Scenario 1: Un hacker infetta un computer in rete con malware
Molte soluzioni di sicurezza moderne filtrano tutto il traffico dati per risolvere direttamente il traffico illegittimo (ad esempio il filtro antispam per le e-mail). Se, nonostante tutte le misure supplementari adottate, un sistema è ancora infetto, questo apparecchio deve essere scollegato dalla rete il più rapidamente possibile. Per rendere questo processo il più veloce e conveniente possibile, molte soluzioni di sicurezza offrono, ad esempio, un pannello centrale attraverso il quale l'amministratore può disconnettere un dispositivo dalla rete con effetto immediato. Esistoni anche sistemi capaci di disconnettere un dispositivo automaticamente. Questa misura protegge il resto della rete dall'ulteriore diffusione del malware e riduce al minimo i guasti di funzionamento e le possibilità dell'hacker. In una rete ben strutturata, la maggior parte dei dati rilevanti viene memorizzata su un server, probabilmente un server centrale, in modo che l'unica cosa da fare è sostituire il dispositivo.
Tuttavia, se si memorizzano i dati localmente, poiché la connessione di rete del server non è sufficiente per lavorare in modo fluido, è assolutamente necessario effettuare regolari backup dei dati e, se possibile, memorizzarli fuori sede.
Scenario 2: L'hacker ricatta l'azienda con un attacco ransomware
Questo è probabilmente l'incubo di ogni amministratore delegato. Potenziale perdita di dati, lavoro infinito per risolvere il problema e oltre a ciò si viene ricattati. Molte delle soluzioni software offerte stanno lavorando per non permettere più un tale scenario. Il rilevamento e l'analisi basati sul cloud, nonché il rilevamento euristico sempre migliore del malware offrono un enorme vantaggio. Chi deliberatamente fa a meno di queste tecnologie probabilmente non ha ancora capito la gravità della situazione. Tuttavia, se queste misure non hanno avuto successo e un Trojan ransomware si è diffuso nella rete, l'unica cosa che può aiutare è una "revisione fondamentale" della rete. Qui è essenziale disporre di backup aggiornati. Ci sono molte diverse soluzioni complete intelligenti anche per questo.
Scenario 3: Il sistema reagisce - difesa proattiva attraverso trappole intelligenti
Gli Honeypots sono sistemi singoli o addirittura intere reti che perseguono un unico obiettivo: attirare l'attenzione dei potenziali aggressori. Un sistema di questo tipo, che di solito è deliberatamente vulnerabile, attirerà quasi sempre l'attenzione degli hacker. Se un hacker attacca un honeypot, non sa che si tratta di un honeypot. L'hacker attaccherà quindi il sistema nello stesso modo in cui intendeva farlo. Tuttavia, l'attacco non fornirà alcun dato utilizzabile e l'azienda è avvertita. L'amministratore, e quindi l'azienda, è ora in vantaggio, perché sa che e come verrà attaccata. L'azienda può quindi proteggersi in modo mirato. Se l'hacker si rende conto di aver attaccato un honeypot l'attacco viene solitamente interrotto. Tuttavia, questa è sicuramente un'esperienza frustrante, che spesso porta a un certo tempo di attesa fino al prossimo attacco e dà all'azienda un tempo prezioso.
Scenario 4: L'hacker cerca di accedere con dati utente rubati
In genere questo problema verrebbe risolto nella maggior parte dei casi con orari fissi in cui è possibile effettuare il login. Tuttavia, ci sono diversi motivi per cui questa soluzione non funziona per un'azienda (ad es. ufficio di casa, viaggi all'estero ecc.). Altre soluzioni possibili sarebbero misure di sicurezza supplementari, ossia un sistema di diritti esteso attraverso la corrispondente soluzione di sicurezza, che ha effetto solo al di fuori dell'orario di lavoro (ad es. autenticazione a due fattori). Così, a seconda dell'ora del giorno, l'accesso viene monitorato o reso più difficile.
Scenario 5: L'hacker lavora con un Insider
Lo svantaggio di un tale attacco è che non esiste una vera soluzione preventiva al problema. Tuttavia, con una combinazione ben ponderata di tutti i punti precedenti, le contromisure possono essere prese in modo molto efficace. Difficoltà di accesso, registrazione appropriata, registrazione di quando e chi accede, così come la possibilità di poter staccare un computer dalla rete in qualsiasi momento e da qualsiasi luogo, offrono qui molte possibilità.
Scenario 6: L'hacker scansiona la rete alla ricerca di vulnerabilità
Per poter penetrare in una rete, l'hacker deve prima di tutto trovare un punto debole del sistema. Ciò significa anche che la rete precedentemente sconosciuta deve essere esplorata. Un "ping" contro gli indirizzi fornisce informazioni sui dispositivi accessibili nella rete, una scansione approfondita con strumenti come "nmap" fornisce ancora più dati (ad es. il sistema operativo installato). L'hacker deve sapere tutto questo, ma ottenere le informazioni è relativamente "rumoroso". In questo caso rumoroso significa che le tecniche utilizzate sono spesso relativamente facili da rilevare. Naturalmente, un "ping" contro l'intera rete non è automaticamente un segno di un attacco in corso, ma la presenza combinata di diverse di queste tecniche può esserne una forte indicazione. Come misura preventiva, si raccomanda di far controllare la propria rete da esperti a intervalli regolari per verificare la presenza di vulnerabilità.
(fonte: SecurityInsider.de)