Il ransomware è un problema riscontrato in molte aziende. Secondo il Report sulle tendenze nel ransomware 2023, l’85 % delle aziende intervistate ha subito almeno un attacco informatico negli ultimi 12 mesi. Tra le aziende colpite, solo il 66% dei dati era ripristinabile. Sebbene il ransomware sia innegabilmente una minaccia, il rischio può essere notevolmente mitigato adottando una strategia difensiva.
Le stesse statistiche mostrano che il 16% di queste aziende non ha pagato un riscatto. Si sono ripresi perché avevano messo in atto robusti sistemi di prevenzione del ransomware.
La prevenzione del ransomware è una serie di misure proattive che puoi adottare per ridurre il rischio di attacco. Per rendere gli attacchi informatici più difficili da portare a termine, è necessario assicurarsi di disporre di solide policy di Identity and Access Management (IAM). Per completare il tuo IAM, dovresti disporre di solidi strumenti di sicurezza come SIEM e XDR per assistere i tuoi team di sicurezza nel rilevare, monitorare, indagare e rispondere alle minacce. Infine, assicurati di disporre di un set di backup a prova di errore che consenta un ripristino rapido e pulito nel caso in cui l’attacco vada a segno. Queste misure possono includere:
Solidi controlli dell’identità e degli accessi
Sicurezza delle e-mail
Segmentazione della rete
Aggiornamenti regolari del software
Formazione costante dei dipendenti
Sicurezza del browser Web
Endpoint rafforzati
Il secondo obiettivo è assicurarti di avere accesso a backup e snapshot sicuri e immutabili per facilitare il ripristino dei dati in caso di attacco riuscito.
Comprendere il ransomware: Una breve introduzione
Il ransomware è un software dannoso che crittografa le informazioni e i dati della vittima. Secondo l’FBI, i metodi comuni utilizzati dai criminali informatici per ottenere l’accesso a dispositivi e app includono:
Phishing: E-mail, messaggi di testo o post sui social media contenenti collegamenti a siti che ospitano malware
Attacchi drive-by: Visitare un sito Web infetto che scarica malware sul dispositivo o sul sistema della vittima
Sfruttare i difetti del software: Ottenere l’accesso ai sistemi attraverso le vulnerabilità del software in endpoint e server
Unità rimovibili infette: Inserimento di unità rimovibili, ad esempio USB, che contengono virus o malware per infettare i dispositivi
Attacchi di ingegneria sociale: Questi attacchi prendono di mira i dipendenti o gli appaltatori di un’azienda per indurre la vittima a divulgare informazioni sensibili o riservate con l’obiettivo di causare danni.
Una volta ottenuto l’accesso ai tuoi sistemi, i criminali informatici scaricano un software eseguibile di ransomware che cerca i server di dati da crittografare. Una volta crittografati, i criminali informatici chiedono alle vittime di pagare un riscatto in cambio di una chiave di decrittazione. È anche comune che questi criminali esfiltrino file contenenti dati sensibili e minaccino di rilasciare o vendere tali dati a meno di non pagare il riscatto.
Purtroppo, pagare il riscatto non sempre funziona. In un caso su quattro, la chiave di decrittazione è difettosa. Anche quando la chiave funziona, in media, solo il 55% dei dati crittografati è recuperabile.
Il ruolo cruciale della prevenzione del ransomware
Gli attacchi ransomware sono altamente redditizi per i criminali informatici. Secondo il Financial Crimes Enforcement Network, le segnalazioni del Bank Secrecy Act hanno indicato che le perdite totali dovute agli incidenti ransomware nel 2021 sono state di circa 1,2 miliardi di USD. Altrettanto preoccupante è il fatto che le aziende impiegano, in media, tre settimane e mezzo per ripristinare da un incidente ransomware. Le aziende possono subire perdite finanziarie significative e danni alla reputazione a seguito di un incidente, ma i clienti sono altrettanto colpiti poiché le loro informazioni di identificazione personale (PII), come indirizzi, numeri di previdenza sociale, dettagli della carta di credito e altro ancora, sono ora pubbliche e/o vendute sul mercato nero.
Questo sottolinea il ruolo cruciale della prevenzione del ransomware e dell’importanza di aver predisposto delle strategie di mitigazione. Non esiste un modo infallibile per impedire che la tua azienda venga attaccata, ma una strategia completa di resilienza informatica può ridurre gli effetti di questi attacchi e migliorare la probabilità di ripristinare le informazioni sensibili.
La sezione seguente illustra come prevenire gli attacchi ransomware.
Costruire una solida strategia di prevenzione del ransomware
Sconfiggere il ransomware richiede una strategia a più livelli. Hai bisogno di più livelli difensivi, così se un hacker viola un livello, hai comunque una protezione. Non esiste un’unica soluzione, ma piuttosto una serie di strategie complete di prevenzione e ripristino.
