Gli attacchi di ransomware sono diventati un pericolo serio tanto da essere considerati la principale minaccia informatica che le aziende devono affrontare oggi. Le statistiche sul ransomware sono infatti terrificanti:
- Si prevede che i danni alle aziende e alle organizzazioni saranno di 20 miliardi di dollari nel 2021[1]
- Le segnalazioni globali di ransomware sono in aumento di oltre il 715% dal 2019 al 2020[2]
- Il valore economico dei pagamenti da ransomware è aumentato del 60% dal 2019[3]
Il ransomware è oramai un’emergenza che potrà solo peggiorare man mano che gli attori delle minacce continuano a crescere in sofisticazione e competenza. Le organizzazioni criminali legate agli attacchi ransomware sono diventate delle vere e proprie aziende in grado di generare ingenti ricavi, ma con intenti chiaramente criminosi. Fortunatamente, esistono strategie che le aziende possono adottare per ridurre il rischio di essere vittima di un attacco ransomware.
Implementate subito questi 10 step pratici nella vostra organizzazione per prevenire ed identificare tempestivamente un attacco ransomware.
Ognuno di questi passi si allinea strettamente con il modo in cui i malviventi perpetrano la loro attività criminale. L’implementazione proattiva di questi processi ha chiaramente costi che ricadono sulla vostra organizzazione ma mitiga costi ancora più elevati legati alla possibile interruzione dell’attività, ai danni alla reputazione, alla risposta agli incidenti e all’eventuale pagamento di un ransomware.
1. Phishing Awareness Training, per formare i dipendenti su come individuare le e-mail di phishing e riconoscere le minacce per ridurre i clic sulle e-mail dannose che molti criminali utilizzano come entry points per poi diffondere il ransomware.
2. Disabilitare l’accessibilità di Remote Desktop direttamente da Internet, per impedire ai criminali di forzare brutalmente i servizi RDP rivolti a Internet per entrare nella vostra rete.
3. Filtro URL correttamente configurato e Sandboxing degli allegati e-mail, per evitare che il malware contenuto nelle e-mail di ransomware venga eseguito o passi inosservato.
4. Una soluzione avanzata di Endpoint Detection and Response (EDR), per rilevare e potenzialmente mettere in quarantena il ransomware e altri malware avanzati e anche per facilitare l’analisi forense da parte della vostra azienda in caso di attacco.
5. Uno strumento avanzato di rilevamento del malware (Intrusion Prevention System-IPS) che ispeziona il traffico di rete, per identificare il ransomware e altre minacce pericolose sul traffico di rete.
6. Password degli Account degli utenti e degli amministratori di dominio con più di 16 caratteri, per evitare che il ransomware e altri hacker possano decifrare nomi utente e password di amministrazione deboli. In modo ottimale, queste password forti dovrebbero essere ruotate regolarmente, utilizzando una soluzione PAM (Privileged Access Management). I criminali informatici usano queste credenziali craccate per muoversi lateralmente e distribuire il loro ransomware.
7. Strumenti di rilevamento del movimento laterale. Dopo aver guadagnato un punto d’appoggio, gli attori del ransomware in genere si spostano lateralmente utilizzando credenziali IT compromesse. Il rilevamento di questo movimento laterale anomalo normalmente permette di bloccare l’attacco prima che il ransomware venga distribuito.
8. Una piattaforma di gestione delle informazioni e degli eventi di sicurezza (“SIEM”) correttamente configurata che aggrega eventi, anomalie di sicurezza, informazioni dei firewall e altri log. Cercare di rispondere tempestivamente da un attacco ransomware senza un SIEM è molto difficile, poiché la visibilità attraverso i log locali e non centralizzati è spesso scarsa.
9. Una funzione di monitoraggio continuo della sicurezza, che fornisce monitoraggio continuo e una ricerca continua delle minacce utilizzando i log e gli avvisi raccolti sulle anomalie riscontrate.
10. Limitare la distribuzione del software e gli strumenti di accesso remoto (es. SCCM, PDQ e PsExec) a un piccolo gruppo di account privilegiati con autenticazione a più fattori, dove possibile. Questo gruppo è particolarmente critico, poiché i criminali, una volta che si sono assicurati tali privilegi elevati, sfruttano proprio questi account per diffondere l’eseguibile del ransomware in tutta la rete.
[1] 2019 Cyber Security Almanac Cisco and Cyber Security Ventures 2019
[2] Bitfender’s Mid-Year Threat Landscape Report 2020
[3] Coverware Ransomware Marketplace Report 2020
Comments