Perché esiste la cybersecurity
Ogni sistema informatico connesso alla rete è esposto a potenziali attacchi. La cybersecurity (o sicurezza informatica) è la disciplina che studia come proteggere sistemi, reti, applicazioni e dati da accessi non autorizzati, danneggiamenti e interruzioni del servizio.
La domanda fondamentale non è “se verrò attaccato”, ma quando — e se sarò pronto a rispondere. Comprendere la cybersecurity significa capire prima di tutto cosa si vuole proteggere, da chi e perché.
La superficie di attacco
La superficie di attacco (attack surface) è l’insieme di tutti i punti di un sistema attraverso cui un attaccante potrebbe tentare di entrare o estrarre dati. Più un sistema è connesso e complesso, più ampia è la sua superficie.
Un sito web espone: il server HTTP (porte 80/443), il pannello di amministrazione, il form di login, l’API REST, le dipendenze JavaScript. Ognuno di questi è un vettore d’attacco potenziale. Ridurre la superficie significa disabilitare ciò che non serve e aggiornare ciò che rimane.
Categorie di minacce
Le minacce alla sicurezza informatica si classificano in base al meccanismo con cui agiscono sul sistema bersaglio.
| Minaccia | Come funziona | CIA violata | Esempio reale |
|---|---|---|---|
| Malware | Software malevolo eseguito sul sistema vittima (virus, worm, trojan, spyware, rootkit) | C I A | Stuxnet (2010) — worm per sabotare centrifughe nucleari iraniane |
| Ransomware | Cifra i file della vittima e chiede riscatto in criptovaluta per la chiave di decifratura | A I | WannaCry (2017) — colpì 200.000 sistemi in 150 paesi in 24 ore |
| Phishing | Email o siti falsi che ingannano l’utente per rubare credenziali o installare malware (ingegneria sociale) | C | Campagne di spear-phishing contro dipendenti aziendali con email “dal CEO” |
| DDoS | Distributed Denial of Service — inonda il target con traffico da migliaia di bot fino a renderlo irraggiungibile | A | Attacco a Dyn DNS (2016) — offline Amazon, Twitter, Netflix per ore |
| APT | Advanced Persistent Threat — accesso prolungato e silenzioso a una rete, tipicamente nation-state | C I | SolarWinds (2020) — compromessa la supply chain software di migliaia di organizzazioni USA |
| SQL Injection | Iniezione di codice SQL malevolo tramite input non validati per leggere o modificare il database | C I | Breach Heartland Payment Systems (2008) — 130 milioni di carte di credito esfiltrate |
| MitM | Man-in-the-Middle — l’attaccante si interpone tra client e server intercettando o modificando il traffico | C I | ARP spoofing su reti Wi-Fi pubbliche per intercettare traffico non cifrato |
| 0-day | Vulnerabilità non ancora nota al vendor — nessuna patch disponibile. Il termine indica i giorni da quando il vendor lo conosce: zero. | C I A | Log4Shell (CVE-2021-44228) — RCE in Log4j, milioni di server esposti |
I Threat Actor — chi attacca e perché
Conoscere chi è l’avversario è fondamentale per costruire difese adeguate. Non tutti gli attaccanti hanno le stesse risorse, motivazioni o obiettivi.
Motivazione: curiosità, notorietà
Risorse: basse — usa tool preconfezionati
Target: casuale, sistemi non aggiornati
Motivazione: ideologia, protesta politica
Risorse: medie — collettivi organizzati (es. Anonymous)
Target: governi, aziende “nemiche”, media
Motivazione: profitto economico
Risorse: medie-alte — RaaS, darkweb marketplace
Target: aziende, banche, ospedali (RaaS)
Motivazione: spionaggio, sabotaggio, guerra ibrida
Risorse: illimitate — finanziati da stati
Target: infrastrutture critiche, governi, difesa
Motivazione: vendetta, denaro, ricatto
Risorse: accesso legittimo interno — difficile da rilevare
Target: organizzazione di appartenenza
Motivazione: responsabilità, riconoscimento, premio
Risorse: variabili — operano con autorizzazione
Target: sistemi che si è autorizzati a testare
Scenari reali — tre casi di studio
Caso 1 — WannaCry (2017)
Lezione: un sistema non aggiornato (SMBv1 era obsoleto) può compromettere interi ospedali. La patch MS17-010 era disponibile da 2 mesi.
Caso 2 — SolarWinds (2020)
Lezione: la supply chain software è un vettore critico. Fidarsi di un aggiornamento firmato dal vendor non è più sufficiente.
Caso 3 — Colonial Pipeline (2021)
Lezione: una singola password senza MFA ha bloccato l’infrastruttura critica di metà degli USA orientali. L’autenticazione multi-fattore avrebbe probabilmente impedito l’attacco.
I ruoli nella cybersecurity
- Security Operations Center (SOC)
- Incident Response
- Threat Intelligence
- Forensica digitale
- Hardening e patch management
- Penetration Tester
- Vulnerability Assessment
- Bug Bounty Hunter
- Social Engineering Tester
- Exploit Developer (research)
Attaccare un sistema senza esplicita autorizzazione scritta è un reato penale in Italia (art. 615-ter c.p. — accesso abusivo a sistema informatico) e nella quasi totalità dei paesi. Tutto ciò che imparerai in questo corso va applicato esclusivamente in ambienti di lab controllati o con permesso del proprietario del sistema.
- La triade CIA (Confidentiality, Integrity, Availability) è il framework fondamentale per valutare qualsiasi minaccia
- Le minacce più pericolose non sono sempre le più tecniche: spesso un’email di phishing o una password senza MFA sono il punto d’ingresso
- I threat actor si differenziano per risorse, motivazioni e target — da script kiddie curiosi a gruppi APT sponsorizzati da stati
- WannaCry, SolarWinds e Colonial Pipeline dimostrano che la cybersecurity è un problema reale con impatto fisico e sociale
- Red team e blue team sono due facce della stessa medaglia: non si può difendere efficacemente senza capire come si attacca