Più livelli possono prevenire gli attacchi ransomware in vari punti e contro diversi tipi di attacchi. Questa strategia include la formazione dei dipendenti, il rafforzamento dei sistemi contro gli attacchi e la resilienza dei dati.
Autenticazione e autorizzazione forti: Protezione degli accessi
La prima linea di difesa è una solida strategia di Identity and Access Management priva di password. Le password sono facilmente violabili, difficili da ricordare e mantenere. Consigliamo vivamente alla tua organizzazione di adottare un approccio senza password o chiavi di accesso per i dipendenti e per i carichi di lavoro.
Rafforza il tuo approccio Zero Trust garantendo l’implementazione dell’autenticazione a più fattori (MFA) per l’accesso a informazioni, sistemi e dispositivi aziendali. Ad esempio, sfrutta una soluzione senza password come Windows Hello con una forma secondaria di identificazione, ad esempio un PIN e un Microsoft Authenticator, che richiede un controllo fisico della posizione per l’autorizzazione.
Soluzioni di sicurezza: Il tuo alleato più prezioso
Le soluzioni di sicurezza sono disponibili per aiutare i team di sicurezza informatica nel loro sforzo di proteggere in modo rapido ed efficace i server e i sistemi operativi dagli attacchi. Le soluzioni SIEM e XDR possono monitorare il traffico di rete per rilevare e segnalare attività di rete insolite e minacce informatiche. I firewall impediscono il traffico non autorizzato tra la rete e Internet e tra le VPN e le partizioni di rete. Il software antivirus cerca e blocca in modo specifico virus informatici e malware, mentre la sicurezza dell’endpoint protegge i dispositivi sulla rete, come computer, stampanti, server e dispositivi IoT. Le soluzioni basate sul cloud utilizzano la sicurezza virtuale per proteggere macchine virtuali, server e reti. Scegli soluzioni di sicurezza affidabili e mantieni aggiornato il software di sicurezza.
Controlli degli accessi e segmentazione della rete
Impiega solidi controlli di accesso. Separa i sistemi per contenere potenziali infezioni. Assicurati che i sistemi vulnerabili e di alto valore non abbiano accesso esterno a Internet. Adotta il principio del minimo privilegio per limitare l’accesso degli utenti solo alle risorse necessarie per svolgere il proprio lavoro.
Filtraggio delle e-mail e sicurezza Web
Le e-mail sono uno dei metodi più comuni per l’invio di malware ransomware. Gli hacker mascherano queste e-mail in modo tale che sembrino autentiche. Configura robusti filtri e-mail per rilevare i tentativi di phishing e attiva robusti filtri antispam. Le app di collaborazione, come Microsoft 365, dispongono di funzionalità anti-phishing integrate avanzate. Altre forme di phishing includono il phishing via SMS e voce sui dispositivi mobili.
Aggiornamenti software e di sistema: Tenere a bada le vulnerabilità
Nessun software è perfetto. E anche dopo test approfonditi, contiene inevitabilmente delle vulnerabilità. I criminali informatici li cercano e, quando li trovano, li sfruttano per inserire malware, rubare dati o crittografare file. È fondamentale installare le patch di sicurezza il prima possibile per impedire agli hacker di sfruttare queste vulnerabilità. Il software obsoleto e non supportato è particolarmente vulnerabile agli attacchi.
Formazione e sensibilizzazione costante dei dipendenti
I dipendenti svolgono un ruolo fondamentale nel rafforzare i tuoi livelli di sicurezza e nel proteggere la tua infrastruttura digitale. Investi nella loro formazione e consapevolezza in modo che possano proteggere se stessi e la tua organizzazione. Utilizza strumenti di formazione, come KnowBe4 e Gophish, per formare i dipendenti sulle diverse forme di attacchi di phishing e su come dovrebbero rispondere. Il Wi-Fi gratuito è il migliore amico di un hacker e dovrebbe essere evitato sui dispositivi personali e aziendali. Mostra come i criminali informatici utilizzano gli URL fuorvianti e sensibilizza le persone sui pericoli dell’accesso a siti Web di pirateria che in genere forniscono malware nascosto negli annunci.
Pratiche di download sicure
È fondamentale adottare pratiche di download sicure perché gli hacker possono facilmente allegare malware a file, app, messaggi o browser. Scarica solo file o software da siti attendibili e assicurati che questi siti abbiano “https” nella barra degli indirizzi del browser. Evita i siti “http”, in quanto non sono sicuri. Inoltre, cerca l’emblema di uno scudo o il simbolo di un lucchetto che di solito si trova sul lato sinistro della barra degli indirizzi prima dell’URL del sito. Se sospetti sulle credenziali di un sito, controlla la pagina “Chi siamo” e altre informazioni, come un indirizzo fisico e un numero di telefono fisso. Non scaricare file da siti Web sospetti o collegamenti sconosciuti nelle e-mail o nelle app di messaggistica. Segnala e-mail sospette. È buona norma eseguire la scansione degli allegati con il software di sicurezza prima di aprirli.
