CorrieredelWeb.it Arredo&Design Arte&Cultura Cinema&Teatro Eco-Sostenibilità Editoria Fiere&Sagre Formazione&Lavoro Fotografia


IltuoComunicatoStampa ICTechnology Marketing&Comunicazione MilanoNotizie Mostre Musica Normativa TuttoDonna Salute Turismo




Ultime news di Information & Communication Technology

Cerca nel blog

venerdì 24 aprile 2015

Social Engineering. 74 aziende su 100 sono vulnerabili.


Si chiama Social Engineering ed è lo studio del comportamento individuale al fine di carpire informazioni utili.  Una metodologia efficace applicata al penetration testing professionale non ancora sufficientemente sfruttata dalle aziende e tesa a testare il livello di vulnerabilità del personale interno.

Dall'analisi dei servizi di VA e PT erogati nel 2014 da Yarix, azienda leader in Italia nella Sicurezza Informatica, emerge che il 74% delle aziende è vulnerabile ad attacchi condotti sfruttando tecniche di social engineering. Il dato allarmante è indicativo di una forte mancanza di consapevolezza del rischio.

Nel campo della sicurezza informatica, il social engineering (o ingegneria sociale) è l'analisi del comportamento di una persona finalizzata all'estrazione di informazioni utili. Nella sostanza: quando un hacker non riesce a trovare dei bug sfruttabili per attaccare un determinato sistema informatico, un attacco di social engineering può rappresentare una tecnica molto utile per procurarsi le informazioni desiderate. Tale tipologia di attacco presuppone che il social engineer (colui che conduce l'attacco) sfrutti il dolo e l'inganno per portare a termine il suo intento; abile a mascherare la propria identità, fingendosi un'altra persona, egli riesce a ricavare informazioni che non potrebbe mai ottenere con la sua identità reale.
L'attività di social engineering spesso unita a quella di phishing è strutturata in più fasi: la fase preliminare, definita footprinting, nella quale il social engineer si occupa della raccolta delle informazioni sulla vittima e cerca di reperire tutte le informazioni necessarie per condurre l'attacco sul bersaglio individuato; la fase intermedia dove l'ingegnere si occupa di verificare che le informazioni in suo possesso siano attendibili per poi entrare in contatto diretto con la "vittima"; la fase finale coincide con l'attacco vero e proprio, in cui si contatta la vittima per reperire le informazioni. Se la vittima cade nel tranello, il social engineer potrà iniziare una fase di sperimentazione allo scopo di violare il sistema stesso.
Particolarmente minacciosi sono gli APT (Advance Persistent Threat), processi di attacco mirati e sofisticati che seguono schemi precisi, volti a compromettere un obiettivo nel tempo  e che hanno un impatto rilevante sul business, essendo volti a trafugare informazioni strategiche, sabotare l'organizzazione, danneggiare i sistemi. Lo strumento più utilizzato è senza dubbio la telefonata, che viene effettuata utilizzando uno stile vocale adeguato e studiato ad hoc.
I test commissionati a Yarix da diverse aziende – riconosciuti universalmente - sono stati portati avanti dal Red Team Yarix, un' equipe che coinvolge il Programm Manager insieme a tecnici con pluriennale esperienza in Ethical Hacking. I tecnici hanno dimostrato una vulnerabilità complessiva che supera il settanta per cento: le "zone deboli" possono interessare diverse aree dell'azienda, dalla videosorveglianza all'amministrazione fino al reparto tecnico e agire su diversi dati sensibili relativi alla privacy di una persona (password) e a credenziali di accesso relative a sistemi.
Ma quali sono gli obiettivi reali del Social Engineering? E cosa può fare un'azienda dopo aver scoperto i suoi punti di vulnerabilità? Riorganizzare le competenze, agire con dei corsi o dei seminari al fine di sensibilizzare il personale dell'azienda, proporre dei corsi mirati. In questo modo l'intervento sarà servito a potenziare la sicurezza e la protezione di tutti i dati aziendali. Le tecniche di ingegneria sociale stanno diventando sempre più sofisticate e per questo diventa sempre più importante per le imprese provvedere alla sensibilizzazione e alla formazione dei dipendenti.
"La sicurezza non è un prodotto ma è un processo aziendale che coinvolge persone e infrastrutture e che va continuamente affinato e verificato affinché sia efficiente ed efficace. La sicurezza non è questione esclusiva del dipartimento IT, ma coinvolge tutte le componenti aziendali, risorse umane comprese" ha affermato Mirko Gatto. Insomma la questione è: "È possibile ridurre i rischi legati agli errori umani?", la risposta è : "Sì, si può."

Perché commissionare un penetration test con l'ausilio del social engineering?
- per conoscere il livello di sicurezza della propria azienda.
- per provvedere immediatamente a proteggere i propri dati sensibili in caso di esiti negativi.
- per agire con un'azione mirata di sensibilizzazione e formazione.

Yarix
Yarix è specializzata in sicurezza nel settore IT. Deve il suo successo alla riconosciuta capacità di comprendere prima della concorrenza l'impatto che i virus, gli hacker, il furto dei dati e il cyber-terrorismo possono avere su internet e su tutti coloro che per lavoro ricorrono ai prodotti IT. Il suo impegno in questo settore e l'importanza in costante aumento dell'informazione elettronica e dell'economia digitale l'hanno resa un'azienda leader in Italia per la sicurezza dei dati sia per le aziende private che per le agenzie governative.

Nessun commento:

Posta un commento

Disclaimer

Protected by Copyscape


Il CorrieredelWeb.it è un periodico telematico nato sul finire dell’Anno Duemila su iniziativa di Andrea Pietrarota, sociologo della comunicazione, public reporter e giornalista pubblicista, insignito dell’onorificenza del titolo di Cavaliere al merito della Repubblica Italiana.

Il magazine non ha fini di lucro e i contenuti vengono prodotti al di fuori delle tradizionali Industrie dell'Editoria o dell'Intrattenimento, coinvolgendo ogni settore della Società dell'Informazione, fino a giungere agli stessi utilizzatori di Internet, che così divengono contemporaneamente produttori e fruitori delle informazioni diffuse in Rete.

Da qui l’ambizione ad essere una piena espressione dell'Art. 21 della Costituzione Italiana.

Il CorrieredelWeb.it oggi è un allegato della Testata Registrata AlternativaSostenibile.it iscritta al n. 1088 del Registro della Stampa del Tribunale di Lecce il 15/04/2011 (Direttore Responsabile: Andrea Pietrarota).

Tuttavia, non avendo una periodicità predefinita non è da considerarsi un prodotto editoriale ai sensi della legge n.62 del 07/03/2001.

L’autore non ha alcuna responsabilità per quanto riguarda qualità e correttezza dei contenuti inseriti da terze persone, ma si riserva la facoltà di rimuovere prontamente contenuti protetti da copyright o ritenuti offensivi, lesivi o contrari al buon costume.

Le immagini e foto pubblicate sono in larga parte strettamente collegate agli argomenti e alle istituzioni o imprese di cui si scrive.

Alcune fotografie possono provenire da Internet, e quindi essere state valutate di pubblico dominio.

Eventuali detentori di diritti d'autore non avranno che da segnalarlo via email alla redazione, che provvederà all'immediata rimozione oppure alla citazione della fonte, a seconda di quanto richiesto.

Per contattare la redazione basta scrivere un messaggio nell'apposito modulo di contatto, posizionato in fondo a questa pagina.

Modulo di contatto

Nome

Email *

Messaggio *