{"id":25755,"date":"2021-10-11T15:50:35","date_gmt":"2021-10-11T13:50:35","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=25755"},"modified":"2022-05-05T12:27:24","modified_gmt":"2022-05-05T10:27:24","slug":"most-common-initial-attack-vectors","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/most-common-initial-attack-vectors\/25755\/","title":{"rendered":"I pi\u00f9 comuni vettori di attacco"},"content":{"rendered":"

Varie aziende si rivolgono spesso ai nostri esperti per ottenere l\u2019assistenza di emergenza con Risposta agli Incidenti<\/a>, per condurre (o aiutare a condurre) indagini, o per analizzare gli strumenti dei criminali informatici. Nel corso del 2020, abbiamo raccolto una grande quantit\u00e0 di dati<\/a> per ottenere una visione del panorama delle minacce moderne, il che ci aiuta a prevedere gli scenari di attacco pi\u00f9 probabili, compresi i vettori di attacco iniziali pi\u00f9 comuni, e a scegliere le migliori tattiche difensive.<\/p>\n

Quando indaghiamo un cyberincidente, prestiamo sempre particolare attenzione al vettore di attacco iniziale. In parole povere, la via d\u2019accesso \u00e8 un punto debole, e per evitare che si ripeta, \u00e8 essenziale identificare i punti deboli dei sistemi di difesa.<\/p>\n

Purtroppo, questo non \u00e8 sempre possibile. In alcuni casi, trascorre troppo tempo tra l\u2019incidente e il suo rilevamento; in altri, la vittima non ha tenuto i registri o ha distrutto le tracce (accidentalmente o intenzionalmente).<\/p>\n

A complicare le cose, quando i criminali informatici attaccano attraverso la supply chain<\/a>, un metodo sempre pi\u00f9 usato, il vettore iniziale non rientra nella sfera di competenza della vittima finale, ma piuttosto in quella di un terzo sviluppatore di programmi o fornitore di servizi. Tuttavia, i nostri esperti sono stati in grado di determinare con precisione il vettore di attacco iniziale, in pi\u00f9 della met\u00e0 degli incidenti.<\/p>\n

Primo e secondo posto: forza bruta e sfruttamento di applicazioni accessibili al pubblico<\/h2>\n

Gli attacchi di forza bruta e lo sfruttamento di vulnerabilit\u00e0 in applicazioni e sistemi accessibili dall\u2019esterno del perimetro aziendale condividono i primi due posti. Ognuno di essi \u00e8 stato il vettore iniziale di penetrazione nel 31,58% dei casi.<\/p>\n

Come abbiamo osservato negli anni precedenti, nessun altro metodo \u00e8 cos\u00ec efficace nel lanciare un attacco come lo sfruttamento delle vulnerabilit\u00e0. Un\u2019analisi pi\u00f9 dettagliata delle vulnerabilit\u00e0 sfruttate suggerisce che \u00e8 attribuibile principalmente alla mancata installazione tempestiva degli aggiornamenti da parte delle aziende; al momento degli attacchi, le patch erano gi\u00e0 disponibili per ogni singola vulnerabilit\u00e0 e la loro semplice applicazione avrebbe protetto le vittime.<\/p>\n

La transizione di massa delle aziende allo smart working e l\u2019uso di servizi di accesso da remoto spiegano l\u2019aumento della popolarit\u00e0 degli attacchi di forza bruta. Nel fare la transizione, molte organizzazioni non sono riuscite ad affrontare adeguatamente le questioni di sicurezza e, di conseguenza, il numero di attacchi alle connessioni remote \u00e8 aumentato praticamente da un giorno all\u2019altro. Per esempio, il periodo da marzo a dicembre 2020 ha visto un aumento del 242%<\/a> degli attacchi di forza bruta basati su RDP.<\/p>\n

Terzo posto: e-mail dannose<\/h2>\n

Nel 23,68% dei casi, il vettore di attacco iniziale era un\u2019e-mail dannosa, attraverso un malware allegato o sotto forma di phishing. Gli operatori di attacchi mirati e i mittenti di e-mail di massa hanno usato a lungo entrambi i tipi di messaggi dannosi.<\/p>\n

Quarto posto: drive-by compromise<\/h2>\n

A volte i cybercriminali cercano di ottenere l\u2019accesso al sistema utilizzando un sito web che la vittima visita periodicamente o su cui clicca per caso. Per utilizzare una tattica del genere, che abbiamo rilevato in alcuni attacchi APT complessi<\/a>, i criminali informatici, generalmente, inseriscono nel sito script in grado di sfruttare una vulnerabilit\u00e0 del browser e poter eseguire codice dannoso sul computer della vittima, oppure ingannano la vittima cos\u00ec da scaricare e installare il malware. Nel 2020, \u00e8 stato il vettore di attacco iniziale nel 7,89% dei casi.<\/p>\n

Quinto e sesto posto: unit\u00e0 portatili e insider<\/h2>\n

L\u2019uso di chiavette USB per infiltrarsi nei sistemi aziendali \u00e8 diventato raro. Oltre al fatto che i virus che infettano le chiavette USB appartengono in gran parte al passato, la tattica di far utilizzare a qualcuno una chiavetta USB dannosa non \u00e8 molto affidabile. Tuttavia, questo metodo ha rappresentato il 2,63% delle penetrazioni iniziali della rete.<\/p>\n

Gli insider hanno causato la stessa percentuale (2,63%) di incidenti. Si tratta di impiegati che, per motivi vari, volevano danneggiare la propria azienda.<\/p>\n

Come minimizzare la probabilit\u00e0 di un incidente informatico e le sue conseguenze<\/h2>\n