Con il termine ransomware si identifica un tipo di malware che limita l’accesso del dispositivo che infetta, richiedendo un riscatto (ransom in inglese) da pagare per rimuovere la limitazione. Alcune forme di ransomware bloccano il sistema e intimano l’utente a pagare per sbloccare il sistema, altri invece cifrano i file dell’utente chiedendo di pagare per riportare i file cifrati in chiaro [fonte Wikipedia].

Tale forma di “ricatto informatico” è diventata ormai molto popolare e gli hacker stanno riconoscendo sempre più i vantaggi criminali derivanti dall’impiego di tali tattiche. Il motivo è presto detto: si tratta di software facilmente riutilizzabile impiantando il medesimo attraverso differenti vulnerabilità, soprattutto le cosiddette zero-days, veicolate nella maggior parte dei casi attraverso mail di phishing. Il riscatto viene poi pagato attraverso sistemi di criptovalute (bitcoin, monero) in cui è estremamente difficile se non impossibile tracciare la transazione.

Per ridurre i rischi legati al veicolo principe di tale tipologia di attacco, la mail, è indispensabile stabilire politiche di sicurezza informatica e formare i dipendenti su base regolare così da creare una cultura della sicurezza informatica nella propria organizzazione. In secondo luogo, stabilire e aderire a un rigoroso protocollo sull’igiene della cyber security, già trattato in un precedente post, consentirà di affrontare le vulnerabilità più comuni che vengono sfruttate regolarmente nella maggior parte degli attacchi informatici, compresi appunto quelli volti a inoculare ransomware.

Strutturare poi dei processi intorno alle politiche di sicurezza e sviluppare piani di risposta agli incidenti che vengano poi testati per garantire che tutti gli attori siano in grado di eseguire, e che non vi siano ambiguità nel processo, precluderanno la necessità di infiniti tentativi di rimedio a seguito di un attacco ransomware.

Con questi semplici step avremo affrontato oltre l’85% delle minacce. Se effettivamente si dispone poi di un adeguato budget per la sicurezza informatica, si può passare al livello successivo del processo di base e delle problematiche tecnologiche gestite.

 

Effettuare una valutazione del rischio

Le complesse infrastrutture IT di oggi implicano che potremmo non essere in grado di proteggere e monitorare tutto. Invece, dobbiamo concentrare i nostri sforzi su quei rischi che hanno il maggiore impatto allineando costantemente le iniziative di sicurezza ai propri obiettivi aziendali.

Identificare le risorse di informazioni critiche e mappare tutti i percorsi di attacco disponibili in modo da poter stabilire le priorità delle vulnerabilità da affrontare per prime. Le architetture e le reti aumentano sempre di dimensioni e complessità, soprattutto nel nostro attuale mondo di data center virtualizzati e ambienti multi-cloud che rendono le soluzioni di sicurezza meno efficaci e più difficili da gestire. Il risultato sono punti ciechi e protezione limitata delle risorse che non soddisfano i requisiti di sicurezza di base,

Occorre investire in strumenti che entrino nel dettaglio della nostra infrastruttura IT in modo da poter identificare dispositivi, sistemi operativi e livelli di patch. Dobbiamo anche associare queste informazioni a una buona intelligence sulle minacce in modo da avere visibilità e stabilire le priorità rispetto alle minacce più alte e più probabili.

 

Combinare la nostra intelligence sulle minacce con una soluzione SIEM.

La conversione dei dati delle minacce in intelligence che può essere correlata in modo incrociato con le vulnerabilità della nostra infrastruttura richiederà tecnologie di gestione delle informazioni e degli eventi di sicurezza (SIEM) che possano analizzare i dati, convertirli in politiche attuabili e automaticamente applicarle alla nostra infrastruttura, in modo da ridurre il tempo necessario per rilevare le minacce e colmare il divario tra rilevamento e risposta.

All’inizio, poiché la maggior parte delle vulnerabilità sfruttate erano note, si pensava che gli attacchi mirati a tali vulnerabilità potessero essere rilevate utilizzando le firme (hash fingerprint). Tali strumenti di rilevamento economici ci consentono solo in parte di rilevare e bloccare i tentativi di infiltrazione o l’esecuzione di un exploit mirato solo a vulnerabilità note. Poiché molte minacce adesso non hanno una firma riconoscibile, occorre quindi implementare anche una protezione avanzata delle minacce e strumenti di analisi comportamentale (sistemi AI e machine learning) in grado di identificare varianti di malware e minacce interne zero-day, nonché correlare tali dati con il resto della nostra infrastruttura di sicurezza.

 

Ridurre la propria esposizione a vulnerabilità del web

Gli attacchi basati sul Web sfruttano la crescita esponenziale delle applicazioni online (siano esse in cloud oppure on premise) e poiché la domanda di app Web personalizzate è cresciuta rapidamente, molte organizzazioni dichiarano che il tempo e le risorse disponibili non sono sufficienti per testarle e rafforzarle adeguatamente prima della distribuzione. I firewall per applicazioni Web (WAF) sono un modo efficace per chiudere quelle vulnerabilità, poiché sono progettati per fornire un’ispezione approfondita e ad alte prestazioni del traffico delle applicazioni Web oltre a quanto fornito dalle tradizionali tecnologie di firewall NextGen.

 

Implementare un sistema integrato di soluzioni per la protezione degli endpoint

La maggior parte delle tecnologie di sicurezza endpoint tradizionali tendono ad operare in modo isolato, il che significa che possono solo vedere e rispondere alle minacce che si presentano sul sistema protetto. Con le moderne minacce multi-vettore e intelligenti, le soluzioni di sicurezza devono essere interconnesse in un unico sistema coerente che può estendersi e adattarsi ad architetture IT elastiche. L’integrazione dinamica e la correlazione offrono visibilità in tempo reale su tutta la rete, il che è fondamentale perché non puoi difenderti da una minaccia che non riesci a vedere. Inoltre, un sistema di soluzioni di sicurezza integrate e orchestrate consente alle organizzazioni di combattere in modo proattivo e intelligente gli attacchi informatici come un sistema coordinato, ovunque tali minacce possano verificarsi.

Segmentare la rete

Con gli ecosistemi infrastrutturali odierni e l’ampia gamma di applicazioni e dati che fluiscono attraverso tali reti, dobbiamo stabilire e mantenere una segmentazione della rete che impedisca agli attacchi di diffondersi orizzontalmente. Possiamo migliorare la sicurezza della nostra rete implementando firewall per la segmentazione della rete interna e stabilendo strategie di micro-segmentazione per fermare la proliferazione delle minacce una volta all’interno dell’infrastruttura IT.

La maggior parte delle aziende e quasi tutte le agenzie governative dipendono ancora da soluzioni e strategie di sicurezza isolate di prima e seconda generazione per proteggere i loro beni. Come evidenziato non c’è abbiamo bisogno di budget elevati per evitare che vengano sfruttate vulnerabilità note nell’infrastruttura e nei processi, o di un aumento esponenziale delle competenze.