Per i nostri clienti, che spesso non possiedono una formazione tecnica approfondita, il gergo utilizzato nel campo dell’ethical hacking può sembrare un labirinto incomprensibile. Comprendere il significato di concetti come vulnerabilità, exploit, payload e TTPs non solo faciliterà la comunicazione con i nostri esperti di sicurezza, ma vi fornirà anche una maggiore consapevolezza dei rischi e delle strategie di difesa adottate.
Questa guida nasce proprio con l’obiettivo di rendere accessibili i termini tecnici più comuni nel campo dell’ethical hacking, colmando il divario comunicativo tra voi e i fornitori di servizi di sicurezza.
Continuate a leggere e in pochi minuti, quel ‘gergo misterioso’ diventerà un alleato per la vostra sicurezza!
Analizziamo alcuni dei termini fondamentali che incontrerete più frequentemente: cercheremo di spiegarli in modo semplice e intuitivo, utilizzando anche analogie per facilitarne la comprensione.
A
Attacco Brute Force: un tentativo di indovinare una password, una chiave di crittografia o trovare una pagina web nascosta provando sistematicamente tutte le combinazioni possibili. Gli ethical hacker utilizzano strumenti automatizzati per simulare attacchi brute force su password e altri meccanismi di autenticazione per valutare la loro robustezza.
Active Directory (AD): un servizio di directory sviluppato da Microsoft per reti di dominio. È un bersaglio critico per gli attaccanti e spesso oggetto di tecniche di ethical hacking specifiche.
Advanced Persistent Threat (APT): un attacco sofisticato e prolungato nel tempo, condotto da un attore (spesso statale o ben organizzato) con l’obiettivo di infiltrarsi in un sistema e rimanervi nascosto per un lungo periodo, sottraendo informazioni sensibili. La formazione specifica sull’APT è una misura di sicurezza importante.
AS-REP Roasting: un attacco che mira ad ottenere le password degli utenti che non richiedono la pre-autenticazione Kerberos. Gli ethical hacker cercano utenti configurati in modo vulnerabile per tentare di decifrare le loro password offline.
Audit: un processo sistematico e indipendente per valutare l’efficacia dei controlli di sicurezza di un’organizzazione. L’auditing è cruciale nell’analisi dei risultati dell’ethical hacking per ricostruire i percorsi di attacco.
Autenticazione: il processo di verifica dell’identità di un utente, dispositivo o applicazione prima di concedere l’accesso a risorse o servizi. L’autenticazione out-of-band utilizza due canali di comunicazione separati per una maggiore sicurezza.
B
Backdoor: un metodo segreto per aggirare le normali procedure di autenticazione e accedere a un sistema o a un’applicazione. Può essere intenzionalmente inserita per scopi legittimi (ad esempio, manutenzione) o maliziosamente da un attaccante per garantire un accesso futuro
Blue Team: è il team di difesa interno di un’organizzazione, responsabile del mantenimento della sicurezza dei sistemi e della risposta agli incidenti. Durante un test TIBER-EU, il Blue Team crea un rapporto sulle proprie azioni.
Botnet: una rete di computer (o altri dispositivi connessi a Internet) infettati da malware e controllati da un singolo attaccante (il “bot herder”) senza la consapevolezza dei proprietari. Le botnet vengono spesso utilizzate per lanciare attacchi DDoS o per distribuire spam e malware.
Bug Bounty: un programma offerto da alcune organizzazioni che ricompensano gli ethical hacker esterni per la scoperta e la segnalazione di vulnerabilità nei loro sistemi.
Business Continuity Plan (BCP): un piano documentato che descrive come un’organizzazione continuerà a operare in caso di interruzione significativa, inclusi disastri naturali, attacchi informatici o altre emergenze.
C
Certified Ethical Hacker (CEH): una certificazione riconosciuta nel settore dell’ethical hacking che attesta la conoscenza delle tecniche e degli strumenti utilizzati dagli attaccanti.
Compromissione: il risultato di un attacco informatico riuscito, in cui un sistema, un account o dei dati sono stati accessi, modificati o rubati da persone non autorizzate. L’obiettivo dell’ethical hacking è identificare i percorsi che un attaccante potrebbe seguire per ottenere una compromissione.
