Ransomware
SICUREZZA INFORMATICA

11 Consigli per affrontare un Ransomware

di Pierguido Iezzi

Gli attacchi Ransomware sono sempre di più in cima alla lista dei most feared per ogni reparto IT e CISO in quasi tutte le aziende.

Se non adeguatamente preparati, solitamente la scelta per risolvere l’incident si limita a dover pagare il riscatto – senza la certezza di riuscire a recuperare i dati crittati (data recovery) – o essere costretti a spendere ingenti somme di denaro e tempo (si parla di una media di oltre 700mila euro) per tentare un ripristino.

Non bisogna gettare la spugna

Il Ransomware sfortunatamente è una delle tecniche di Criminal Hacking più redditizie in circolazione e continua ad attirare tantissimi gruppi di Cyber Criminali che si lanciano in campagne sempre più ad ampia scala e sempre più mirate.

Il problema, in aggiunta, è che questa attrattiva ha richiamato anche threat actors meno abili che approfittano del Dark Web (che in questo caso opera come un e-commerce perverso) e di servizi di Ransomware-as-a-service per sferrare attacchi.

Insomma, a prescindere dall’approccio, nel mondo sempre più connesso delle imprese 4.0, sottovalutare il rischio di un attacco Ransomware sta sempre diventando una questione di quando più che di se.

Sembra una profezia nefasta, ma per fortuna agendo seguendo alcune best practice del settore si può rimediare e difendersi efficacemente da questa minaccia sempre incombente.

Gli step

1: Fai una mappatura della tua possibile superfice d’attacco

È difficile proteggere qualcosa che non sai di dover difendere, sembra banale come considerazione, ma non sempre tutte le aziende hanno ben definito la mappatura di tutti gli asset aziendali e della possibile superfice d’attacco. Questo ha il duplice obiettivo di fornire un overview completa dei possibili target di un attacco Criminal hacker e di fornire una baseline precisa nel caso sia necessaria un’attività di recovery.

2: Aggiorna, aggiorna, aggiorna!

Stabilire un piano per il regolare aggiornamento di tutti i device e network alle ultime patch di sicurezza dovrebbe essere una base practice piuttosto che una best practice. Sfortunatamente non sembra una regola sempre seguita in tutte le organizzazioni. Certo, non tutti i sistemi sono stati pensati per essere tolti dalla rete per essere aggiornati, in questo caso è consigliato – quando è possibile – sostituirli o proteggerli con dei controlli di prossimità molto rigidi.

3: Aggiornate i vostri sistemi di sicurezza

Oltre ad aggiornare i vostri dispositivi collegati in rete e tutti i device IoT e non, dovete anche assicurarvi che tutte le vostre soluzioni di sicurezza eseguano i loro ultimi aggiornamenti di sicurezza. Questo è particolarmente importante per la vostra Secure Email Gateway (SEG). La maggior parte dei Ransomware – in particolare i meno avanzati – entra in un’organizzazione via e-mail di Phishing e una soluzione SEG dovrebbe essere in grado di identificare e rimuovere gli allegati e i link dannosi prima che vengano consegnati al destinatario.

Non vanno neppure sottovalutate opzioni come whitelist delle applicazioni e blacklist di siti considerati dannosi, la mappatura e la limitazione dei privilegi aziendali e l’applicazione di politiche ben definiti nell’impostazione password.

4: Segmentate la vostra rete

La segmentazione della rete (Network segmentation) garantisce che i sistemi compromessi e i malware siano contenuti in un segmento specifico della rete in caso d’infezione. Allo stesso modo è un’ottima idea mantenere i servizi critici fisici (come i servizi di emergenza o le risorse fisiche come i sistemi HVAC) su una rete separata e segregata. Pensati all’impatto di un Ransomware in grado di bloccare il sistema di raffreddamento di una sala Server.

5: Non sottovalutate la sicurezza del network “esteso”

Se siete stati in grado di mettere in piena sicurezza il network interno, assicuratevi che le stesse soluzioni di Cyber Security siano anche implementate sulla vostra nella vostra rete estesa (quindi Operational Technology, gli ambienti in cloud e tutte le possibili filiali nel caso siano presenti). Non vanno ignorate anche le connessioni di organizzazioni (come partner, clienti o fornitori) che sono in contatto con la vostra rete.

