Abbiamo parlato in uno dei precedenti articoli dei vari tipi di attacco possibili e delle varie metodologie.
Per essere in grado di parlare ancora più specificatamente degli attacchi e delle contromisure da mettere in pratica, abbiamo bisogno di introdurre nuovi elementi.
Quando guardiamo al potenziale danno che può provocare un attacco, possiamo parlare in termini di minaccia, vulnerabilità e rischio, associati proprio al tipo di attacco.
Minacce
Parlando dei tipi di attacco che potremmo incontrare, abbiamo discusso alcune delle cose che hanno il potenziale di causare danni ai nostri beni e alle nostre risorse.
Una minaccia è esattamente questo! Qualcosa che ha il potenziale di causare un male o un danno a una cosa o a una persona.
Le minacce tendono ad essere specifiche relativamente a determinati ambienti, in paticolare nel mondo della sicurezza delle informazioni.
Ad esempio, anche se un virus potrebbe costituire una minaccia per un sistema operativo Windows, lo stesso virus, probabilmente, non avrà alcun effetto su un sistema operativo Linux. In questo caso il virus non costituirà minaccia per un sistema Linux.
Vulnerabilità
Le vulnerabilità sono punti deboli che possono essere utilizzati per arrecare danno.
In sostanza, sono delle debolezze che possono essere sfruttate dagli attaccanti per danneggiare un sistema, file o utenti.
Una vulnerabilità potrebbe essere costituita da un intero sistema operativo o da un’applicazione che stiamo utilizzando, da un luogo fisico in cui abbiamo scelto di mettere posizionare i nostri uffici, un centro dati saturo oltre la capacità dell’impianto, la mancanza di generatori di backup o altri fattori che indeboliscono un sistema.
Rischio
Un rischio è la probabilità che possa accadere qualcosa di negativo.
Per far si che si presenti l’eventualità di un rischio, abbiamo bisogno di avere sia un fattore di minaccia che un fattore di vulnerabilità.
Ad esempio, se consideriamo il caso di una struttura fatta di legno e accendiamo un fuoco, abbiamo sia una minaccia (il fuoco) che una vulnerabilità (la struttura di legno). In questo caso corriamo sicuramente un rischio!
Se però considerassimo il caso in cui la struttura sia fatta di cemento, qualora accendessimo un fuoco, il rischio non sarebbe più credibile perchè la minaccia del fuoco non ha una vulnerabilità da sfruttare (almeno in condizioni normali).
Potremmo anche ipotizzare che la fiamma arrivi ad una temperatura sufficiente a danneggiare la struttura in cemento, ma è comunque un evento particolare e improbabile.
Simili discorsi possono essere fatti per quanto riguarda l’ambiente informatico.
In questi casi, la strategia migliore è quella di spendere tempo e risorse per mitigare gli attacchi più probabili: se concentrassimo tutte le risorse nel tentativo di pianificare una contromisura per ogni possibile attacco, anche quelli meno probabili, perderemmo di vista i punti in cui avere protezione è fondamentale.
Generalmente si effettua un’analisi per decidere quali sono i punti strategici e come difenderli, in base al tempo e alle risorse che si hanno a disposizione.
Impatto
Alcune organizzazioni, aggiungono un ulteriore fattore all’equazione minaccia/vulnerabilità/rischio.
Questo fattore è l’impatto. Se consideriamo il valore del bene che viene minacciato, come un fattore, la situazione potrebbe cambiare a seconda che ci sia o meno la presenza di un rischio.
Prendiamo, ad esempio il caso di alcuni file di backup non criptati che vengono perduti.
Se questi file contengono una raccolta di ricette di cucina, probabilmente la loro perdita non verrà nemmeno considerata come un rischio (a meno che non siate una multinazionale con delle ricette super segrete).
In questo caso infatti la perdita delle ricette non costituisce un vero e proprio problema, perchè non ci sono informazioni sensibili da rubare e, volendo, si potrebbero fare altre copie di backup dai dati originali delle ricette.
Al contrario, se le informazioni contenute nei file di backup, fossero dati critici di un’azienda, questa potrebbe rischiare anche un crollo in borsa o peggio il fallimento, qualora questi dati finissero nelle mani sbagliate.
