GUERRA IBRIDA

Cyberwar: cos’è, tipologie di attacchi cibernetici e soluzioni per combattere la guerra ibrida

Si parla tanto di cyberwar o guerra cibernetica. Ma di cosa si tratta realmente? Ecco le principali categorie di attacchi di guerra informatica, i dettagli di alcune delle più famose operazioni di guerra cibernetica e i consigli per combattere la guerra ibrida e mettere al sicuro il perimetro aziendale

05 Mag 2022

La cyberwar può essere definita come un attacco informatico o una serie di attacchi che prendono di mira diverse strutture di un paese, o la nazione stessa.

Ha il potenziale di abbattere le infrastrutture governative e civili e interrompere i sistemi critici, con conseguenti danni allo stato e persino perdite di vite umane. C’è un dibattito tra gli esperti di sicurezza informatica su quale tipo di attività costituisca una guerra informatica.

La guerra ibrida coinvolge tipicamente uno stato-nazione che perpetra attacchi informatici su un altro, ma in alcuni casi gli attacchi sono effettuati da organizzazioni terroristiche o attori criminali, i quali non appartengono ad apparati statali che cercano di promuovere l’obiettivo di una nazione ostile.

Si possono annoverare diversi esempi di guerra cibernetica nella storia recente, ma non esiste una definizione universale e formale per come un attacco cibernetico possa costituire un atto di guerra.

Cyberwar: come funziona il reclutamento di aspiranti hacker nella guerra in Ucraina

Esempi di attacchi di cyberwar

Tra le categorie principali di attacchi di guerra informatica i principali possiamo classificarli in sette categorie:

  1. spionaggio
  2. sabotaggio
  3. attacchi DoS (Denial-of-service)
  4. attacchi alla rete elettrica
  5. attacchi di propaganda
  6. attacco all’ economia
  7. attacchi a sorpresa

Analizziamoli nel dettaglio per capire di cosa si tratta e come funzionano.

Spionaggio

Si riferisce al monitoraggio di altri paesi per rubare segreti.

Nella guerra informatica, questo può comportare l’uso di botnet, una rete di computer controllata e composta da dispositivi infettati da malware specializzato, detti bot, o attacchi di spear phishing, una truffa tramite comunicazioni elettroniche o e-mail indirizzata a una persona, un’organizzazione o un’azienda specifica per compromettere i sistemi informatici sensibili prima di esfiltrare informazioni sensibili.

WHITEPAPER
Cosa fare per migliorare l’analisi dei contenuti abbassando i costi operativi?
Datacenter
Software

Sabotaggio

Le organizzazioni governative devono determinare se le informazioni sensibili, e i rischi, vengano compromessi.

Governi ostili o terroristi possono rubare le informazioni, distruggerle, o fare leva su minacce interne come dipendenti insoddisfatti o negligenti, o dipendenti governativi con affiliazione al paese attaccante.

Attacchi DoS (Denial-of-service)

Gli attacchi DoS impediscono agli utenti legittimi di accedere a un sito web inondandolo di richieste false e costringendo il sito web a gestire queste richieste.

Questo tipo di attacco può essere utilizzato per interrompere operazioni e sistemi critici e bloccare l’accesso a siti web sensibili da parte di civili, militari e personale di sicurezza, o enti di ricerca.

Attacchi alla rete elettrica

Attaccare la rete elettrica permette agli aggressori di disabilitare i sistemi critici, interrompere le infrastrutture e potenzialmente provocare danni fisici.

Gli attacchi alla rete elettrica possono anche interrompere le comunicazioni e rendere inutilizzabili servizi come messaggi di testo e comunicazioni.

Attacchi di propaganda

Si sostanziano in tentativi di controllare le menti e i pensieri delle persone che vivono o combattono per un paese bersaglio.

La propaganda può essere usata per esporre verità imbarazzanti, diffondere bugie per far perdere reputation alla vittima, e alle persone la fiducia nel proprio paese, o schierarsi con i nemici.