Continuous Monitoring: il processo di monitoraggio costante della sicurezza di un sistema o di una rete per rilevare attività sospette o vulnerabilità. Una strategia di monitoraggio continuo è essenziale per la sicurezza.
Controllo di Accesso: i meccanismi e le politiche implementate per limitare l’accesso a risorse e informazioni solo agli utenti autorizzati.
Control Team (CT): in un test TIBER-EU, il CT è responsabile della supervisione e del controllo dell’intero processo di test. La Control Team Guidance (CTG) fornisce indicazioni per la costituzione e il funzionamento del CT.
Crittografia: il processo di trasformazione di informazioni in un formato illeggibile (testo cifrato) per proteggerne la confidenzialità. La crittografia è una misura di sicurezza fondamentale menzionata nel contesto dei requisiti di sicurezza ICT.
Cybersecurity: l’insieme delle pratiche e delle tecnologie volte a proteggere sistemi informatici, reti, programmi e dati da accessi non autorizzati, danni, modifiche o distruzioni. L’ethical hacking è parte integrante di una strategia di cybersecurity più ampia.
Cyber Threat Intelligence (CTI): l’insieme di informazioni raccolte, elaborate e analizzate sulle minacce informatiche esistenti e potenziali, inclusi gli autori delle minacce, le loro motivazioni, le loro capacità e le loro TTPs. La CTI è fondamentale per l’ethical hacking basato su minacce reali come il TLPT (Threat-Led Penetration Testing).
D
Data Breach: un incidente di sicurezza in cui informazioni sensibili, confidenziali o protette vengono copiate, trasmesse, visualizzate, utilizzate o rubate da individui non autorizzati. L’esperienza derivata dagli incidenti di sicurezza o dalle violazioni deve essere integrata nella formazione. Gli Indicatori di compromissione (IOC) possono rivelare un data breach.
Debolezze di progettazione: mancanze nella logica di funzionamento di un sistema che possono essere abusate.
Defense in Depth: una strategia di sicurezza che implementa più livelli di controlli di sicurezza, in modo che se un controllo fallisce, gli altri possano comunque fornire protezione.
Denial of Service (DoS): un tipo di attacco che mira a rendere un sistema, un servizio o una risorsa di rete non disponibile agli utenti legittimi, sovraccaricandolo di traffico o sfruttando vulnerabilità
Digital Operational Resilience: la capacità di un’organizzazione di costruire, assicurare e rivedere la propria integrità operativa digitale, mantenendo la capacità di fornire servizi durante e dopo interruzioni Il Digital Operational Resilience Act (DORA) è un contesto normativo rilevante.
DORA (Digital Operational Resilience Act): un regolamento europeo volto a rafforzare la resilienza operativa digitale del settore finanziario. I requisiti TLPT di DORA possono essere soddisfatti con il framework TIBER-EU.
E
Errori di configurazione: sistemi o applicazioni non correttamente configurati che lasciano aperte porte di accesso o utilizzano impostazioni predefinite non sicure.
Errori di programmazione: bug nel codice software che possono essere sfruttati per eseguire codice arbitrario.
Ethical Hacking: l’atto di simulare attacchi informatici per identificare vulnerabilità in un sistema o in una rete, con il permesso del proprietario e con l’obiettivo di migliorare la sicurezza. L’ethical hacking si distingue per la sua natura proattiva.
Exploit: un exploit è un pezzo di codice, una sequenza di comandi o una tecnica che sfrutta una specifica debolezza o vulnerabilità presente in un sistema informatico, in un’applicazione software o in un hardware. Immaginate una serratura difettosa (la vulnerabilità) in una porta. Durante un’attività di ethical hacking, l’obiettivo è spesso quello di identificare le vulnerabilità e, in alcuni casi, dimostrare la loro sfruttabilità attraverso la creazione o l’utilizzo di exploit. Questo permette al cliente di comprendere il reale impatto che una determinata debolezza potrebbe avere se sfruttata da un attaccante malevolo.
F
Firewall: un sistema di sicurezza che monitora e controlla il traffico di rete in entrata e in uscita, bloccando le comunicazioni non autorizzate in base a regole predefinite.
Follow-up: il termine ‘follow-up’ si riferisce alle azioni intraprese dopo un evento iniziale, una valutazione, un riscontro o una raccomandazione, al fine di garantire che le misure necessarie vengano completate, i problemi siano risolti e i risultati attesi siano raggiunti.
Framework: una struttura concettuale o un insieme di linee guida che forniscono un approccio strutturato per affrontare un problema o implementare un processo. Nell’ethical hacking, esistono diversi framework come MITRE ATT&CK, TIBER-EU, NIST SP 800-53 e CBEST che guidano le attività di test e valutazione della sicurezza.
G
GDPR (Regolamento generale sulla protezione dei dati): questo viene menzionato nel contesto di garantire che il processo di approvvigionamento dei fornitori di intelligence sulle minacce sia conforme alle normative sulla protezione dei dati.
Golden ticket: un ticket kerberos forgiato che permette all’attaccante di autenticarsi a qualsiasi servizio all’interno del dominio Active Directory. Gli ethical hacker cercano modi per creare o rubare questi ticket per valutare la robustezza del sistema di autenticazione.
H
Hacker (Etico/White Hat): un esperto di sicurezza informatica che utilizza le proprie competenze per identificare e sfruttare le vulnerabilità nei sistemi informatici con il permesso del proprietario, al fine di migliorare la sicurezza. Si distingue dagli hacker “black hat” (criminali informatici) e “grey hat” (che operano in una zona grigia tra etica e illegalità).
HUMINT (Human Intelligence): informazioni raccolte da fonti umane. Nell’ethical hacking, può includere l’analisi di interazioni di social engineering o informazioni ottenute da esperti del settore.
I
Incident Response: l’insieme delle procedure e delle azioni intraprese per identificare, contenere, eliminare e recuperare da un incidente di sicurezza informatica. Un processo di follow-up formale è necessario nella gestione degli incidenti ICT.
Indicator of Compromise (IOC): un artefatto o un segnale che indica che un sistema o una rete potrebbe essere stato compromesso da un attacco informatico. Gli IOC possono includere indirizzi IP malevoli o pattern di traffico sospetto.
Information Security: la protezione delle informazioni e dei sistemi informatici da accessi non autorizzati, uso, divulgazione, interruzione, modifica o distruzione. Un piano per la sicurezza delle informazioni è un elemento chiave.
Ingegneria Sociale (Social Engineering): l’arte di manipolare le persone per ottenere informazioni riservate o per indurle a compiere azioni che potrebbero compromettere la sicurezza. Gli attacchi di phishing sono un esempio comune di ingegneria sociale. Gli ethical hacker simulano queste tecniche per valutare la “firewall umana” di un’organizzazione.
K
Kerberoasting: una tecnica di attacco mirata ai Service Principal Names (SPN) in Active Directory per ottenere le password degli account di servizio.
Keylogger: un software o hardware che registra segretamente le sequenze di tasti digitate su una tastiera, consentendo a un attaccante di rubare password, informazioni personali o altri dati sensibili.
L
Lateral Movement: le tecniche utilizzate da un attaccante dopo aver compromesso un sistema iniziale per spostarsi attraverso la rete e accedere ad altri sistemi di valore. Gli ethical hacker simulano il lateral movement per valutare quanto sia facile per un attaccante espandere la propria presenza all’interno dell’infrastruttura.
Logging: la registrazione dettagliata degli eventi che si verificano in un sistema informatico o in una rete. I log sono fondamentali per l’analisi dei risultati dell’ethical hacking e per la resilienza operativa. La protezione delle informazioni di audit è un controllo di sicurezza.
M
Malware: software progettato per causare danni a un sistema informatico, rubare informazioni o ottenere accesso non autorizzato. Include virus, worm, trojan, ransomware e spyware. L’ethical hacking mira a identificare le vulnerabilità che potrebbero essere sfruttate per installare malware.
Man-in-the-Middle (MitM) attack: un attacco in cui un malintenzionato si interpone segretamente tra due parti che stanno comunicando, intercettando e potenzialmente alterando le informazioni scambiate. Gli ethical hacker cercano vulnerabilità che potrebbero permettere l’esecuzione di attacchi MitM per valutare la sicurezza delle comunicazioni di rete. L’out-of-band authentication è una tecnica che può mitigare questi attacchi.
Mitigazione: l’insieme delle azioni intraprese per ridurre l’impatto o la probabilità di una minaccia o di una vulnerabilità.
N
NIST SP 800-53: un insieme di standard e linee guida pubblicati dal National Institute of Standards and Technology (NIST) statunitense, che forniscono un catalogo di controlli di sicurezza e privacy per i sistemi informatici e le organizzazioni federali. Questo framework supporta la gestione del rischio e la conformità.
O
OSINT (Open Source Intelligence): l’intelligenza ottenuta da fonti di informazione pubblicamente disponibili, come siti web, social media e articoli di notizie. L’OSINT è utilizzata nella fase di ricognizione dell’ethical hacking e nella threat intelligence.
P
Password Spraying: un attacco a forza bruta “leggero” che consiste nel provare un piccolo numero di password comuni su un gran numero di account. Gli ethical hacker simulano questo attacco per verificare se le politiche password aziendali sono efficaci nel prevenire compromissioni.
Payload: il payload è la parte di un exploit che contiene il codice malevolo o le istruzioni che l’attaccante desidera eseguire sul sistema bersaglio dopo averlo compromesso con successo (prendiamo per esempio una serratura: l’exploit è il grimaldello, mentre il payload è ciò che il ladro fa una volta entrato cioè rubare informazioni, installare software dannoso o prendere il controllo del sistema.)
Nell’ambito dell’ethical hacking, il payload utilizzato durante i test è generalmente sicuro e controllato, progettato per dimostrare l’avvenuta compromissione senza causare danni reali. L’obiettivo è mostrare al cliente quali azioni un attaccante potrebbe intraprendere una volta ottenuto l’accesso al sistema.
Penetration Testing (Pentest): un test di sicurezza attivo in cui gli ethical hacker tentano di sfruttare le vulnerabilità di un sistema o di una rete per valutarne la sicurezza. Il penetration testing è una metodologia core dell’ethical hacking.
Phishing: un tipo di attacco di social engineering in cui gli attaccanti inviano email, messaggi o telefonate fraudolente nel tentativo di ingannare le vittime e indurle a rivelare informazioni sensibili o a compiere azioni dannose.
Privilege escalation: una tecnica utilizzata dagli attaccanti per ottenere un livello di accesso superiore a quello inizialmente compromesso, consentendo loro di eseguire azioni più dannose.
Provenance: la cronologia dell’origine, dello sviluppo, della proprietà, della posizione e delle modifiche apportate a un sistema o a un componente. La provenance è un aspetto importante della gestione del rischio della supply chain.
R
Red Team: un team di esperti di sicurezza informatica che simula le tattiche e le tecniche di attacco di avversari reali per testare la capacità di difesa di un’organizzazione (il blue team). Gli esercizi di red teaming sono simulazioni di attacchi più complesse e realistiche rispetto ai semplici penetration test. Il Red Team Test Plan (RTTP) descrive le modalità operative del red team in un test TIBER-EU, mentre il Red Team Test Report (RTTR) documenta le loro attività e i risultati.
Remediazione: il processo di correzione delle vulnerabilità identificate per ridurre il rischio di sfruttamento. Un Remediation Plan (RP), come quello previsto nel framework TIBER-EU, delinea le azioni necessarie per risolvere le debolezze riscontrate.
Resilienza Operativa Digitale: la capacità di un’organizzazione di mantenere la propria operatività e di riprendersi rapidamente da incidenti informatici. L’ethical hacking contribuisce a migliorare la resilienza operativa identificando e aiutando a correggere le debolezze. Il Digital Operational Resilience Act (DORA) è una normativa europea che mira a rafforzare la resilienza operativa digitale nel settore finanziario.
Rischio (Informatico): la probabilità che una minaccia possa sfruttare una vulnerabilità causando un impatto negativo sull’organizzazione. L’ethical hacking aiuta a valutare e comprendere meglio i rischi informatici.
Risk Management Strategy: un piano complessivo per identificare, valutare e mitigare i rischi. L’ethical hacking fornisce informazioni preziose per informare la strategia di gestione del rischio di un’organizzazione.
S
SIEM (Security Information and Event Management): un sistema software che raccoglie e analizza i log di sicurezza provenienti da diverse fonti (come sistemi operativi, applicazioni e dispositivi di rete) per identificare minacce e anomalie.
Silver ticket: un ticket kerberos forgiato che consente all’attaccante di accedere a uno specifico servizio all’interno del dominio Active Directory (a differenza del Golden Ticket che è valido per tutti i servizi). Gli ethical hacker cercano vulnerabilità che permettano la creazione di Silver Ticket per valutare la sicurezza dei singoli servizi.
Supply Chain Attack: un attacco informatico che prende di mira i fornitori, i partner o altri elementi della catena di approvvigionamento di un’organizzazione per compromettere il bersaglio principale. La gestione del rischio della supply chain è sempre più importante.
System Inventory: un elenco completo di tutti gli hardware, software e altri componenti IT di un’organizzazione. Un inventario dei sistemi è un controllo di sicurezza fondamentale.
T
Threat actor: un individuo o un gruppo con l’intenzione e la capacità di condurre un attacco informatico. Comprendere i threat actors e le loro TTPs è fondamentale per un ethical hacking efficace.
Threat Intelligence: vedi Cyber Threat Intelligence (CTI).
Threat-Led Penetration Testing (TLPT): Gli ethical hacker, durante un Threat-Led Penetration Testing (TLPT), simulano attacchi basandosi su threat intelligence, ovvero informazioni sulle minacce reali e sulle TTPs utilizzate da specifici gruppi di attaccanti. È una metodologia avanzata di ethical hacking che utilizza la threat intelligence per simulare attacchi realistici basati sulle minacce più probabili per un’organizzazione specifica.
TTPs (Tattiche, Tecniche e Procedure): i comportamenti e i metodi specifici che gli attaccanti utilizzano durante un attacco informatico. Comprendere le TTPs degli threat actors è essenziale per simulare attacchi realistici nell’ethical hacking.
V
Vulnerabilità: una vulnerabilità è una debolezza, un difetto di progettazione o un errore di implementazione presente in un sistema informatico, in un’applicazione software, in un hardware o anche in una procedura di sicurezza che potrebbe essere sfruttata da un attaccante per compromettere la confidenzialità, l’integrità o la disponibilità di tale sistema o applicazione.
Vulnerability assessment: il processo di identificazione, quantificazione e classificazione delle vulnerabilità di sicurezza in un sistema o in una rete. A differenza del penetration testing, la vulnerability assessment non sempre include lo sfruttamento attivo delle debolezze.
Vulnerabilità umane: errori commessi dagli utenti, come cadere vittima di attacchi di social engineering (manipolazione psicologica per ottenere informazioni o accesso) come il phishing.
Z
Zero-Day Vulnerability: una vulnerabilità software che è stata scoperta ma non è ancora stata risolta con una patch dal fornitore. Gli exploit che prendono di mira le vulnerabilità zero-day possono essere particolarmente pericolosi perché non ci sono difese immediate disponibili.
Ethical Hacking: Perché è importante conoscere i termini principali
Una migliore comprensione del gergo tecnico consentirà ai nostri clienti di partecipare in modo più informato alle discussioni, valutare meglio i rischi e prendere decisioni più consapevoli in merito alla propria strategia di sicurezza.
Investire nella comprensione di questi termini non è solo un esercizio accademico. Una solida base di conoscenza del linguaggio della cybersecurity permette di:
- Migliorare la comunicazione che facilita lo scambio di informazioni tra clienti e fornitori di servizi, riducendo malintesi e inefficienze.
- Comprendere i rischi: cioè acquisire una maggiore consapevolezza delle minacce informatiche e delle vulnerabilità che possono esporre la propria organizzazione.
- Valutare i risultati: interpretare correttamente i report di ethical hacking e comprendere l’impatto delle vulnerabilità identificate.
- Partecipare attivamente: essere in grado di contribuire in modo significativo alle decisioni riguardanti la strategia di sicurezza e i piani di remediation.
- Aumentare la fiducia con i partner di cybersecurity, basato su una comprensione reciproca degli obiettivi e delle sfide.