Attacchi Ransomware – Strategie di difesa avanzate

Proteggi l’infrastruttura dalle minacce del ransomware.

Strategie per difendere i dati dal ransomware.

Implementare una prima linea di difesa robusta in grado di combattere gli attacchi ransomware è importante.
Ma bisogna fare di più.

Cosa è il ransomware

Il ransomware è un software dannoso progettato per sequestrare i file di un utente in cambio di un riscatto. Gli autori dell’attacco crittografano i file e richiedono all’utente di pagare una somma, generalmente in Bitcoin, per de-crittografarli.

Il ransomware viene diffuso in genere tramite exploit kit, malvertising (annunci pubblicitari infetti su un sito web), phishing (e-mail fraudolente spacciate per affidabili) o campagne di spam. L’infezione reale può iniziare quando le persone selezionano un link su un annuncio o su una pagina web compromessa che infetta chiunque visiti quel sito. Anche l’apertura di allegati e-mail fraudolente può innescare l’infezione e propagarla all’intero insieme di dati dell’utente.

La formazione degli utenti è un modo proattivo per proteggersi dal ransomware. Poiché il ransomware spesso ha inizio con tentativi di phishing e ingegneria sociale, utenti formati per identificare gli attacchi sono un buon accompagnamento per altre misure anti-malware. I sistemi combinati, la formazione e gli anti-malware riducono notevolmente il rischio per la cybersecurity. Se i sistemi anti-malware falliscono, gli utenti addestrati a identificare un attacco non vengono indotti con l’inganno a eseguire applicazioni dannose.

Si stima che entro il 2021, ogni 11 secondi una nuova azienda verrà colpita da un attacco ransomware, generando un costo globale stimato per le aziende di 20 miliardi di dollari 1.

Protezione dal ransomware

Per risolvere il problema del ransomware, serve una combinazione di persone, processi e strumenti. Mettendo in atto ognuno dei seguenti strategie, è possibile affrontare il ransomware con la consapevolezza che i dati aziendali sono protetti, le attività nocive possono essere rilevate e si può seguire un  piano di recovery dopo l’attacco.

HARDWARE E SOFTWARE RINFORZATI

La natura complessa e interconnessa dei sistemi IT offre al ransomware la possibilità di distruggere tutti i dati di un’impresa attraverso un unico punto di ingresso. Una difesa più solida contro tale vulnerabilità consiste nel ridurre la superficie di attacco IT attuando procedure per fortificare hardware e software, come l’autenticazione a più fattori, la gestione delle password consapevole dei rischi e l’accesso basato su ruoli.

BACKUP SICURI CON ARCHIVIAZIONE NON MODIFICABILE

I backup costituiscono l’ultima linea di difesa contro i ransomware. Quindi rappresentano uno degli obiettivi principali per i crimini informatici al fine di ridurre la capacità di recupero delle vittime. È possibile ovviare a questo problema implementando un sistema di archiviazione in grado di scrivere dati che non possono essere modificati o cancellati. Se un ransomware riesce a penetrare le difese dell’infrastruttura IT, i dati scritti con protezione WORM (Write Once Read Many) sono al sicuro e non possono essere criptati o cancellati.

PROTEZIONE DEI DATI TRAMITE ISOLAMENTO

I backup connessi a una rete sono vulnerabili agli attacchi informatici. È fondamentale creare uno spazio fisico tra il sistema e dati archiviati per proteggerli e ridurre la loro vulnerabilità. I backup offline sono una delle poche misure infallibili in grado di impedire di accedere ai dati e crittografarli. Individuare una soluzione che semplifichi la duplicazione e la replica su un supporto di archiviazione in grado di essere isolato, per poi disconnetterlo dalla rete.

AVVISI E REPORT

Avere la consapevolezza e il controllo dei dati, dell’infrastruttura e delle attività degli utenti è fondamentale per rilevare le vulnerabilità.

È importante implementare una soluzione che offra la visuale completa dell’infrastruttura in grado di identificare le lacune di protezione e sicurezza, di eseguire la scansione dei dati nei backup e nello spazio di archiviazione e di creare uno standard di base per l’attività del sistema, l’accesso e il comportamento degli utenti.

Processi per la business continuity e il recovery

Business continuity e Disaster recovery si rivelano strumenti imprescindibili per preservare la performance aziendale in casi di eventi che minacciano le funzionalità a qualunque livello: tecnologico, ma non solo. Si tratta però di processi caratterizzati da un alto grado di complessità: sia nelle valutazioni necessarie degli investimenti da effettuare, sia nell’articolazione degli step da adottare successivamente.

Cos’è la business continuity

La Business Continuity (BC) è la capacità dell’azienda di mantenere la funzionalità operativa a seguito di eventi che ne minaccino le funzionalità a qualunque livello, non solo tecnologico: per esempio un’azione legale, un problema di compliance alle normative, un cambio di sede. Il Business Continuity Plan è lo strumento che stabilisce le strategie da adottare per mantenere la produttività.

Cos’è il disaster recovery

Nel caso di eventi che compromettano l’infrastruttura tecnologica interviene il Disaster Recovery che, secondo la definizione che ne dà Wikipedia, è: “… l’insieme delle misure tecnologiche e logistico/organizzative atte a ripristinare sistemi, dati e infrastrutture necessarie all’erogazione di servizi di business per imprese, associazioni o enti, a fronte di gravi emergenze che ne intacchino la regolare attività”.

Affrontare la minaccia da Ransomware

Gli attacchi ransomware possono essere devastanti. I punti appena descritti consentono di sviluppare una strategia di resilienza in grado di proteggere i dati e l’infrastruttura dell’azienda contro le minacce, in modo da poter affrontare con maggior sicurezza il rischio del ransomware.

È fondamentale ottimizzare la risposta in caso di attacchi mettendo in atto tecnologie a supporto della protezione dei sistemi IT, del rilevamento di attività dannose e del recovery strategico, se necessario.

Note

1.THE NATIONAL LAW REVIEW, “RANSOMWARE ATTACKS PREDICTED TO OCCURR EVERY 11 SECONDS IN 2021 WITH A COST OF 20 BILLION” – 13 FEBBRAIO 2021.


Torna su