Attacco all’ economia

La maggior parte dei sistemi economici moderni opera tramite computer.

Gli aggressori possono prendere di mira le reti di computer degli istituti economici come i mercati azionari, i sistemi di pagamento, o le banche, per rubare denaro o bloccare le persone dall’accesso ai fondi di cui hanno bisogno.

Attacchi a sorpresa

Lo scopo di questi attacchi è quello di effettuare un attacco massiccio che il nemico non si aspetta, permettendo all’attaccante di indebolire le sue difese. Può essere eseguito per preparare il terreno per un attacco fisico nel contesto della guerra ibrida.

Guerra ibrida: ecco la strategia dei cyber attacchi russi

Esempi di operazioni di guerra cibernetica

Di seguito, invece, riportiamo i dettagli di alcune delle più famose operazioni di guerra cibernetica di cui si ha notizia.

Virus Stuxnet

Stuxnet è un worm che ha attaccato il programma nucleare iraniano.

È tra i più sofisticati attacchi informatici della storia. Il malware si è diffuso attraverso dispositivi Universal Serial Bus infetti e ha preso di mira l’acquisizione dei dati e i sistemi di controllo di supervisione. Secondo la maggior parte dei rapporti, l’attacco ha seriamente danneggiato la capacità dell’Iran di produrre armi nucleari.

L’hack di Sony Pictures

Un attacco alla Sony Pictures ha seguito l’uscita del film “The Interview”, che presentava un ritratto negativo di Kim Jong Un.

L’attacco è attribuibile a hacker del governo nordcoreano. L’FBI è risalita a questo collegamento perché ha trovato somiglianze con precedenti attacchi malware dei nordcoreani, incluso il codice, gli algoritmi di crittografia e i meccanismi di cancellazione dei dati.

Fancy Bear

Il gruppo russo di criminalità informatica organizzata, Fancy Bear, ha preso di mira le forze missilistiche e l’artiglieria ucraina tra il 2014 e il 2016. Il malware è stato diffuso tramite un’applicazione Android infetta utilizzata dall’unità di artiglieria D-30 Howitzer per gestire i dati di puntamento.

Gli ufficiali ucraini hanno fatto largo uso dell’app, che conteneva lo spyware X-Agent. Questo è considerato un attacco di grande successo, che ha portato alla distruzione di oltre l’80% degli obici, un’arma da fuoco di artiglieria, D-30 dell’Ucraina.

Cyberwar: gli attacchi informatici all’Ucraina erano stati pianificati da tempo

Come combattere la guerra cibernetica

Lo status giuridico di questo nuovo campo non è ancora chiaro, poiché non esiste una legge internazionale che regoli l’uso delle armi cibernetiche. Tuttavia, questo non significa che la guerra cibernetica non sia affrontata dalla legge.

Una risposta la troviamo attraverso il Cooperative Cyber Defense Center of Excellence (CCDCoE), il quale ha pubblicato il Tallinn Manual, un manuale che affronta rare ma gravi minacce informatiche. Questo manuale spiega quando gli attacchi informatici violano il diritto internazionale e come i paesi possono rispondere a tali violazioni.

Le valutazioni del rischio con i wargame cibernetici

Il modo migliore per valutare la prontezza di una nazione per la guerra cibernetica è quello di condurre un esercizio o una simulazione di vita reale, noto anche come cyber wargame.

Un wargame può testare il modo in cui i governi e le organizzazioni private rispondono a uno scenario di guerra informatica, esporre le lacune nelle difese e migliorare la cooperazione tra le entità. Soprattutto, un wargame può aiutare i difensori a imparare come agire rapidamente per proteggere le infrastrutture critiche e salvare vite umane.

