire come raccogliamo ed elaboriamo i tuoi dati personali.

Copia link dell'articolo

Cos'è un vettore di attacco?

Cos'è un vettore di attacco? - diagramma: il malintenzionato entra nella rete tramite un vettore di attacco di phishing, diffondendosi a computer e server

Un vettore di attacco, o vettore di minaccia, è un modo per i malintenzionati di entrare in una rete o in un sistema. I vettori di attacco comuni includono attacchi di social engineering, furto di credenziali, exploit di vulnerabilità e protezione insufficiente contro le minacce interne. Una parte fondamentale della sicurezza delle informazioni consiste nel chiudere i vettori di attacco ogni volta che è possibile.

Supponiamo che una società di sicurezza sia incaricata di sorvegliare un dipinto raro esposto in un museo. Ci sono diversi modi in cui un ladro potrebbe entrare e uscire dal museo: porte d'ingresso, porte posteriori, ascensori e finestre. Il ladro potrebbe entrare nel museo anche in un altro modo, forse fingendosi un membro del personale del museo. Tutti questi metodi rappresentano vettori di attacco e l'azienda di sicurezza potrebbe tentare di eliminarli posizionando guardie di sicurezza a tutte le porte, chiudendo le finestre a chiave e controllando regolarmente l'identità del personale del museo.

Allo stesso modo, tutti i sistemi digitali dispongono di aree che gli aggressori possono utilizzare come punti di ingresso. Poiché i moderni sistemi informatici e gli ambienti applicativi sono così complessi, solitamente non è possibile eliminare tutti i vettori di attacco. Tuttavia, efficaci misure di sicurezza e misure di salvaguardia possono eliminare la maggior parte dei vettori di attacco, rendendo molto più difficile per gli aggressori individuarli e utilizzarli.

Quali sono alcuni dei vettori di attacco più comuni?

Phishing: il phishing consiste nel furto di dati, come la password di un utente, che un malintenzionato può utilizzare per accedere a una rete. I malintenzionati ottengono l'accesso a questi dati inducendo la vittima a rivelarli. Il phishing resta uno dei vettori di attacco più comunemente utilizzati: molti attacchi ransomware, ad esempio, iniziano con una campagna di phishing contro l'organizzazione vittima.

Allegati e-mail: uno dei vettori di attacco più comuni, gli allegati e-mail possono contenere codice dannoso che viene eseguito dopo che l'utente apre il file. Negli ultimi anni, diversi importanti attacchi ransomware hanno sfruttato questo vettore di minaccia, tra cui gli attacchi Ryuk.

Acquisizione dell'account: gli autori di attacchi possono utilizzare diversi metodi per prendere il controllo dell'account di un utente legittimo. Possono rubare le credenziali di un utente (nome utente e password) tramite attacchi di phishing, attacchi di forza bruta o acquistandoli sul mercato nero. Possono anche provare a intercettare e utilizzare un cookie di sessione per impersonare l'utente in un'applicazione Web.

Mancanza di crittografia: i dati non crittografati possono essere visualizzati da chiunque vi abbia accesso. Possono essere intercettati durante il transito tra reti, come in un attacco di interposizione o semplicemente essere visualizzati inavvertitamente da un intermediario lungo il percorso di rete.

Minacce interne: una minaccia interna si verifica quando un utente noto e fidato accede e distribuisce dati riservati o consente a un malintenzionato di fare lo stesso. Tali eventi possono essere intenzionali o accidentali da parte dell'utente. Gli aggressori esterni possono provare a creare minacce interne contattando direttamente gli addetti ai lavori e chiedendo loro, corrompendoli, ingannandoli o minacciandoli di concedere l'accesso. A volte, i dipendenti interni malintenzionati agiscono di loro spontanea volontà, perché insoddisfatti della loro organizzazione o per qualche altro motivo.

Sfruttamento delle vulnerabilità: una vulnerabilità è un difetto nel software o nell'hardware: immagina di paragonarla a una serratura che non funziona correttamente, consentendo a un ladro che sa dove si trova la serratura difettosa di entrare in un edificio protetto. Quando un malintenzionato sfrutta con successo una vulnerabilità per entrare in un sistema, si parla di "exploit" di vulnerabilità. L'applicazione degli aggiornamenti del software o dell'hardware forniti dal fornitore può risolvere la maggior parte delle vulnerabilità. Tuttavia, alcune vulnerabilità sono vulnerabilità "zero-day", ovvero vulnerabilità sconosciute per le quali non esiste una soluzione nota.

