Documentazione Certificati Sviluppatori
App Cryptea
Introduzione a Cryptea
Funzionalità
Codice sorgente Java
Certification Authority
Formato Cryptea
Deploy e Configurazione
Codici di errore
Cryptea Desktop
Cos'è Cryptea Desktop?
Guida all'installazione
Funzionalità di Cryptea Desktop
Cryptea Tools
Cos'è Cryptea Tools?
Struttura classi e metodi
Installazione con Maven
Sicurezza Informatica
Introduzione alla Cybersecurity
Attacchi e minacce
Incidenti e vulnerabilità
Approfondimento sui Malware
Strategie di attacco
Strategie di difesa
Attacchi informatici noti
Tecniche di Crittografia
Introduzione alla Crittografia
Crittografia Simmetrica
Crittografia Asimmetrica
RSA
Gestione dei blocchi
Sicurezza e integrità
Digest e calcolo Hash
Firma Digitale
Tutorial
Guida rapida per iniziare
Login e Registrazione
Dashboard web
Cifratura, Decifratura e Simulazione
Gestione delle chiavi RSA
Gestione dei Certificati
Account, Sicurezza e Token

Strategie di difesa.

DocumentazioneSicurezza Informatica

In una situazione di attacco, chi difende è sempre in svantaggio, per diverse ragioni:

  • chi difende deve rispettare la legge, chi attacca la infrange

  • gli attacchi informatici sono silenziosi, a volte impercettibili

  • gli attacchi possono essere veloci ed imprevedibili, sfruttando vulnerabilità poco note o di tipologia zero-day

  • i malware possono sopravvivere per anni

Come difendersi?

È compito del difensore ottimizzare le delineare il "campo di battaglia", cioè definire una whitelist e bloccare tutto il resto. Fra i compiti rientrano:

  • organizzare la rete e configurare sistemi di difesa come firewall, autorizzazione e DMZ

  • variare la topologia di rete per renderne difficile l'individuazione e il funzionamento

  • predisporre della trappole, le honeypot, che illudono l'attaccante. I suoi metodi, strumenti e tecniche vengono studiate dal difensore

Linee guida del NIST

Per le tecniche di difesa, il Cybersecurity Framework (CSF) 2.0, gestito dal NIST (National Institute of Standards and Technology), ha creato delle linee guida, descrivibili con il "Incident Response Life Cycle".

NIST

Incident Response Life Cycle

È un modello che gestisce gli incidenti informatici. Analizzando la figura, possiamo notare la sua composizione:

  • a destra, indica la preparazione all'incidente e la pianificazione

  • a sinistra, indica il ciclo di vita della risposta, con azioni pratiche da intraprendere in caso di attacco per contrasto e mitigazione

Fasi di esecuzione

Fase di Preparazione

È la fase pre-incidente, che consiste nella preparazione al contrasto. Prevede 3 fasi:

  1. Govern: individuare strategie di sicurezza più adatte. Si definiscono anche i regolamenti e le linee guida (policy). Comprende anche una fase di formazione e sensibilizzazione.

  2. Identify: valutare i rischi, debolezze e vulnerabilità dei sistemi. Si valuta anche l'eventuale impatto dell'incidente, valutando anche errori in precedenza.

  3. Protect: Individuate le vulnerabilità, vengono intraprese misure di prevenzione per contenere e mitigare i rischi da potenziali attacchi.

Fase di Risposta

  1. Detect: rilevazione ed identificazione di eventi sospetti o anomalie, come sintomo di un attacco. Può essere impiegata anche l'Intelligenza Artificiale.

  2. Respond: la risposta all'attacco, che può comprendere diverse azioni:

    • Containment: isolare i sistemi colpiti, informando l'organizzazione. Potrebbe portare a downtime
    • Eradication: mitigazione della minaccia rimuovendo i software dannosi, pulendo i file infetti e correggendo le vulnerabilità. Si utilizzano anche gli indicatori di compromissione per analizzare i comportamenti di un malware.

  3. Recovery: fase di riparazione e ritorno dei sistemi alla normalità. Comprende:

    • Recupero dei dati: attraverso l'uso di un backup o di un punto di ripristino del sistema in uno stato precedente
    • Analisi post-incidente: indagare sulle cause e riflettere sui danni provocati

Sentinelle di difesa

Possiamo identificare diversi attori nel panorama della cybersecurity che contribuiscono nella difesa dei sistemi.

  • SIEM: Security Information and Event Management, raccoglie e organizza i dati provenienti dalla rete. Lavora come una sentinella attiva nell'analisi del traffico.

  • SOC: Security Operations Center, esamina le informazioni raccolte da SIEM, individuando eventuali minacce.

  • CERT: Computer Emergency Response Team, sulla base dei dati raccolti dai precedenti, sviluppa una strategia di difesa.

Tutti e tre i sistemi possono comprendere anche l'uso di strumenti di Intelligenza Artificiale per un'analisi più accurata e più rapida dei dati elaborati.