La cybersecurity è la pratica di implementare persone, politiche, processi e tecnologie per proteggere le organizzazioni, i loro sistemi critici e le informazioni sensibili dagli attacchi digitali (Gartner, 2024).
Le azioni nemiche da combattere nella cybersecurity sono gli attacchi informatici: un tentativo deliberato e non autorizzato di violare un sistema informatico, una rete o un dispositivo per rubare, danneggiare, distruggere o alterare informazioni, causare interruzioni di servizio o ottenere un accesso non autorizzato.
Gli attacchi informatici vengono compiuti da varie tipologie di bande criminali organizzate e ben strutturate (ognuna con un obiettivo diverso):
Per i gruppi di cyber crime, che rappresentano l’88% degli attaccanti in Italia (Rapporto Clusit, 2024), l’obiettivo principale è quello di fare soldi con i tuoi soldi. Si tratta di un'azione che mira a compromettere la confidenzialità, l'integrità e la disponibilità (CIA triad) dei dati e dei sistemi informatici aziendali e pubblici (Walkowski, 2019).
Fig. 1 - Rappresentazione del CIA Triad
La cybersecurity rappresenta un pilastro fondamentale nella protezione dei dati e della reputazione aziendale. Vediamo quali sono le tre componenti principali:
Per spiegare l'importanza della cybersecurity facciamo un salto indietro. Siamo nella società romana, i cittadini consideravano la propria dimora un luogo sicuro, protetto dal resto del mondo. Nel mentre aumentavano i furti, scassinamenti e intrusioni. Inizialmente come eventi rari e sporadici, tanto da non essere considerati una minaccia, successivamente come una costante quotidiana. Il problema divenne così importante tanto da essere normato nelle Leggi delle XII tavole del 450 a.C., le prime leggi scritte del diritto romano.
Questo ha comportato un cambiamento sociale radicale nella popolazione tanto da iniziare a proteggere le proprie abitazioni, inizialmente in maniera superficiale, successivamente in maniera articolata, adattando le difese ai nuovi strumenti tecnologici, fino ad arrivare agli ormai comuni sistemi di allarme avanzati, telecamere di sorveglianza, porte blindate e serrature di sicurezza del giorno d'oggi.
Siamo nel 2025, stiamo assistendo alla stessa, identica, dinamica. Questa volta nel cyberspazio e in un contesto imprenditoriale e istituzionale.
Fino a 20 anni fa la sicurezza informatica non era vista come una forte minaccia, non richiedeva importanti investimenti e non aveva una giurisdizione a riguardo. Oggi non è più così. Con oltre 273 attacchi al mese noti che avvengono solo in Italia (Rapporto Clusit, 2024) difendere le proprie infrastrutture aziendali è una priorità assoluta. Una priorità che non può più essere considerata una responsabilità del reparto IT ma una responsabilità del consiglio direttivo che merita una propria allocazione nel budget annuale.
In ballo c'è il futuro della propria azienda e un eventuale danno reputazione, produttivo ed economico stimato in oltre 4,70 milioni di euro per ogni attacco (Cost of a Data Breach Report 2024, IBM). Quindi, non siamo più davanti a una necessità meramente tecnica ma anche legale, obbligatoria per legge e normata da specifiche Direttive Europee. Per questo, in un contesto in cui la digitalizzazione è il motore dell'innovazione, la cybersecurity non è più un optional ma rappresenta un obbligo fondamentale per garantire la continuità operativa, la protezione dei dati e la fiducia dei clienti.
Trattandosi di uno scenario in continua evoluzione e che si evolve al passo con l’innovazione tecnologica il panorama normativo nazionale è in costante aggiornamento e si integra con il corpus normativo europeo. Una forte accelerazione sulla normativa italiana in ambito cybersecurity l'abbiamo avuta con la Direttiva NIS2 (Network and Information Systems Directive), entrata in vigore il 17 ottobre 2024. La Direttiva introduce obblighi stringenti in termini di cybersecurity per un ampio spettro di settori aziendali (ACN, 2024). In Italia, altre importanti giurisdizioni sono:
Questo complesso intreccio di normative nazionali ed europee definisce un quadro normativo sfidante ma necessario per proteggere le infrastrutture critiche, i dati personali e i servizi digitali essenziali per la società e l'economia.
