Come prevenire gli attacchi ransomware: le prime otto cose da tenere a mente

Gli attacchi ransomware sono diventati un problema enorme per quasi tutti i settori e le organizzazioni di ogni dimensione. Negli Stati Uniti, i funzionari federali l’hanno definita una delle più grandi minacce attualmente affrontate dalla nazione. Durante l’ultimo anno, i cyber criminali hanno attaccato scuole, corrieri, aziende sanitarie, studi medici e altro ancora. Dato l’impatto che questi attacchi possono avere sulle organizzazioni ovunque, i professionisti della sicurezza devono proteggere i propri sistemi, reti e software in modi nuovi.

Che cos’è un attacco ransomware?

Il ransomware è un tipo specifico di malware che tiene in ostaggio i dati in cambio di un riscatto. Come metodologia di attacco, ha il potenziale per causare gravi danni. Le e-mail di phishing sono un metodo di consegna molto comune, ma il ransomware può essere diffuso anche tramite download drive-by, ovvero quando un utente visita un sito Web infetto. Gli attacchi avanzati impiegano pochi secondi per compromettere gli endpoint e gli attacchi ransomware impiegano pochi secondi per danneggiare i tuoi sistemi e la tua infrastruttura. Ecco perché è fondamentale garantire che la tua azienda sia preparata. Man mano che gli attacchi diventano sempre più sofisticati, l’impatto del ransomware va oltre le perdite finanziarie e la perdita di produttività associata ai sistemi che si interrompono.
I tentativi di attacco e violazione dei dati sono inevitabili e nessuna azienda vuole essere costretta a decidere tra il pagamento di un riscatto e la perdita di dati importanti. Fortunatamente, queste non sono le uniche due opzioni. L’opzione migliore è evitare di essere costretti a quella decisione in primo luogo. Questo approccio richiede un modello di sicurezza a più livelli che includa controlli di rete, endpoint, applicazioni e data center basati su informazioni proattive sulle minacce globali. Con questo in mente, ecco nove cose da considerare per dare alla tua organizzazione le migliori possibilità di evitare attacchi ransomware.

Le otto cose principali da tenere a mente per evitare attacchi di ransomware

1. Sicurezza del gateway e-mail e sandboxing

La posta elettronica è uno dei vettori di attacco più popolari per gli attori delle minacce. Una soluzione gateway e-mail sicura fornisce una protezione multilivello avanzata contro l’intero spettro di minacce trasmesse tramite e-mail. Il sandboxing fornisce un ulteriore livello di protezione. Qualsiasi e-mail che supera il filtro e-mail e contiene ancora collegamenti, mittenti o tipi di file sconosciuti può essere testata prima che raggiunga la rete o il server di posta.

2. Sicurezza delle applicazioni Web/tecnologia firewall

Un Web Application Firewall (WAF) aiuta a proteggere le applicazioni Web filtrando e monitorando il traffico HTTP da e verso un servizio Web. È un elemento chiave per la sicurezza perché funge da prima linea di difesa contro gli attacchi informatici. Man mano che le organizzazioni eseguono nuove iniziative digitali, spesso espandono contemporaneamente la superficie di attacco. Le nuove applicazioni Web e le API (Application Programming Interface ) possono essere esposte a traffico pericoloso a causa di vulnerabilità del server Web, plug-in del server o altri problemi. Un WAF aiuta a proteggere queste applicazioni e il contenuto a cui accedono.

3. Condivisione di informazioni sulle minacce

Le organizzazioni devono disporre di informazioni fruibili in tempo reale per aiutare a mitigare le minacce invisibili. Le informazioni devono essere condivise tra i diversi livelli di sicurezza e prodotti all’interno dell’ambiente per fornire una difesa proattiva. Inoltre, questa condivisione delle informazioni dovrebbe estendersi alla più ampia comunità di sicurezza informatica al di fuori della tua azienda, come i Computer Emergency Response Team (CERT), i Centri di condivisione e analisi delle informazioni (ISAC) e le coalizioni di settore come la Cyber Threat Alliance. La condivisione rapida è il modo migliore per rispondere rapidamente agli attacchi e interrompere la catena di cyber kill prima che muti o si diffonda ad altri sistemi o organizzazioni.ù

4. Protezione dei dispositivi endpoint

Le tecnologie antivirus tradizionali non sempre fanno un buon lavoro e, poiché le minacce continuano a evolversi, in genere non riescono a tenere il passo. Le organizzazioni devono assicurarsi di proteggere adeguatamente i dispositivi endpoint utilizzando una soluzione di rilevamento e risposta degli endpoint ( EDR ) e altre tecnologie.
Nell’attuale ambiente delle minacce, gli attacchi avanzati possono richiedere minuti o secondi per compromettere gli endpoint. Gli strumenti EDR di prima generazione semplicemente non possono tenere il passo perché richiedono il triage e le risposte manuali. Non solo sono troppo lenti per le minacce fulminee di oggi, ma generano anche un enorme volume di allarmi che gravano sui team di sicurezza informatica già oberati di lavoro. Inoltre, gli strumenti di sicurezza EDR legacy possono aumentare il costo delle operazioni di sicurezza e rallentare i processi e le capacità di rete, il che può avere un impatto negativo sull’azienda.
Al contrario, le soluzioni EDR di nuova generazione offrono informazioni avanzate sulle minacce in tempo reale, visibilità, analisi, gestione e protezione per gli endpoint, sia prima che dopo l’infezione per proteggersi dal ransomware. Queste soluzioni EDR possono rilevare e disinnescare potenziali minacce in tempo reale per ridurre in modo proattivo la superficie di attacco e aiutare a prevenire l’infezione da malware e automatizzare le procedure di risposta e riparazione con playbook personalizzabili.

