Il ransomware non è certo una novità. Da tempo è una delle minacce principali per le aziende di tutto il mondo. Tuttavia, questa minaccia, un tempo relativamente semplice, sta diventando sempre più complessa.
In precedenza, i criminali informatici violavano le difese perimetrali, rilasciavano il loro payload dannoso e chiedevano un riscatto per "risolvere" la situazione. Questo metodo di attacco di forza bruta veniva solitamente risolto tramite attività di rilevamento, contenimento e ripristino. Fondamentalmente, i sistemi venivano chiusi e si effettuava il ripristino tramite backup.
Oggi, il ransomware è molto più sofisticato, mirato e con una portata più vasta. Piuttosto che forzare l'ingresso, i criminali informatici prendono di mira gli utenti per ottenere le loro credenziali d’accesso, ingannarli per fargli commettere un errore o convincerli a lanciare un attacco dannoso contro il loro datore di lavoro.
Per difendersi da questo tipo di attacchi, i team della sicurezza informatica devono adottare un approccio “Shift Left” e intervenire nella fase iniziale della catena di attacco. Rilevare le minacce e garantire il ripristino delle attività non è più sufficiente: è necessario dare priorità alla preparazione, alla prevenzione e alle persone.
Figura 3-2. Ciclo di vita della risposta agli incidenti (Rilevamento e analisi)
Preparazione
Rilevamento e analisi
Contenimento, eliminazione e ripristino
Attività post-incidente
Proteggere i tuoi dati
L'approccio orientato volta a rilevare e neutralizzare il ransomware era sufficiente quando il problema riguardava esclusivamente la protezione delle informazioni. Tuttavia, i criminali informatici hanno cambiato tattica per preservare i loro flussi di guadagno dato che sono sempre meno le aziende che cedono alle richieste di riscatto.
Il ransomware attuale oggi spesso ha un obiettivo in più, come lo spionaggio aziendale o il furto di dati, che richiede un approccio di prevenzione della perdita di dati (DLP).
Per questo motivo, per essere efficace una soluzione di protezione contro il malware deve focalizzarsi sui dati e deve partire dalla classificazione. È necessario identificare quali sono i dati a rischio, chi ha bisogno di accedervi, chi vi ha accesso e il loro valore per i criminali informatici.
Nel fare queste classificazioni, non bisogna limitarsi all’area geografica e all'ubicazione dei dati. Il modello tradizionale basato sui dati in uso e a riposo è ormai un ricordo del passato. Una moderna strategia DLP deve seguire l’utente ovunque si sposti, poiché sono i tuoi dipendenti che mettono i tuoi dati in pericolo.
Il problema umano
Dato che oltre il 90% degli attacchi informatici richiede l’intervento dell’uomo, i tuoi utenti rappresentano il principale fattore di rischio per la tua azienda.
Oggi, i criminali informatici difficilmente violano l’azienda. Nella maggior parte dei cavi vengono invitati dai tuoi dipendenti che si tratti di dolo, negligenza o a seguito di una violazione. Più conosci i tuoi dipendenti, la loro attività e i loro comportamenti, meglio potrai individuare i primi segnali di allarme di un attacco, indipendentemente dalla sua origine.
Utenti malintenzionati: un utente malintenzionato è un utente che cerca intenzionalmente di danneggiare la tua azienda. Può trattarsi di un dipendente contrariato e in cerca di vendetta o che fornisce a criminali, dietro compenso, l’accesso alle tue reti e ai tuoi dati.
La vigilanza è fondamentale per individuare gli utenti malintenzionati. Implementa una soluzione in grado di rilevare i comportamenti sospetti come accessi in orari inusuali o richieste d’accesso insolite, e limitare l’accesso alle informazioni sensibili solo agli utenti che godono dei privilegi più elevati.
Utenti negligenti: un utente negligente permette involontariamente ai criminali informatici di infiltrarsi nelle tue difese perimetrali. ad esempio perché non si scollegano in modo corretto dai sistemi aziendali, utilizzano password predefinite o non applicano le patch di sicurezza.
Per individuare le azioni negligenti dei tuoi team, verifica le abitudini di sicurezza scorrette, come l'annotazione delle password, l'installazione di applicazioni non autorizzate, ecc.
Utenti compromessi: un utente compromesso è un utente le cui credenziali d’accesso o dispositivi sono stati violati dai criminali informatici. Gli account e i dispositivi possono venire compromessi da malware, phishing o altre forme di attacchi mirati.
Purtroppo, la compromissione degli account è particolarmente difficile da individuare. La miglior difesa consiste nel ridurre al minimo il rischio di violazione, tramite l’utilizzo di protezioni come l’autenticazione a due fattori e la formazione sulla sicurezza informatica.
Eliminazione del ransomware
L'obiettivo finale del ransomware possono essere i tuoi dati, le tue reti e i tuoi sistemi. Ma tale obiettivo può essere raggiunto solo tramite il coinvolgimento dei tuoi dipendenti. Perciò, il modo più efficace per prevenirlo è rimuovere totalmente il fattore umano.
Una solida soluzione per la protezione dell'email e la prevenzione della perdita dei dati, ti permette di analizzare, filtrare e bloccare i messaggi dannosi prima che raggiungano la casella email. Tuttavia, anche le migliori difese perimetrali non sono infallibili.
Le misure di protezione dell’email devono essere devono essere combinate con una visibilità approfondita sulla telemetria proveniente dai registri di accesso e dall'attività di rete. Devi sapere chi accede ai tuoi dati, come, quando e per quale motivo. Maggiori sono le informazioni a tua disposizione, tanto più velocemente puoi rilevare qualsiasi attività insolita.
Ma non dimentichiamo l’ultima linea di difesa: i tuoi dipendenti. Ogni dipendente deve sapere esattamente cosa fare in caso di attacco ransomware e quanto costerà all’azienda non riuscire a bloccarlo. Ma soprattutto deve capire come il proprio comportamento possa mettere a rischio la sicurezza dell’azienda.
A tal fine, è necessaria una formazione di sensibilizzazione alla sicurezza informatica continua ed evolutiva che vada oltre i questionari a risposta multipla e le best practice standard. L’obiettivo finale di qualsiasi programma di formazione dovrebbe essere quello di creare una cultura della sicurezza in cui la sicurezza informatica sia una responsabilità di tutti.
Data la crescente complessiva del ransomware, contro cui le difese tradizionali non impotenti, c’è un solo rimedio: la prevenzione.
Per saperne di più leggi questa panoramica sull’approccio moderno alla protezione delle informazioni.
Per saperne di più sulla prevenzione della perdita dei dati e delle minacce interne
Il quarto numero di New Perimeters, “Le perdite di dati non avvengono per magia” è ora disponibile.
Gli attacchi sono sempre più mirati, ma una costante rimane: i criminali informatici prendono di mira le persone. Con l’evoluzione delle tecniche dei criminali informatici, è più importante che mai proteggere i tuoi dipendenti, i tuoi dati e le modalità per accedervi.
Scopri perché, a fronte di una forza lavoro distribuita, è necessario cambiare i metodi di prevenzione della perdita di dati e di protezione contro le minacce interne.