La sicurezza dei sistemi e delle reti informatiche è essenziale in un mondo moderno come il nostro fortemente interconnesso (infatti questo periodo storico viene chiamato “età dell’informazione”) e molte delle nostre attività quotidiane, per essere svolte, utilizzano le reti informatiche. Proteggere le reti informatiche, quindi, è assolutamente critico ed essenziale. É come costruire una bella casa piena di rifiniture (servizi via internet) e lasciare la porta di servizio aperta (sicurezza). Non proprio un’idea smart.
Nell’articolo vedremo cosa siano le reti informatiche, di cosa si occupino i tecnici delle reti informatiche, quali siano le minacce alle reti informatiche per gli utenti e per le aziende e come questi soggetti possano proteggersi.
Reti informatiche: cosa sono
Le reti informatiche sono lo strumento per collegare qualsiasi dispositivo in grado di comunicare. La più grande rete attualmente esistente è chiamata Internet (anche se sarebbe più corretto dire che Internet è un insieme di reti interconnesse) e si estende su tutto il globo.
Tecnico delle reti informatiche: di cosa si occupa
Il tecnico delle reti informatiche è una figura che si occupa della sicurezza delle reti informatiche. Solitamente la sicurezza delle reti informatiche è un aspetto che va ad arricchire altre professioni dell’IT già esistenti, nonostante questo, però, esistono professioni IT specifiche del settore sicurezza informatica. Alcuni esempi:
- IT Forensics: il RIS dell’IT;
- Threat hunter: l’equivalente degli investigatori;
- IT Security Analyst: figura più generica che si occupa di controllare e coordinare la sicurezza.
Spesso, nei contesti aziendali, alcune – o tutte, a seconda delle esigenze – di queste figure sono concentrate in una specifica unità organizzativa: il SOC (Security Operations Center).
Minacce informatiche per gli utenti: malware e phishing
Le minacce informatiche per gli utenti sono molteplici e sempre in evoluzione. Senza andare troppo nel tecnico possiamo elencarne le principali:
- malware: software scritto appositamente per eseguire azioni malevole ad insaputa dell’utente;
- phishing (neologismo che ricorda “pescare”): tecniche in grado di ingannare l’utente facendogli credere di essere in una pagina web “legittima” (come quella di una banca on line o il portale per controllare le proprie e-mail e simili). L’utente si fiderà ed inserirà le sue credenziali che, però, saranno inviate ad un hacker. Il phishing è uno dei metodi più comuni di infezione e anche uno dei più pericolosi.
Minacce informatiche per le aziende: gli attacchi DoS e DDoS
Per le aziende le principali minacce informatiche sono rappresentate dagli attacchi DoS e DDoS.
DoS è l’acronimo di “Denial of service”, ovvero negazione del servizio. Di solito applicato ai server web, gli attacchi informatici DoS permettono di “inondare” di richieste un server, il quale non può riconoscere quali di queste richieste provengano da persone reali e quali, invece, siano automatiche ed esaurisce le risorse a disposizione nel tentativo di servire tutti. Per spiegarlo in parole semplici, possiamo pensare ad una pizzeria che viene inondata di ordini telefonici, non tutti reali, ed esaurisce la pasta per la pizza prima del tempo cercando di rispondere sia alle richieste reali che a quelle non reali, non potendo capire la differenza.
Tornando agli attacchi DoS, ricevendo troppe richieste, il server web (o la pizzeria, per ricollegarci all’esempio precedente) non può più svolgere la sua funzione. Gli attacchi DoS sono tecnicamente semplici da effettuare e si verificano di continuo, anche contro le società più grandi, infatti non sono mancati casi eclatanti. Esistono delle tecniche di difesa contro gli attacchi DoS che permettono di “mitigarne” gli effetti rendendo gli attacchi DoS molto meno efficaci oppure molto costosi per l’attaccante.
Gli attacchi DDoS, invece, presentano lo stesso obiettivo degli attacchi DoS – ossia negare il servizio – ma una scala differente. Gli attacchi DoS vengono eseguiti da un attaccante, mentre i DDoS sono “distribuiti” (da qui la prima “D”), ovvero eseguiti da più attaccanti. E’ irrilevante se la “mente” dietro un attacco DDoS sia sempre la stessa, la questione è solo tecnica.
Sicurezza delle reti informatiche: come proteggersi dagli attacchi informatici
Non esiste un unico e solo metodo, ma ci sono diversi strati di protezione, anche a seconda delle esigenze. Ci sono, però, alcuni aspetti comuni in tutte le casistiche:
- Difesa in profondità o difesa a livelli: qualsiasi rete di comunicazione è strutturata in livelli, ciascuno dei quali gestito da un dispositivo. Ad esempio: il “punto di contatto” tra la rete di casa ed internet è il router. Ognuno di questi livelli deve avere la sua protezione.
- Isolamento: come linea generale, non deve essere possibile accedere direttamente (tranne casi specifici da gestire separatamente, come i server web di un’azienda o un sito casalingo) ad una rete dall’esterno, ma solo al contrario. Questo per quanto possa sembrare controintuitivo è il modo migliore per proteggersi. I moderni router casalinghi (che hanno anche un firewall integrato) hanno già questo meccanismo attivato (chiamato NAT). Per le reti aziendali, invece, non sempre è possibile ottenere questo risultato in quanto spesso erogano dei servizi all’esterno. In questo caso entrano in gioco altri dispositivi di sicurezza (come WAF ed IDS/IPS).
- Proattività: la sicurezza è una faccenda complicata e spesso possono sfuggire alcuni comportamenti che avvengono all’interno della rete. Ciò che può fare l’utente medio è:
- tenere sempre aggiornati sistema operativo, antivirus e anti-malware;
- se possibile tenere aggiornato anche il router casalingo;
- non scaricare software piratato! Qualche euro risparmiato potrebbe farvi beccare un malware e potreste perdere i vostri documenti.
In contesti aziendali è necessario, oltre a quanto detto per l’utente medio:
- implementare delle politiche di controllo e revisione periodica di tutti gli accessi ai servizi ed alle reti aziendali;
- inserire nella rete degli strumenti di analisi del traffico in grado di individuare le più comuni intrusioni (IDS/IPS);
- avere la possibilità di ingaggiare un team (anche esterno) in grado di gestire situazioni di emergenza.
Redatto da Lucia D’Adamo, in collaborazione con Fabio Toscano