Dall’AI Generativa al quantum computing, i gruppi di cyber criminali sono in costante aggiornamento sfruttando a loro favore l’innovazione tecnologica.
Per questo, le aziende devono affrontare una varietà di minacce multiforme. I sistemi di protezione che fino a qualche anno fa erano efficaci oggi potrebbero non esserlo più. La capacità di adattarsi rapidamente a queste nuove minacce è fondamentale per mantenere la sicurezza. Vediamo nel dettaglio quali sono i tipi di attacchi informatici più comuni e rilevanti:
Questo tipo di malware infetta i sistemi di un'organizzazione, limitando l'accesso ai dati o ai sistemi crittografati fino al pagamento di un riscatto agli attaccanti. In alcuni casi, gli aggressori minacciano di divulgare i dati sensibili se il riscatto non viene corrisposto. Disporre di sistemi di monitoraggio e risposta H24, soluzioni antimalware, aggiornare regolarmente i software, consente di prevenire queste tipologie di attacchi.
Questi attacchi, ora potenziati anche dagli strumenti di intelligenza artificiale generativa, sfruttano tecniche di inganno psicologico per indurre gli utenti legittimi, in possesso di credenziali di accesso valide, a compiere azioni che facilitano l'accesso non autorizzato ai sistemi come cliccare link infetti o fornire dati riservati. Una tattica che sta andando oltre il mondo digitale, con la recente diffusione di QR Code cartacei fraudolenti. Tali azioni possono portare all'esfiltrazione di questi dati, ovvero al trasferimento illecito di informazioni sensibili verso entità esterne.
Queste minacce derivano dall'incapacità delle aziende, dei partner e dei fornitori di implementare misure di sicurezza adeguate per proteggere i servizi cloud o altri servizi esposti su Internet da minacce conosciute. Un esempio sono i browser web, i quali potrebbero essere vulnerabili ad attacchi informatici se non protetti adeguatamente, per questo è importante non salvare le proprie password nel browser.
Restando in tema di password, gli attaccanti spesso utilizzano software specializzati o altre tecniche di hacking per individuare password comuni o riutilizzate, che possono essere sfruttate per ottenere accesso non autorizzato a sistemi, dati o risorse riservate. Per questa ragione, bisogna utilizzare password complesse, non meno di 8 caratteri, con una combinazione di caratteri speciali, maiuscole, minuscole, numeri. È necessario usare password univoche per ogni account, cambiarle ogni tre mesi e utilizzare l'autenticazione a più fattori (MFA) per un doppio controllo di sicurezza.
Gli utenti autorizzati possono, intenzionalmente o accidentalmente, divulgare o utilizzare in modo inappropriato le informazioni o i dati a cui hanno accesso legittimo, compromettendo così la sicurezza delle informazioni. Per le aziende è fondamentale creare una cultura della sicurezza, implementare politiche di accesso e controlli rigorosi per mitigare il rischio di incidenti legati alla divulgazione non autorizzata di dati sensibili.
In questi scenari, i cyber criminali possono intercettare il traffico di rete non protetto o manipolare il flusso di dati, approfittando della mancanza di crittografia dei messaggi sia all'interno che all'esterno del firewall dell'organizzazione. Per prevenire questa tipologia di attacchi è importante usare connessioni crittografate come HTTPS, evitare reti Wi-Fi non sicure, verificare l'autenticità dei siti e delle app e usare strumenti come la VPN. Oltre ad aggiornare regolarmente software e dispositivi per ridurre le vulnerabilità.
Fig. 2 - Rappresentazione attacco man-in-the-middle
Questi attacchi coinvolgono la compromissione di partner, fornitori o altre risorse o sistemi di terze parti, creando un vettore attraverso il quale è possibile attaccare o esfiltrare informazioni dai sistemi aziendali. Oggi è imprescindibile richiedere ai fornitori la conformità agli standard di sicurezza, implementare controlli rigorosi, adottare misure come audit periodici, valutazioni di rischio dettagliate e integrare clausole di sicurezza nei contratti.