5. Backup dei dati e risposta agli incidenti

La tua azienda dovrebbe essere in grado di eseguire backup di tutti i tuoi sistemi e dati e archiviarli fuori dalla rete. Anche questi backup dovrebbero essere testati per assicurarsi di poter eseguire correttamente il ripristino.
Ogni azienda dovrebbe disporre di un piano di risposta agli incidenti, per garantire che sia preparata se colpita da un attacco ransomware. Le persone dovrebbero avere compiti specifici assegnati in anticipo.

6. Implementazione Zero Trust

Il modello di sicurezza zero trust presuppone che chiunque o qualsiasi cosa tenti di connettersi alla rete sia una potenziale minaccia. Questa filosofia di sicurezza della rete afferma che nessuno all’interno o all’esterno della rete dovrebbe essere considerato affidabile a meno che la sua identificazione non sia stata accuratamente controllata. Zero trust riconosce che le minacce sia all’esterno che all’interno della rete sono un fattore onnipresente. Questi presupposti impongono un cambio di paradigma, costringendo i team IT a progettare misure di sicurezza rigorose e affidabili.
Con un approccio zero-trust , ogni individuo o dispositivo che tenta di accedere alla rete o all’applicazione deve essere sottoposto a una rigorosa verifica dell’identità prima di concedere l’accesso. Questa verifica utilizza l’autenticazione a più fattori (MFA) e richiede agli utenti di fornire più credenziali prima che gli venga concesso l’accesso.

7. Firewall e segmentazione della rete

La segmentazione della rete è sempre più importante con l’aumento dell’adozione del cloud, soprattutto negli ambienti multi-cloud e cloud ibridi. Con la segmentazione della rete, le organizzazioni suddividono la propria rete in base alle esigenze aziendali e concedono l’accesso in base al ruolo e allo stato di attendibilità corrente. Ogni richiesta di rete viene esaminata in base allo stato di attendibilità corrente del richiedente. Questo è estremamente vantaggioso per prevenire il movimento laterale delle minacce all’interno della rete, se effettivamente entrano nella rete.

8. La formazione degli utenti e una buona igiene informatica (Cyber Hygiene) sono fondamentali

Gli esseri umani devono essere al centro di qualsiasi strategia di sicurezza informatica. Secondo il Verizon Data Breach Investigations Report 2021 , l’85% delle violazioni dei dati coinvolge l’interazione umana. Puoi avere tutte le soluzioni di sicurezza del mondo, ma se hai trascurato la formazione dei tuoi dipendenti sulla consapevolezza informatica, non sarai mai veramente al sicuro. Assicurati che tutti i tuoi dipendenti ricevano una formazione adeguata su come individuare e segnalare attività informatiche sospette, mantenere l’igiene informatica e proteggere i loro dispositivi personali e le reti domestiche. I dipendenti dovrebbero seguire una formazione quando vengono assunti e periodicamente durante il loro mandato, in modo che le informazioni rimangano aggiornate e in primo piano. Anche la formazione dovrebbe essere mantenuta aggiornata e includere eventuali nuovi protocolli di sicurezza che potrebbero dover essere implementati.
Le aziende devono anche praticare una buona igiene informatica di base per garantire che tutti i sistemi siano adeguatamente aggiornati e protetti.
Sei completamente attrezzato per evitare un attacco ransomware?
Gli attacchi ransomware sono ovunque. Le dimensioni dell’azienda e il settore non contano più poiché i criminali cercano un facile punto di ingresso nella rete. Il passaggio globale al lavoro a distanza ha aperto molte backdoor di sicurezza che i malintenzionati possono sfruttare e stanno sfruttando al massimo il loro momento. Secondo il Fortinet Global Threat Landscape Report , alla fine del 2020 c’erano fino a 17.200 dispositivi che segnalavano ransomware ogni giorno.
Eppure le organizzazioni non sono affatto indifese. Potrebbero essere necessari alcuni ripensamenti e riorganizzazioni, ma sono disponibili strumenti in grado di fornire una protezione significativa contro gli attacchi ransomware.
IQUAD fornisce ai suoi clienti una soluzione, che unisce le migliori tecnologie disponibili sul mercato e aiuta a proteggere la tua azienda.

Microsoft 365, Microsoft 365 Defender, Veeam, Fortinet