“Avevate il buckup offline?”
Quasta è la domanda che quasi ogni giorno mi trovo a fare e la risposta è sempre la stessa…
Sono ormai 3 anni che gli attacchi ransomware aumentano in modo incrementale, sintomo che da un lato il cybercrime ci investe, perché ottiene enormi profitti con basso profilo di rischio di arresto, dall’altro perché le aziende stentano ancora a credere che potrebbe capitare a loro quindi non investono ancora un minimo per contrastare queste minacce.
Facendo un raffronto molto attuale, possiamo dire che il ransomware è ormai una pandemia che funesta i sistemi IT, e pur esistendo un vaccino nessuno si protegge, sperando che l’infezione non capiti proprio a loro.
Molte aziende ignorano il problema e di queste nessuna ricorre almeno a corsi di awareness (per creare lo Human Firewall) che contribuirebbe a limitare la superficie di attacco almeno da tecniche di phishing. (Cos’è lo Human Firewall? Per chi se lo fosse perso, ne abbiamo parlato nel nostro articolo: https://www.adora-ict.com/difesa-cybercrime/)
Bisogna ricordare che un attacco ransomware andato a segno, che si paghi o meno il riscatto o si subisca la diffusione sulla rete di tutti i dati sensibili aziendali, genera comunque una serie di danni come ad esempio: blocco o rallentamento dell’operatività aziendale, danno di immagine, perdita di controllo sui dati sensibili (anche di clienti e fornitori)… con il rischio di possibili sanzioni da data breach.
Non ci sono più scuse, inserire oggi un dispositivo che possa bloccare le minacce come il ransomware è diventata una sorta di MUST HAVE, perché se non ci si protegge, prima o poi si cade vittima. Anche se si è preparati, gli attacchi ransomware sono in continua evoluzione e le versioni più recenti iniziano a sfruttare malware che si inolculano tramite vulnerabilità e sfruttano tattiche sofisticate di esfiltrazione dati prima di operare la cifratura degli stessi.
Strumenti di sicurezza convenzionali rilevano solo le minacce informatiche note, utilizzando regole e firme, sono ciechi all’evoluzione dei ceppi di ransomware per cui tali firme non esistono.
I team di sicurezza non possono tenere il passo con queste minacce utilizzando i soli controlli tradizionali. Una soluzione valida è rappresentata dall’impiego di una tecnologia di sicurezza in grado di fermare il ransomware appena si presenta, prima che possa fare danni.
La piattaforma Darktrace Immune System è straordinariamente capace di neutralizzare il ransomware in tempo reale, senza basarsi su firme note delle minacce.
Basato sull’apprendimento automatico non supervisionato e speciali tecniche di apprendimento, l’intelligenza artificiale “Cyber AI” apprende i “modelli di normalità” per ogni utente e tecnologia nell’organizzazione, sarà così in grado di riconoscere le sottili deviazioni che indicano una minaccia emergente.
L’Enterprise Immune System utilizza l’evoluzione dell’intelligenza artificiale sull’apprendimento di situazioni normali affinché riesca ad evidenziare qualsiasi minaccia informatica, inclusi ransomware mai visti prima, che sono in grado di eludere tutte le altre strategie difensive. Una parte fondamentale da sottolineare è l’approccio del sistema immunitario Cyber AI Analyst: esamina automaticamente ogni minaccia, aiuta a identificarla facilmente ed apre un incidente per il dispositivo interessato comunicando l’intera portata dell’incidente ransomware.
Dopo aver segnalato un grave attacco, Darktrace Antigena – la tecnologia di risposta autonoma della piattaforma – contiene l’attività dannosa in pochi secondi, neutralizzando chirurgicamente gli attacchi pur non influendo sulle normali operazioni aziendali.
- La tecnologia si adatta in modo intelligente alle minacce e fornisce una copertura 24 ore su 24, 7 giorni su 7, proteggendo i sisemi anche quando gli operatori e gli specialisti della sicurezza non sono disponibili.
- La resilienza alla velocità della macchina è fondamentale per ridurre al minimo l’impatto di ransomware, che spesso può crittografare i dati di un’azienda in pochi minuti.
- Quando emerge il ransomware, Antigena Network è l’unica soluzione che può interrompere l’attacco a velocità macchina e con precisione chirurgica, anche se la minaccia è altamente specializzata e del tutto sconosciuta. Risponde autonomamente con un’azione intelligente e proporzionata: come l’interruzione di una connessione tra il sistema infetto ed il resto della rete.
Darktrace è il creatore della tecnologia Antigena Autonomous Response, che utilizza la conoscenza in evoluzione di Cyber AI di un’organizzazione per adattarsi alle minacce in tempo reale per eseguire l’azione più appropriata in base al proprio contesto specifico.
Invece di applicare un blocco binario (ad es. mettere completamente in quarantena il dispositivo) come farebbero gli strumenti legacy, Antigena agisce chirurgicamente per fermare l’attacco, assicurando che tutte le normali operazioni aziendali possano continuare. La tecnologia può anche integrarsi con altri sistemi di sicurezza esistenti per migliorare l’intero stack di sicurezza, fornendo informazioni e azioni basate sull’intelligenza artificiale a firewall, SIEM e altri strumenti già integrati in azienda.
Molti attacchi ransomware hanno origine tramite piattaforme di posta elettronica, ma gli approcci di rilevamento legacy basati su regole e firme non sono abbastanza potenti da catturare ogni volta ransomware avanzati. Queste soluzioni tradizionali sono di portata limitata e non riescono a collegare l’attività di posta elettronica ad azioni dannose correlate in tutta l’infrastruttura digitale.
Con la potenza della Cyber AI, Antigena Email costruisce una profonda comprensione dell’unico essere umano dietro l’indirizzo email. Quindi risponde in modo autonomo e proporzionato per fermare la minaccia trattenendo completamente l’e-mail, bloccando un collegamento o convertendo gli allegati in un tipo di file innocuo.
Il ransomware dovrebbe superare la posta in arrivo ed entrare nella rete, Antigena Email è in grado di funzionare in modo univoco con il sistema immunitario aziendale per tracciare l’origine dell’attacco e prevenire la diffusione laterale.
L’intelligenza artificiale informatica ad autoapprendimento consente al sistema immunitario aziendale di rilevare i minimi cambiamenti nell’attività ordinaria, che indicano l’emergere di ransomware, senza fare affidamento su informazioni e minacce note.
Per saperne di più consulta la nostra offerta https://www.adora-ict.com/wp-content/uploads/2022/02/DT-Control-Room-v1.2.pdf
Puoi richiedere Darktrace in prova per 30 giorni prima di decidere se acquistare il servizio. Contattaci: https://www.adora-ict.com/contatti/
Massimiliano Graziani
CISO Adora ICT