TLa potenza dei backup: Resilienza dei dati
I backup rappresentano la più importante e l’ultima linea di difesa contro un determinato attacco ransomware. Il primo passo è proteggere la console di backup e replica , poiché senza di essa, sei perso. Oltre a rafforzare il tuo patrimonio digitale e a garantire l’adozione di solide misure di identità e sicurezza, è fondamentale eseguire il backup delle impostazioni di configurazione per ripristinare rapidamente te e i tuoi dati aziendali. Ciò consente di ripristinare la console se è danneggiata o crittografata. È inoltre fondamentale proteggere lo storage di backup dagli attacchi ransomware seguendo queste linee guida:
Eseguire backup regolari: L’ultimo backup è il più importante perché riguarda le transazioni più recenti. Esegui il backup regolarmente per ridurre al minimo la perdita di dati in caso di attacco ransomware. Scegli una frequenza coerente con il volume delle transazioni, il loro valore e il costo di diversi backup.
Garantisci l’immutabilità: Rendi i tuoi backup immutabili. Ciò significa che non possono essere sovrascritti, cambiati o modificati. L’immutabilità protegge dagli attacchi ransomware e dalla cancellazione accidentale.
Crittografare i backup: Crittografa sempre i backup. Crittografia significa che se un hacker accede o intercetta i tuoi backup, non può leggerli o esfiltrarli. Aggiunge un ulteriore livello di sicurezza ai tuoi backup.
Verificare i backup: È necessario verificare i backup. A seconda del software di backup utilizzato, è possibile eseguire un backup corrotto, incompleto o inutilizzabile. Il modo migliore per controllare i backup consiste nel configurare una macchina virtuale ed eseguire un ripristino di prova. In alternativa, utilizza una soluzione di convalida del backup automatizzata che controlla il backup a livello di file. Inoltre, scansiona i tuoi backup alla ricerca di tracce di malware che potrebbero crittografare i tuoi dati durante il processo di ripristino.
Limitare l’accesso al backup: Limita l’accesso al minor numero possibile di personale chiave e utilizza procedure di autenticazione di alto livello per controllare l’accesso. Mantieni i server di backup separati dai sistemi online.
Adotta la regola di backup 3-2-1-0: Mantieni tre set ridondanti di backup oltre ai tuoi set di dati online. Usa almeno due diversi tipi di supporti per archiviare i dati. Può trovarsi su un disco rigido, in un repository cloud sicuro o su nastro. Mantieni una copia all’interno dei tuoi sistemi aziendali per un facile accesso, ma assicurati che una copia sia off-site, offline e sicura. In questo modo si protegge dal ransomware e da un disastro naturale o di altro tipo. L’ultima cifra della regola, lo zero, indica l’importanza di testare i backup per assicurarsi che non ci siano errori.
Conclusione: Rafforza le tue difese contro il ransomware
Il ransomware continua a essere una minaccia.
Allo stesso tempo, le aziende che hanno avuto accesso a backup immutabili al di fuori della portata dei criminali informatici sono riuscite a ripristinare i propri sistemi e riprendere l’attività con interruzioni minime.
Il successo è dovuto a una solida strategia di prevenzione del ransomware che include diversi livelli di difesa, tra cui:
Un solido approccio all’Identity and Access Management
Fornitori di soluzioni di sicurezza specializzati nel rilevamento, monitoraggio, analisi e risposta alle minacce
Solidi controlli degli accessi e segmentazione della rete
Filtraggio delle e-mail e sicurezza web
Aggiornamenti software e patch frequenti per prevenire le vulnerabilità
Programmi costanti di formazione e sensibilizzazione dei dipendenti
Pratiche di download sicure
L’ultimo livello di protezione è una strategia di backup efficace che si basa su più backup ridondanti archiviati in luoghi diversi, su supporti diversi e offline. Tutto ciò è supportato dall’immutabilità, dalla crittografia del backup e dal controllo dei backup. Nella peggiore delle ipotesi, una soluzione sicura di ripristino è la migliore protezione dal ransomware.
Il ransomware rappresenta una minaccia crescente per tutte le aziende. Le statistiche mostrano che la maggior parte delle aziende ha subito attacchi ransomware. Molti sono stati costretti a pagare un riscatto perché i loro backup erano crittografati. In media, la maggior parte delle aziende ha subito interruzioni di tre o più settimane nel tentativo di ripristinare da questi attacchi.