Attacchi basati sul browser: per visualizzare le pagine Web, i browser Internet caricano ed eseguono il codice ricevuto dai server remoti. Gli autori di attacchi possono iniettare codice dannoso in un sito Web o indirizzare gli utenti a un sito Web falso, inducendo il browser a eseguire codice che scarica malware o compromette in altro modo i dispositivi degli utenti. Con il cloud computing, spesso i dipendenti accedono ai dati e alle applicazioni esclusivamente tramite il loro browser Internet, rendendo questo vettore di minaccia particolarmente preoccupante.

Compromissione delle applicazioni: anziché colpire direttamente gli account utente, un aggressore potrebbe provare a infettare un'applicazione di terze parti attendibile con un malware. Oppure potrebbe creare un'applicazione falsa e dannosa che gli utenti scaricano e installano senza saperlo (un vettore di attacco comune per i dispositivi mobili).

Porte aperte: una porta è un ingresso virtuale in un dispositivo. Le porte aiutano i computer e i server ad associare il traffico di rete a una determinata applicazione o processo. Le porte che non sono in uso devono essere chiuse. Gli aggressori possono inviare messaggi appositamente creati per aprire le porte e tentare di compromettere il sistema, proprio come un ladro d'auto potrebbe provare ad aprire una portiera per vedere se qualcuna è sbloccata.

Come può un'organizzazione proteggere i propri vettori di attacco?

Non c'è modo di eliminare completamente i vettori di attacco. Ma questi approcci possono aiutare a fermare sia gli attacchi interni che quelli esterni.

  • Buone pratiche di sicurezza: molti attacchi hanno successo a causa di errori degli utenti, che cadono negli attacchi di phishing, aprono allegati di posta elettronica dannosi o forniscono l'accesso a una persona non autorizzata. Addestrare gli utenti a evitare questi errori può contribuire notevolmente a eliminare diversi importanti vettori di attacco.
  • Crittografia: la crittografia dei dati in transito impedisce che siano resi pubblici a terzi intermediari.
  • Isolamento del browser: questa tecnologia sposta il processo di caricamento ed esecuzione di codice non attendibile in una posizione esterna alla rete protetta di un'organizzazione. L'isolamento del browser può addirittura contribuire a eliminare la minaccia degli attacchi zero-day, almeno nel browser.
  • Patch delle vulnerabilità: un gran numero di attacchi si verifica perché un'organizzazione non ha corretto una vulnerabilità. L'applicazione di patch alle vulnerabilità e l'aggiornamento regolare di software e hardware riducono notevolmente le possibilità di sfruttare una vulnerabilità con successo.
  • Secure Access Service Edge (SASE): poiché la dipendenza dal cloud ha modificato i modelli di elaborazione aziendale, molte organizzazioni si rendono conto che anche i loro modelli di rete e sicurezza devono cambiare. Secure Access Service Edge (SASE) è un metodo per integrare rete e sicurezza. SASE include una serie di misure di sicurezza che chiudono i vettori di attacco sopra descritti. Scopri di più su SASE.

Che cos'è una superficie di attacco?

Una superficie d'attacco è la combinazione di tutti i vettori di attacco a disposizione di un utente malintenzionato. Più vettori di attacco ha un'organizzazione, maggiore è la superficie d'attacco. Al contrario, un'organizzazione può ridurre la propria superficie di attacco eliminando, ove possibile, i vettori di attacco.

Immagina che l'autore di un attacco sia come un attaccante nel calcio e che la superficie d'attacco sia la porta. Senza portiere, la parte anteriore della porta presenta un'area piuttosto ampia in cui il giocatore può calciare la palla. Tuttavia, il portiere riduce l'area a disposizione dell'attacco posizionandosi in punti strategici, e i suoi compagni di squadra possono fare lo stesso con il modo in cui difendono.

Allo stesso modo, tutte le organizzazioni hanno un "obiettivo" che gli aggressori esterni prendono di mira: la superficie d'attacco e i dati sensibili dietro di essa. Ma i prodotti e le pratiche di sicurezza sono come il portiere e i difensori: impediscono agli aggressori di utilizzare quei vettori di attacco.

Per scoprire come Cloudflare aiuta a eliminare i vettori di attacco, leggi la sezione relativa alla piattaforma SASE di Cloudflare, Cloudflare One.