Perchè il ransomware spesso funziona e come fermarlo

Anche se attualmente gli attacchi ransomware hanno conquistato l’attenzione (a livello globale, circa il 49% delle aziende hanno sperimentato almeno un cyber attacco ransom nel 2016 di cui il 39% sono stati attacchi ransomware) è importante dire che si tratta di una tra le tante minacce che le organizzazioni si trovano ad affrontare.

Indubbiamente gli attacchi ransomware evidenziano una forte esigenza di miglioramenti da apportare alla sicurezza aziendale. E se i soggetti aziendali più vulnerabili presentano lacune in fatto di gestione delle patch, prevenzione dei malware e nei sistemi di backup e recovery, diventa ancora più indispensabile ripensare alla strategia di security non solo per minimizzare i rischi di un attacco ransomware ma per far si che le aziende raggiungano un livello di sicurezza resiliente nei confronti di qualsiasi attacco informatico.

Come indica Gianandrea Daverio, Business Unit Manager Security di Dimension Data Italia, riguardo il ransomware, l’obiettivo è di interrompere la catena o qualsiasi altra variante malware prima che questi impattino sul business.

Il successo di tali attacchi dipende in gran parte dalle scarse pratiche di patching e dai dispositivi che utilizzano sistemi operativi ormai privi di supporto, specialmente in ambito sanitario, manifatturiero e delle utilities.

Non solo, ad aggravare questa situazione l’aumento del numero di dipendenti che lavorano in remoto anche attraverso i propri dispositivi personali non aderenti agli standard di sicurezza delle organizzazioni, che introducono ulteriori vulnerabilità.

Pertanto, la scansione regolare delle vulnerabilità, unitamente a test di penetrazione devono essere presi in considerazione al fine di determinare la corretta postura di sicurezza aziendale in grado di contrastare attacchi ransomware, malware evoluti e altri cyber attacchi.

Per Daverio se da un lato la tecnologia è oggi disponibile, attraverso servizi basati su cloud per firewall ed endpoint, e migliorata per prevenire tecniche avanzate che aggirano la tecnologia sandboxing, i responsabili della sicurezza non devono essere preparati solo sulle recenti misure di sicurezza ma anche avvalersi delle competenze di esperti o partner che, aggiornati costantemente sulle più recenti tecniche di attacco, possono valutare regolarmente i controlli di sicurezza e implementare le soluzioni necessarie più adatte.

Come bloccare la catena

Il principio di una difesa forte dell’intera infrastruttura aziendale end-to-end deve prevedere un approccio multi-livello che implica la consapevolezza di quelli che sono gli attacchi che lavorano nel web sommerso al fine di formare gli utenti su come stare attenti agli attacchi di pishing. Dove e come realizzare le linee di difesa sono altre considerazioni critiche per ridurre i rischi e mitigare le vulnerabilità in modo efficace.

Le tecnologie per la sicurezza insieme a professionisti qualificati per monitorare in tempo reale le minacce e gestire gli strumenti di sicurezza sono essenziali per consolidare costantemente la sicurezza delle infrastrutture aziendali.

In caso di attacco informatico, inoltre, un networking dinamico è cruciale per isolare le infezioni e ripristinare i file per garantire la continuità delle operazioni di business e ridurre l’impatto delle violazioni.

Il miglioramento delle pratiche di sicurezza richiede però budget adeguati. Le organizzazioni possono giustificare gli investimenti IT a fronte di analisi dell’impatto sul business per dare priorità a quegli asset che richiedono una maggiore protezione.

Queste analisi possono inoltre quantificare i costi potenziali che deriverebbero da un attacco informatico e stimare così la spesa per i controlli di sicurezza che ridurrebbero la probabilità di attacchi e quindi di impattare negativamente sul business.

Un framework in cinque punti

Prevedere ed essere aggiornati prima che un attacco si verifichi: fare una ricerca proattiva di quanto accade nel web sommerso, delle exploit che potrebbero essere utilizzate e dei mercati o delle aziende che potrebbero essere oggetto degli attacchi.

Proteggere: gli strumenti per la gestione delle identità e degli accessi (IAM) sono essenziali per la protezione dei dispositivi e degli asset di elaborazione aziendali. Il controllo di accesso alla rete (NAC) garantisce che solamente i dispositivi dotati di impostazioni di sicurezza appropriate e aderenti alle policy di sicurezza IT siano autorizzati ad accedere ai sistemi corporate.

Rilevare: procedere a implementazione di tecnologie in grado di rilevare anomalie nell’infrastruttura nel caso in cui si siano infiltrati malware negli endpoint o nella rete. La rete deve essere monitorata per verificare gli indicatori di compromissione. Optare per la rilevazione di traffico malevolo abilitato dall’Intelligenza artificialer potrebbe aiutare ad automatizzare un’individuazione repentina prima che l’attacco si aggravi.

Risposta: nel momento in cui un incidente ransomware viene identificato gli esperti di sicurezza devono agire velocemente per bloccare i canali di comunicazione dolosi a livello di firewall o IPS e mettere in quarantena le macchine infette.

Ripristino: il backup è una parte critica all’interno di una strategia di ripristino veloce. Inoltre, i sistemi di backup devono impedire la replica di file malevoli crittografati da ransomware. Questo è possibile grazie a una segmentazione dinamica e funzionalità di sicurezza intrinseche.

 

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato sulle novità tecnologiche iscriviti alla newsletter gratuita.
CONDIVIDI

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here