Combattere gli attacchi ransomware diventa sempre più necessario e urgente. I criminali perfezionano le loro tecniche ricorrendo spesso a tecnologie sofisticate che li aiutino a centrare il bersaglio. Gli attacchi cyber stanno infatti diventando sempre più sofisticati e pericolosi, in Italia come a livello globale. Come evidenziato dall’ultimo rapporto Clusit 2022, nei primi sei mesi del 2022 si sono verificati 1.141 attacchi cyber gravi, con un impatto sistemico su società, politica, economia e geopolitica, segnando un incremento dell’8,4% rispetto al primo semestre 2021.
Anche Unit 42, il team di threat intelligence di Palo Alto Networks, nel report “2022 Unit 42 Incident Response Report”, ha rilevato che ransomware e compromissione delle email aziendali (BEC) rappresentano la principale tipologia di incidenti a cui il team IR ha risposto negli ultimi 15 mesi, con circa il 70% dei casi.
Umberto Pirovano, Senior Manager Systems Engineering di Palo Alto Networks, propone dieci azioni da mettere in campo per definire una strategia di protezione efficace e combattere gli attacchi ransomware.
- Rimanere aggiornati sull’evoluzione delle minacce
Il panorama del ransomware continuerà senza dubbio a evolversi, man mano che i cybercriminali affinano tecniche e strumenti. Il primo passo da compiere per combattere gli attacchi ransomware è tenere informati team di sicurezza e stakeholder sullo stato attuale delle minacce, il loro potenziale impatto sull’azienda e le azioni da intraprendere può aiutare a prevenire gli attacchi.
- Analizzare i danni causati dalla perdita di dati critici
Per comprendere l’impatto di un attacco ransomware, è necessario disporre di una visibilità completa su risorse e dati critici, comprendere come vi si accede e come vengono utilizzati all’interno dell’organizzazione. Questo esercizio di mappatura permette di assicurarsi che l’accesso a informazioni sensibili sia basato sulla necessità e di valutare i rischi derivanti dall’impossibilità di accedervi.
- Valutare la preparazione interna ed esterna
Il rischio di un attacco ransomware aumenta quando non si dispone di una valutazione adeguata della postura di sicurezza. Pertanto, è fondamentale determinare i rischi più significativi da affrontare in base alla propria combinazione di persone, processi, tecnologia e capacità di governance, senza dimenticare di identificare eventuali rischi di terze parti. A valle di questa analisi, per combattere gli attacchi ransomware, è possibile disegnare una roadmap di mitigazione che permetta di raggiungere obiettivi di sicurezza che siano allineati con quelli strategici di business.
- Rivedere il piano di risposta agli incidenti
Testare e aggiornare regolarmente il proprio piano di incident response, utilizzando le più recenti informazioni sulle minacce ransomware per esercitazioni e simulazioni. I test misurano la capacità di risposta, valutano le difese, identificano le falle potenziali e analizzano la capacità di contrastare tattiche, tecniche e procedure utilizzate dai gruppi ransomware più comuni. È raccomandabile coinvolgere tutti i principali stakeholder per avere il loro consenso. Affrontare conversazioni difficili in anticipo farà risparmiare tempo prezioso e garantirà alle organizzazioni la possibilità di concentrarsi su ciò che conta di più in caso di attacco: il mantenimento delle operazioni critiche e il ripristino di uno stato di normalità.
- Implementare Zero Trust
Un approccio strategico alla cybersecurity basato su Zero Trust semplifica e unifica la gestione del rischio, rendendo la sicurezza un unico caso d’uso per tutti gli utenti, dispositivi, fonti di connessione o metodi di accesso. Zero Trust elimina la fiducia implicita e convalida continuamente ogni fase dell’interazione digitale.
- Identificare le risorse esposte e combattere gli attacchi ransomware più comuni
Adottare un sistema di registrazione per tracciare ogni asset, sistema e servizio che si trova su Internet, compreso il monitoraggio dei principali cloud service provider e dello spazio affittato dinamicamente da Internet Service Provider (ISP), utilizzando un’indicizzazione completa e comprendendo porte e protocolli comuni e spesso mal configurati.
- Prevenire minacce note e sconosciute
L’obiettivo è di trasformare l’ignoto in noto e fornire nuove protezioni a una velocità superiore di quella degli attaccanti. Per prevenire le minacce note è necessario impedire l’accesso alla rete a exploit, malware e traffico command & control aumentando così il costo di esecuzione di un attacco ransomware in misura sufficiente a scoraggiare i cybercriminali. Inoltre, per combattere gli attacchi ransomware, è necessario concentrarsi sull’identificazione di minacce sconosciute, poiché gli aggressori più sofisticati continuano a sviluppare nuovi exploit zero-day e varianti di ransomware.
- Automatizzare ovunque sia possibile
Quando si subisce un attacco ransomware, si dedicano molte ore di attività manuale a combinare fonti di informazioni provenienti da strumenti diversi. Il consiglio da seguire per riuscire a combattere gli attacchi ransomware è quello di implementare soluzioni che supportino la bonifica automatizzata del ransomware utilizzando playbook preconfezionati per la risposta e il ripristino. Soluzioni di orchestrazione, automazione e risposta della sicurezza (SOAR) automatizzano l’intero processo, riducendo al minimo le perdite di dati e limitando l’impatto finanziario.
- Proteggere i workload cloud
Assicurarsi che tutte le infrastrutture cloud, Kubernetes e le immagini dei container siano configurati in modo sicuro e che siano state adottate le misure necessarie per ridurre al minimo le vulnerabilità, compresa qualsiasi funzione di sicurezza disattivata by default. Verificare che pacchetti e librerie open source non presentino vulnerabilità che possono essere corrette e identificare e rimuovere diritti IAM troppo permissivi o inutilizzati.
- Ridurre i tempi di risposta con il supporto di esperti esterni
Una volta identificata una potenziale violazione è fondamentale agire rapidamente. Con un supporto IR continuo, gli esperti di incident response saranno di fatto un’estensione del team interno, sempre pronti a intervenire quando necessario.