6: Isola I tuoi sistemi di recovery e fai backup regolari

È necessario eseguire regolarmente backup di dati e di sistemi e, altro passaggio fondamentale, memorizzarli fuori dalla rete in modo che non vengano compromessi in caso di violazione.

Ma ciò potrebbe non essere sufficiente, è anche fortemente consigliato eseguire la scansione di questi backup alla ricerca di tracce di malware.

È inoltre necessario assicurarsi che tutti i sistemi, i dispositivi e i software necessari per un completo ripristino del sistema siano isolati dalla rete in modo da essere completamente disponibili nel caso in cui sia necessario il ripristino dopo un attacco andato a buon fine

7: Eseguire le esercitazioni di recupero dati (Recovery Drills)

Le regolari esercitazioni di Recovery Drills assicurano che i dati di backup siano prontamente disponibili, che tutte le risorse necessarie possano essere ripristinate senza problemi e che tutti i sistemi funzionino come previsto. Assicurano inoltre che le catene di comando siano in atto e che tutti gli individui e le squadre addette alla recovery comprendano le loro responsabilità.


8: Affidarsi a consulenti esterni

In caso di violazione affidarsi a società esperte in per assistervi nel processo di recupero è sicuramente la migliore via per risolvere rapidamente ed efficacemente la situazione.

9: Seguite le ultime notizie sul Ransomware

Rimanete al corrente delle ultime notizie che parlano di Ransomware e fate in modo che sia un’abitudine per il vostro team imparare come e perché i sistemi sono stati compromessi e poi applicate queste lezioni al vostro ambiente di lavoro.

10: Lavorate sull’awerness dei dipendenti

Anziché essere l’anello più debole della vostra catena di sicurezza, i vostri dipendenti devono essere la vostra prima linea di difesa informatica. Poiché i Ransomware di solito s’insinuano nelle reti grazie a campagne di phishing, è indispensabile educarli alle ultime tattiche che i criminali informatici utilizzano per ingannarli, sia che si rivolgano a dispositivi aziendali, personali o mobile. Attività di formazione mirata come il Phishing Attack Simulation permettono di mantenere alto il livello di attenzione e di compiere un’attività di formazione al contempo.

11: Mettete in primo piano la sicurezza preventiva

Proteggere i dati aziendali, oggi, richiede strumenti adeguati, aggiornati e con un rapporto costi/benefici che sia in linea con il budget aziendale.

Nello specifico, la sicurezza preventiva richiede soluzioni che permettano verificare le vulnerabilità del sistema nel suo insieme e capire così quali sono i punti su cui concentrare le risorse. 

Questo perché gli attacchi Ransomware hanno due canali principali d’ingresso, quello umano come il phishing, e quello delle vulnerabilità non rilevate e non risolte.

Per questo sono imprescindibili soluzioni come Vulnerability Assessment  e Network scan.

Nel primo caso si tratta di un’analisi di sicurezza che ha l’obiettivo di identificare tutti le vulnerabilità potenziali dei sistemi e delle applicazioni. Come? Spottando e valutando il danno potenziale che l’eventuale “attaccante” può infliggere all’unità produttiva.

Il Network scan, invece, è uno scan specifico e dettagliato che analizza l’IP di un network in modo da identificare le sue vulnerabilità e punti deboli.

Mettere in Sicurezza il Framework

Ovviamente questi step possono essere macchinosi da implementare autonomamente all’interno di un’organizzazione.

Per questo motivo nasce il servizio di Cyber Security Framework Checkup di Swascan.

Il servizio permette di:

  • Valutare il Cyber Security Framework in essere;
  • Effettuare una Gap Analysis tra l’AS IS e gli standard e best practice di Cyber Security Governance;
  • Redigere una Road Map da seguire per ottenere il massimo livello di Cyber Resillience

© Italiaonline S.p.A. 2020Direzione e coordinamento di Libero Acquisition S.á r.l.P. IVA 03970540963