Gli attaccanti sovraccaricano i sistemi aziendali, causando un'interruzione o un rallentamento temporaneo delle operazioni. Gli attacchi Distributed Denial-of-Service (DDoS) amplificano questo effetto utilizzando una rete di dispositivi compromessi per inondare i sistemi bersaglio. La mitigazione degli attacchi DDoS richiede un approccio proattivo, multistrato e in continua evoluzione, che tenga conto delle nuove tattiche degli attaccanti e delle specifiche esigenze di ogni organizzazione.
Fig. 3 - Esempio di un attacco DDoS conosciuto come "Smurf Attack"
Il Deep e Dark Web rappresentano un mercato fiorente per attività illegali, inclusa la vendita di dati rubati e strumenti di hacking. Queste aree del web, difficili da monitorare e regolamentare, offrono un rifugio sicuro per criminali informatici e organizzazioni malintenzionate. Per le aziende è fondamentale disporre di strumenti di Cyber Threat Intelligence per identificare potenziali minacce, analizzare i comportamenti degli attaccanti e anticipare le loro mosse.
Nonostante sia un argomento molto discusso, queste aree del web vengono spesso confuse tra di loro. Vediamo nel dettaglio quali sono le principali differenze.
Il deep web, invisible web o hidden web è una parte del World Wide Web i cui contenuti non sono indicizzati dai programmi standard dei motori di ricerca web. Questo è in contrasto con il surface web, che è accessibile a chiunque utilizzi Internet. All'informatico Michael K. Bergman si attribuisce il merito di aver inventato il termine nel 2001 come termine di ricerca-indicizzazione.
I siti del deep web sono accessibili tramite un URL diretto o un indirizzo IP, ma possono richiedere l'inserimento di una password o di altre informazioni di sicurezza per accedere al contenuto effettivo. Tali siti sono utilizzati come web mail, online banking, cloud storage, pagine e profili di social media ad accesso limitato, alcuni forum e linguaggi in codice che richiedono la registrazione per visualizzare i contenuti. Comprendono anche servizi a pagamento come i video on demand e alcune riviste e giornali online.
Il dark web è il contenuto del World Wide Web che esiste sulle darknet: reti che utilizzano Internet ma che richiedono software, configurazioni o autorizzazioni specifiche per l'accesso. Attraverso il dark web, le reti di computer privati possono comunicare e condurre affari in modo anonimo senza divulgare informazioni identificative, come la posizione di un utente. Il dark web costituisce una piccola parte del deep web, la parte del Web non indicizzata dai motori di ricerca, anche se a volte il termine deep web viene erroneamente utilizzato per riferirsi specificamente al dark web.
Le darknet che costituiscono il dark web includono piccole reti peer-to-peer tra amici, così come grandi reti popolari come Tor, Freenet, I2P e Riffle gestite da organizzazioni pubbliche e da singoli individui. Gli utenti del dark web si riferiscono al web normale come Clearnet per la sua natura non criptata. Il dark web Tor o onionland utilizza la tecnica di anonimizzazione del traffico dell'onion routing con il suffisso del dominio di primo livello della rete .onion.
Sfatiamo alcuni dei miti sulla cybersecurity che nella nostra esperienza in CYBEROO abbiamo spesso sentito dire.
Per prevenire gli attacchi informatici e salvaguardare il proprio business, tutte le aziende devono adottare processi di prevenzione e difesa proattiva. Vediamo nel dettaglio le principali best practice per gestire al meglio il rischio cyber.
Innanzitutto, elaborare una strategia di cybersecurity efficace è alla base per proteggersi dagli attacchi informatici. Un aspetto fondamentale di questa strategia è lo sviluppo di processi di sicurezza proattivi, che consentano di individuare potenziali vulnerabilità prima che possano essere sfruttate. Come si fa per il piano di emergenza ed evacuazione aziendale, è necessario disporre in anticipo di un piano di Incident Response dettagliato, che includa procedure per la rapida rilevazione degli incidenti, il loro contenimento, l'eliminazione delle minacce e il ripristino delle normali operazioni. Questi piani devono essere regolarmente testati e aggiornati per tenere conto delle nuove minacce e delle evoluzioni tecnologiche. Tutto questo processo è coordinato dalla figura del Security Advisor Manager (SAM).
