La modalità di attacco si riferisce alle tattiche, alle tecniche e alle procedure (TTP) utilizzate dagli aggressori per ottenere l'accesso non autorizzato a un sistema o per causare danni. È la misura principale per sapere quali strategie e tecniche vengono utilizzate dagli attori malintenzionati per sfruttare le debolezze di un sistema o per ottenere l'accesso a dati sensibili. La comprensione dei vari metodi di attacco aiuterà le organizzazioni a sviluppare misure di sicurezza più efficaci per proteggere i loro sistemi dagli attori malintenzionati.
Esistono molti tipi di attacco, come gli attacchi basati sulla rete, gli attacchi a livello di applicazione e gli attacchi fisici. Gli attacchi basati sulla rete comportano lo sfruttamento delle vulnerabilità di una rete per ottenere un accesso non autorizzato, mentre gli attacchi a livello di applicazione mirano ad applicazioni o database per ottenere l'accesso alle informazioni o interrompere le operazioni. Gli attacchi fisici comportano la manomissione fisica di un sistema o dei suoi componenti.
I vettori di attacco comuni includono il phishing via e-mail, il codice maligno e l'ingegneria sociale. Il phishing via e-mail comporta l'invio di e-mail dannose che sembrano provenire da fonti legittime al fine di ottenere informazioni sensibili. Il codice maligno comprende virus, worm e cavalli di Troia che possono essere utilizzati per infettare un sistema e rubare informazioni o interrompere le operazioni. L'ingegneria sociale è l'uso dell'inganno per convincere una persona a divulgare informazioni riservate o a eseguire azioni indesiderate.
Gli aggressori utilizzano una serie di tecniche per ottenere l'accesso a un sistema o causare danni. Queste tecniche includono lo sfruttamento delle vulnerabilità del software, l'utilizzo di attacchi brute force, l'indovinare le password e l'utilizzo di attacchi denial of service. Lo sfruttamento delle vulnerabilità del software implica lo sfruttamento dei punti deboli di un sistema per ottenere l'accesso, mentre gli attacchi a forza bruta prevedono l'utilizzo di strumenti automatici per indovinare le password. L'indovinare le password comporta l'utilizzo di ipotesi istruttive per accedere a un sistema, mentre gli attacchi di negazione del servizio comportano l'inondazione di traffico su un sistema al fine di sopraffarlo e interromperne le operazioni.
Gli aggressori utilizzano una serie di strumenti per sfruttare i sistemi. Questi strumenti includono scanner di porte, scanner di vulnerabilità e strumenti di cracking delle password. Gli scanner di porte vengono utilizzati per identificare le porte aperte di un sistema che possono essere sfruttate, mentre gli scanner di vulnerabilità vengono utilizzati per identificare le vulnerabilità del sistema che possono essere sfruttate. Gli strumenti di cracking delle password sono utilizzati per indovinare le password e ottenere l'accesso a un sistema.
Le organizzazioni possono adottare misure preventive per proteggere i propri sistemi dagli attacchi. Queste misure includono l'implementazione di misure di controllo dell'accesso sicuro, l'applicazione regolare di patch ai sistemi e l'utilizzo di firewall. Le misure di controllo degli accessi sicuri garantiscono che solo gli utenti autorizzati abbiano accesso a un sistema, mentre il patching regolare dei sistemi assicura la correzione delle vulnerabilità note. I firewall possono essere utilizzati per impedire l'accesso non autorizzato a un sistema.
Le organizzazioni devono anche essere in grado di rilevare gli attacchi per potervi rispondere in modo tempestivo. I metodi di rilevamento degli attacchi includono l'uso di sistemi di rilevamento delle intrusioni, il monitoraggio dei log e il monitoraggio del traffico di rete. I sistemi di rilevamento delle intrusioni vengono utilizzati per rilevare attività dannose su un sistema, mentre il monitoraggio dei registri viene utilizzato per monitorare l'attività di un sistema alla ricerca di comportamenti sospetti. Il monitoraggio del traffico di rete viene utilizzato per rilevare il traffico dannoso su una rete.
8. Le organizzazioni devono essere in grado di rispondere agli attacchi per ridurre al minimo i danni e proteggere i propri sistemi. Le misure di risposta comprendono il contenimento dell'attacco, il recupero dall'attacco e l'apprendimento dall'attacco. Il contenimento dell'attacco comporta l'isolamento dei sistemi colpiti, mentre il recupero dell'attacco comporta il ripristino dei dati persi e la riparazione dei danni causati dall'attacco. Imparare dall'attacco significa capire cosa è successo e implementare misure per prevenire attacchi simili in futuro.
Le cinque fasi di un attacco sono:
1. Ricognizione: In questa fase, l'attaccante raccoglie informazioni sul sistema bersaglio per pianificare l'attacco. Queste informazioni possono essere raccolte manualmente o attraverso strumenti automatici.
2. Scansione ed enumerazione: In questa fase, l'attaccante utilizza strumenti automatizzati per scansionare il sistema bersaglio alla ricerca di porte e servizi vulnerabili. L'attaccante enumera quindi questi servizi per ottenere ulteriori informazioni sul sistema.
3. Sfruttamento: In questa fase, l'aggressore utilizza degli exploit per ottenere l'accesso al sistema di destinazione. L'aggressore può anche utilizzare tecniche di social engineering per indurre gli utenti a concedergli l'accesso.
4. Escalation dei privilegi: In questa fase, l'aggressore tenta di ottenere privilegi elevati sul sistema di destinazione. Ciò avviene per ottenere l'accesso a dati sensibili o per eseguire operazioni che altrimenti non sarebbero disponibili.
5. Pulizia: In questa fase, l'aggressore copre le proprie tracce cancellando o modificando registri, file e altre prove della propria attività. Ciò viene fatto per evitare il rilevamento e per rendere più difficile agli investigatori rintracciare l'attaccante.
Esistono tre tipi principali di attacchi a una rete: denial of service, man-in-the-middle e session hijacking.
Un attacco di negazione del servizio è progettato per impedire agli utenti legittimi di accedere a una risorsa, come un sito web. Di solito si ottiene inondando il bersaglio di richieste, sovraccaricando le sue risorse e impedendogli di rispondere alle richieste legittime.
Un attacco man-in-the-middle è un tipo di attacco di intercettazione in cui l'aggressore intercetta le comunicazioni tra due parti e si spaccia per l'altra. L'aggressore è in grado di leggere, modificare e riprodurre le comunicazioni tra le due parti, senza che nessuna di esse sia a conoscenza dell'attacco in corso.
Un attacco di tipo session hijacking è un tipo di attacco in cui l'attaccante si appropria di una sessione attiva tra due parti. L'attaccante è in grado di impersonare una delle parti e di accedere alle risorse a cui ha accesso quella parte.