I wargame informatici possono aiutare le città, gli stati o i paesi a migliorare la preparazione per la guerra informatica in diversi modi:

  1. testando diverse situazioni, come il rilevamento degli attacchi nelle fasi iniziali, o la mitigazione dei rischi dopo che l’infrastruttura critica è già stata compromessa;
  2. testando scenari insoliti: gli attacchi non sono mai condotti “da manuale”. Lo si può fare stabilendo una squadra rossa che agisce come gli attaccanti e cerca di trovare modi creativi per violare un sistema bersaglio, i difensori possono imparare come mitigare le minacce reali;
  3. attraverso la divisione del lavoro e meccanismi di cooperazione: la guerra cibernetica richiede la collaborazione di molti individui di diverse organizzazioni e unità governative. Un cyber wargame può riunire queste persone, che potrebbero non conoscersi, e aiutarle a decidere come lavorare insieme in caso di crisi.
  4. migliorando le politiche: i governi possono stabilire politiche di guerra cibernetica, ma hanno bisogno di testarle nella pratica. Un wargame informatico può testare l’efficacia delle politiche e fornire un’opportunità per migliorarle.

L’importanza della difesa a strati

Sotto la pressione della guerra cibernetica, i governi di molti paesi hanno emesso politiche operative di sicurezza nazionale per proteggere le loro infrastrutture informatiche. Queste politiche usano tipicamente un approccio di difesa a più livelli, che include:

  • proteggere l’ecosistema informatico;
  • aumentare la consapevolezza della sicurezza informatica;
  • promuovere standard aperti per combattere le minacce informatiche;
  • implementare un quadro nazionale di garanzia della sicurezza informatica;
  • lavorare con le organizzazioni private per migliorare le loro capacità di sicurezza informatica;
  • proteggere il settore privato.

Un fattore strategico nella guerra informatica è la resilienza delle imprese locali agli attacchi informatici. Le imprese devono rafforzare le loro misure di sicurezza per ridurre i vantaggi di un attacco a uno stato-nazione.

Cyberwarfare aziendale

Le misure per garantire la cyber sicurezza aziendale, che possono promuovere la sicurezza nazionale, e la ricchezza del paese:

  1. creare ostacoli alla violazione della rete;
  2. utilizzare firewall di applicazioni web (WAF) per rilevare rapidamente, indagare e bloccare il traffico dannoso;
  3. rispondere rapidamente a una violazione e ripristinare le operazioni aziendali;
  4. attraverso la facilitazione e la cooperazione tra i settori pubblico e privato;
  5. si possono usare gli hacker locali come risorsa per aiutare a proteggere dalle minacce informatiche straniere;
  6. utilizzare un WAF, un web Application Firewall, che previene gli attacchi con un’analisi di livello mondiale del traffico web verso le tue applicazioni;
  7. attraverso le runtime application Self-Protection (RASP), le quali rilevano e prevengono gli attacchi in tempo reale dall’ambiente runtime delle applicazioni, ovunque vadano le applicazioni;
  8. utilizzando API Security, la protezione automatica delle API assicura che gli endpoint API siano protetti quando vengono pubblicati, proteggendo le applicazioni dallo sfruttamento;
  9. Advanced Bot Protection, i quali prevengono gli attacchi alla logica aziendale da tutti i punti di accesso: siti web, app mobili e API;
  10. con la protezione DDoS, la quale blocca il traffico di attacco all’estremità per assicurare la continuità del business con tempi di attività garantiti e nessun impatto sulle prestazioni;
  11. con l’attack analytics che assicura una visibilità completa con l’apprendimento automatico e l’esperienza di dominio attraverso lo stack di sicurezza delle applicazioni.

Infine è molto importante l’analisi del rischio dei dati automatizza, la quale rileva comportamenti di accesso ai dati non conformi, rischiosi o dannosi in tutti i database a livello aziendale per accelerare il rimedio.

Conclusione

La sicurezza dal punto di vista cibernetico è essenziale, difendendo la rete proteggiamo anche la ricchezza delle nazioni, la Whealth of Nations, ma conserviamo, fondamentalmente, anche la nostra ricchezza personale da un nemico molto invisibile ma molto concreto.

WHITEPAPER
Quali caratteristiche delle VDI garantiscono un aumento di produttività
Datacenter
Virtualizzazione
@RIPRODUZIONE RISERVATA

Articolo 1 di 5