L'adozione di sistemi di monitoraggio e risposta attivi, operativi 24/7, assicura una protezione continua e proattiva delle infrastrutture digitali. Questi sistemi combinano tecnologie avanzate di intelligenza artificiale e machine learning con l'esperienza di un team I-SOC sempre operativo per analizzare i flussi di dati in tempo reale, identificando anomalie indicative di attività malevole. La capacità di rispondere immediatamente consente di mitigare le minacce rapidamente, riducendo il tempo di esposizione e limitando i potenziali danni. L'efficacia di tali sistemi si basa sulla loro abilità di adattarsi dinamicamente a nuove tipologie di attacchi, grazie ad aggiornamenti costanti basati su threat intelligence.
Non si può ritenere sicura un'infrastruttura senza monitorare costantemente le minacce emergenti nel Deep e Dark Web. La gestione del rischio informatico si avvale della cyber threat intelligence per anticipare e mitigare le minacce. La raccolta e l'analisi dei dati sulle minacce permettono alle organizzazioni di individuare potenziali vulnerabilità e adottare misure preventive. Integrare la threat intelligence nei processi decisionali strategici consente di sviluppare un approccio proattivo alla sicurezza, migliorando la capacità di risposta agli incidenti e ottimizzando l'allocazione delle risorse di sicurezza. Questo approccio sistemico alla gestione del rischio è cruciale per affrontare efficacemente il panorama delle minacce in continua evoluzione.
Le aziende devono implementare sistemi di Detection che identificano le vulnerabilità e le patch di sicurezza che le correggono. Bisogna considerare, però, che basarsi solo sui servizi di Detection non è sufficiente per difendersi dagli attacchi informatici. Il vero elemento critico nella gestione degli incidenti di sicurezza è la fase di Remediation: l'azione concreta per correggere le debolezze individuate durante la Detection. Questo processo comprende l'identificazione delle vulnerabilità sfruttate, l'applicazione di patch correttive e la revisione delle policy di sicurezza per prevenire future violazioni. L'approccio alla remediation, supportato da una catena del soccorso certificata, non solo mitiga gli effetti immediati di un attacco, ma contribuisce anche al miglioramento continuo del framework di sicurezza dell'organizzazione.
Fig. 4 - Processo di difesa dei servizi Managed Detection and Response
La creazione di una cultura della sicurezza (Security Awareness) all'interno di un'organizzazione è un processo complesso e di lungo termine, che richiede un impegno costante in termini di formazione e sensibilizzazione. La security awareness deve essere integrata in tutti i livelli aziendali, promuovendo una comprensione approfondita delle minacce informatiche e delle pratiche di sicurezza tra i dipendenti. Programmi di formazione regolari, simulazioni di attacchi e aggiornamenti sulle ultime tendenze di minaccia sono strumenti fondamentali per sviluppare una mentalità orientata alla sicurezza. Solo attraverso un cambiamento culturale radicato è possibile ottenere una difesa proattiva e resiliente contro le minacce informatiche.
CYBEROO sottolinea l'importanza di un processo proattivo e olistico, che supera la semplice implementazione tecnologica, promuovendo l'outsourcing come elemento cruciale per una gestione efficace della sicurezza informatica. Attraverso il servizio MDR (Managed Detection & Response), offre un team I-SOC operativo 24/7, dedicato al monitoraggio continuo, all'analisi e alla risposta alle minacce, garantendo una protezione continua.
Questo processo integra avanzati meccanismi di Cyber Threat Intelligence con interventi tempestivi su eventuali anomalie, eliminando qualsiasi zona d'ombra nella difesa delle infrastrutture digitali. In tal modo, le aziende possono focalizzarsi sulle loro attività principali, mentre il team CYBEROO si occupa della loro protezione giorno e notte, tutto l'anno, utilizzando tecnologia all'avanguardia e competenze specialistiche.