Attacco Informatico

Voci di Glossario Sicurezza Informatica
Indice dei contenuti

    Un attacco informatico è qualsiasi azione intenzionale e deliberata compiuta da un attore malevolo (threat actor) per compromettere la sicurezza di un sistema informatico, di una rete o di dati, violando almeno una delle proprietà della Triade CIA. Si distingue da un incidente accidentale per la presenza di intento doloso e per la pianificazione di fasi di esecuzione. La superficie d’attacco è l’insieme di tutti i punti di ingresso che un attaccante può tentare di sfruttare: interfacce esposte, vulnerabilità software, credenziali deboli, comportamenti umani.

    Framework di modellazione

    Due framework complementari descrivono la struttura degli attacchi.

    La Cyber Kill Chain (Lockheed Martin, 2011) modella gli attacchi avanzati come una sequenza di sette fasi: ReconnaissanceWeaponizationDeliveryExploitationInstallationCommand & ControlActions on Objectives. Interrompere la catena in qualsiasi punto vanifica l’attacco: il valore del framework è orientare le difese su ogni fase, non solo sul perimetro.

    Il MITRE ATT&CK è una knowledge base di tattiche, tecniche e procedure (TTP) osservate in attacchi reali, organizzata in 14 tattiche che coprono l’intero ciclo di vita dell’attaccante dalla ricognizione all’impatto finale. È il riferimento operativo per la threat intelligence, il red teaming e la detection engineering.

    Categorie principali

    Gli attacchi si classificano per tecnica: attacchi di rete (Man-in-the-Middle, DDoS, ARP spoofing, DNS cache poisoning), attacchi applicativi (SQL Injection, XSS, CSRF, Path Traversal), attacchi crittografici (brute force, dictionary attack, downgrade attack) e attacchi di ingegneria sociale (phishing e varianti, pretexting, baiting).

    Advanced Persistent Threat

    Gli APT (Advanced Persistent Threat) sono la categoria più sofisticata: attori ben finanziati — spesso nation-state — che usano exploit 0-day, strumenti personalizzati e tecniche di evasione avanzate, mantenendo una presenza silenziosa nella rete del target per mesi o anni prima di essere scoperti. Il tempo medio di permanenza (dwell time) è storicamente attorno ai 200 giorni. Esempi documentati: Stuxnet (2010), SolarWinds (2020), NotPetya (2017).

    Metriche di rischio

    Il rischio di un attacco si misura come prodotto di probabilità e impatto. Il modello FAIR (Factor Analysis of Information Risk) lo formalizza come: Risk=Threat Event Frequency×Vulnerability×Loss Magnitude\text{Risk} = \text{Threat Event Frequency} \times \text{Vulnerability} \times \text{Loss Magnitude}. La riduzione del rischio interviene su entrambe le variabili: la probabilità si riduce con patch management, hardening e formazione; l’impatto si riduce con backup, segmentazione di rete e piani di incident response.

    Vedi anche: Advanced Persistent Threat, MITRE ATT&CK, Cyber Kill Chain.

    Ultimo aggiornamento: