SICUREZZA INFORMATICA
Home news Sicurezza informatica Comunicato

Social engineering. il 74% delle aziende È vulnerabile

Si chiama Social Engineering ed è lo studio del comportamento individuale al fine di carpire informazioni utili. Una metodologia efficace applicata al penetration testing professionale non ancora sufficientemente sfruttata dalle aziende e tesa a testare il livello di vulnerabilità del personale interno. Dall’analisi dei servizi di VA e PT erogati nel 2014 da Yarix, azienda leader in Italia nella Sicurezza Informatica, emerge che il 74% delle aziende è vulnerabile ad attacchi condotti sfruttando tecniche di social engineering. Il dato allarmante è indicativo di una forte mancanza di consapevolezza del rischio.
del 27/04/15 -

Nel campo della sicurezza informatica, il social engineering (o ingegneria sociale) è l’analisi del comportamento di una persona finalizzata all’estrazione di informazioni utili. Nella sostanza: quando un hacker non riesce a trovare dei bug sfruttabili per attaccare un determinato sistema informatico, un attacco di social engineering può rappresentare una tecnica molto utile per procurarsi le informazioni desiderate. Tale tipologia di attacco presuppone che il social engineer (colui che conduce l’attacco) sfrutti il dolo e l’inganno per portare a termine il suo intento; abile a mascherare la propria identità, fingendosi un'altra persona, egli riesce a ricavare informazioni che non potrebbe mai ottenere con la sua identità reale. L’attività di social engineering spesso unita a quella di phishing è strutturata in più fasi: la fase preliminare, definita footprinting, nella quale il social engineer si occupa della raccolta delle informazioni sulla vittima e cerca di reperire tutte le informazioni necessarie per condurre l’attacco sul bersaglio individuato; la fase intermedia dove l’ingegnere si occupa di verificare che le informazioni in suo possesso siano attendibili per poi entrare in contatto diretto con la “vittima”; la fase finale coincide con l’attacco vero e proprio, in cui si contatta la vittima per reperire le informazioni. Se la vittima cade nel tranello, il social engineer potrà iniziare una fase di sperimentazione allo scopo di violare il sistema stesso. Particolarmente minacciosi sono gli APT (Advance Persistent Threat), processi di attacco mirati e sofisticati che seguono schemi precisi, volti a compromettere un obiettivo nel tempo e che hanno un impatto rilevante sul business, essendo volti a trafugare informazioni strategiche, sabotare l’organizzazione, danneggiare i sistemi. Lo strumento più utilizzato è senza dubbio la telefonata, che viene effettuata utilizzando uno stile vocale adeguato e studiato ad hoc.
I test commissionati a Yarix da diverse aziende – riconosciuti universalmente - sono stati portati avanti dal Red Team Yarix, un’ equipe che coinvolge il Programm Manager insieme a tecnici con pluriennale esperienza in Ethical Hacking. I tecnici hanno dimostrato una vulnerabilità complessiva che supera il settanta per cento: le “zone deboli” possono interessare diverse aree dell’azienda, dalla videosorveglianza all’amministrazione fino al reparto tecnico e agire su diversi dati sensibili relativi alla privacy di una persona (password) e a credenziali di accesso relative a sistemi. Ma quali sono gli obiettivi reali del Social Engineering? E cosa può fare un’azienda dopo aver scoperto i suoi punti di vulnerabilità? Riorganizzare le competenze, agire con dei corsi o dei seminari al fine di sensibilizzare il personale dell’azienda, proporre dei corsi mirati. In questo modo l’intervento sarà servito a potenziare la sicurezza e la protezione di tutti i dati aziendali. Le tecniche di ingegneria sociale stanno diventando sempre più sofisticate e per questo diventa sempre più importante per le imprese provvedere alla sensibilizzazione e alla formazione dei dipendenti.
“La sicurezza non è un prodotto ma è un processo aziendale che coinvolge persone e infrastrutture e che va continuamente affinato e verificato affinché sia efficiente ed efficace. La sicurezza non è questione esclusiva del dipartimento IT, ma coinvolge tutte le componenti aziendali, risorse umane comprese” ha affermato Mirko Gatto. Insomma la questione è: “È possibile ridurre i rischi legati agli errori umani?”, la risposta è : “Sì, si può.”

Perché commissionare un penetration test con l’ausilio del social engineering?
- per conoscere il livello di sicurezza della propria azienda.
- per provvedere immediatamente a proteggere i propri dati sensibili in caso di esiti negativi.
- per agire con un’azione mirata di sensibilizzazione e formazione.

---
Yarix
Yarix è specializzata in sicurezza nel settore IT. Deve il suo successo alla riconosciuta capacità di comprendere prima della concorrenza l’impatto che i virus, gli hacker, il furto dei dati e il cyber-terrorismo possono avere su internet e su tutti coloro che per lavoro ricorrono ai prodotti IT. Il suo impegno in questo settore e l’importanza in costante aumento dell’informazione elettronica e dell’economia digitale l’hanno resa un’azienda leader in Italia per la sicurezza dei dati sia per le aziende private che per le agenzie governative.

Marta Zacchigna
Ufficio Stampa L'Ippogrifo®
Tel. +39 040 761404
Cell.+39 339 1952458
Skype Ippogrifo.zacchigna
www.ippogrifogroup.com

Licenza di distribuzione:
INFORMAZIONI SULLA PUBBLICAZIONE
L'Ippogrifo Group
Responsabile account:
 Francesco Pastoressa (Digital Content Specialist)
Contatti e maggiori informazioni
Vedi altre pubblicazioni di questo utente
© Pensi che questo testo violi qualche norma sul copyright, contenga abusi di qualche tipo? Contatta il responsabile o Leggi come procedere
Stampa ID: 249214