Come evitare gli attacchi ransomware? Una domanda che si pongono in molti ma non tutti riescono ad accettare una risposta. Si prevede che il ransomware produrrà oltre 265 miliardi di dollari di entrate per i cybercriminali entro il prossimo decennio, minacciando significativamente le aziende.
Questi ultimi utilizzano il modello di ransomware as a service per incrementare il loro guadagno. Sanno come costruire un business di successo, reclutando i talenti, creando framework versatili con gli strumenti per ogni fase dell’attacco, da quella di ricognizione, al movimento laterale, all’esfiltrazione dei dati, alla crittografia, fino ad arrivare al pagamento e alla decrittazione.
Le aziende non possono permettersi tempi d’inattività e danni alla produttività, o non hanno soldi per pagare. Bisogna dunque adottare delle misure per ridurre il rischio di violazione e mitigare l’impatto in caso di un attacco.
Diverse tipologie di attacchi
Nonostante abbia più risonanza mediatica il termine “ransomware”, i vettori più utilizzati dai cybercriminali per diffondere malware sono il social engineering, l’email di phishing e i link di email dannose. In particolare, l’edizione 2021 del Data Breach Investigations Report di Verizon individua il phishing come la causa principale del 36% di tutte le violazioni.
Una volta cliccato su un link, gli utenti vengono indirizzati a un sito web che tenterà di ottenere le loro credenziali con il fine eventuale di scaricare, installare ed eseguire un exploit di script dannoso sul loro device mobile o nella RAM utilizzata dal malware fileless. Inoltre, quando il malware s’infiltra in un’azienda attraverso l’escalation dei privilegi, può ottenere il controllo su file e infrastrutture più critici, causando incidenti come l’attacco a Colonial Pipeline.
Anche le vulnerabilità non patchate nel software sono un problema, soprattutto perché l’aggiornamento è spesso dimenticato o trascurato a causa della difficoltà di patchare manualmente ognuna di esse.
Senza il patching delle vulnerabilità, i cybercriminali possono sfruttare i vettori noti per ottenere un punto d’appoggio sugli endpoint collegati. Tali vulnerabilità si trasformano così in Advanced Persistent Threat (APT), spesso nascoste e silenti nella rete di un’azienda prima di un attacco.
Misure preventive agli attacchi
Poiché gli utenti finali sono spesso l’anello più debole della cybersecurity, occorre dotarsi di una strategia zero-trust a più livelli che si basa sul principio “verificare sempre, non fidarsi mai”.
In questo modello di sicurezza, si eliminano le password, utilizzando l’autenticazione a più fattori (MFA) e garantendo così l’identità dell’utente nel sistema di gestione degli accessi.
Anche la cyber hygiene è fondamentale, gestendo le patch e le vulnerabilità. Le tecnologie di iper-automazione come l’apprendimento profondo, l’apprendimento supervisionato e l’apprendimento non supervisionato, possono monitorare ciò che sarà patchato in tempo reale, abilitando anche la raccolta di informazioni.
Inoltre, unendo la gestione delle patch e quella dei privilegi in un’unica soluzione, i device e le applicazioni possono essere sottoposti a patch da un componente del cloud anche quando sono all’esterno della rete aziendale, consentendo un controllo continuo.
L’iper-automazione può, altresì, garantire che endpoint, dispositivi edge e dati siano individuati, gestiti, protetti e controllati. Oltre alle misure d’igiene dei device e a quelle di sicurezza dell’identità degli utenti, anche un’efficace soluzione di rilevamento e risposta è utile per identificare i comportamenti sospetti e abilitare un’attività di threat hunting efficiente.
I dipendenti rappresentano la prima linea di difesa
Per prevenire le violazioni è importante anche la formazione, specialmente per quanto riguarda le email di phishing. Nel report di Verizon, “il fattore umano” è un problema nell’85% degli attacchi. Nonostante i gateway di posta individuino molte email di phishing come spam, un dipendente sprovveduto può ancora cliccare su un link, compromettendo le proprie credenziali.
Unitamente all’utilità delle sessioni di formazione, anche l’invio di false campagne di phishing è efficace. Difatti, i team IT educano i dipendenti, spiegando loro gli errori e mostrando i segnali d’allarme che possono esser sfuggiti. Questi ultimi, controllando anche le email dei team IT, vigileranno così per evitare le minacce reali.
Ransomware: pagare o non pagare?
Le autorità governative di cybersecurity consigliano di non pagare il riscatto, sia perché non garantisce il recupero di file o la rimozione del codice dal proprio sistema aziendale, sia perché incentiva i cybercriminali a perseverare nell’azione perniciosa. Occorre, invece, adottare una strategia contro i ransomware, dando priorità gli aspetti di difesa e di salvataggio completo attraverso molteplici esercitazioni.
In definitiva, quindi, è indispensabile dotarsi di una strategia zero-trust che potenzi le misure d’autenticazione con l’iper-automazione, la formazione e un recovery plan efficace, evitando il pagamento e fornendo la migliore strategia di sicurezza contro gli attacchi futuri.
a cura di Nigel Seddon, VP EMEA West di Ivanti