Cybereason? Di cosa si tratta, ma soprattutto di che faro stiamo parlando?

Andiamo per ordine.

È una normale mattina d’autunno, Frank si è appena seduto sulla sua sedia di plastica girevole, è da lì che controlla tutto, bastano piccole spinte con le punte dei piedi per spostarsi tra un monitor e l’altro e raggiungere facilmente ogni angolo della scrivania.

Quando serve rotea su se stesso e atterra sull’altra, alle sue spalle, dove altri 2 monitor gli offrono le loro dashboard incomprensibili e i loro log cervellotici.

Suona il telefono, una voce che tradisce agitazione e proveniente da un reparto dove tipicamente si fa il turno di notte recita frettolosamente:

– Pronto!? Frank abbiamo un problema qui in produzione, non riusciamo più ad aprire i report dalla macchina. Sono in panne, dovevo finire per le 7:30, manca mezzora non so come andare avanti.

Frank ne ha viste di tutti i colori nella sua vita professionale, e non è certo la prima volta che lo mettono sotto pressione per un problema ai sistemi informativi. Risponde con voce calma e ferma cercando di infondere fiducia:

– Giulia, di che tipo di file stiamo parlando?

– Non lo so, di solito li apro con Word, ma ora sono diventati bianchi, non vedo più l’icona del programma…

Mentre la voce della collega si fa sempre più disperata, Frank ha già capito.

Ransomware

In un attimo nella sua mente si affollano i peggiori pensieri, ripassa mentalmente tutte le cartelle condivise del reparto, quelle dove atterrano i backup, c’è quel problema di permessi che lo aveva costretto ad aprire temporaneamente gli accessi alle cartelle della produzione e…

Meglio non pensare troppo, bisogna isolare quella macchina al più presto, risalire a chi ha aperto per primo il malware, scoprire quanti file sono stati criptati, ma un altro pensiero gli sovviene improvvisamente: i colleghi sono in ferie, è solo contro i cripto invasori, di nuovo, e sa che non sarà nemmeno l’ultima volta.

Questo episodio è uno dei tanti che si verificano ogni giorno nel mondo, ha come protagonisti amministratori di sistemi IT e si tratta di una storia con sfumature più o meno pulp che portano tutte a due possibili epiloghi:

  • un precipitoso recupero di dati da un backup ancora intonso, grazie a qualche Dio che veglia sui sistemi informativi
  • una spericolata navigazione su siti dal profilo di dubbia legalità e soprattutto con vita breve, a causa della polizia postale che si trovano alle calcagna.

Ma è solo lì che si possono trovare istruzioni per l’invio di cryptovaluta in cambio di chiavi di decrittazione dei TUOI dati e il Frank di turno ha solo quest’ultima rischiosa possibilità.

Nella speranza che funzionino, che non abbiano già messo in gabbia i criminali digitali e che la criptazione dei dati sia avvenuta una sola volta e non molteplici.

Nel frattempo il guardiano del faro tipo deve vedersela con i mancati mea culpa dei colleghi, con l’inquisizione dei titolari e con gli strepiti del reparto coinvolto nella temporanea, si spera, perdita di dati.

Cybereason e il guardiano del faro - Sicurezza Informatica - Nexsys

Nel frattempo, in un universo parallelo…

Un altro guardiano si siede al suo posto di comando e apre Cybereason.

Il telefono non squilla, ma c’è un alert in bella vista che gli segnala che qualcosa non va e si nota subito che il software è già intervenuto.

Cartelle dove modifiche in sequenza ai files erano in corso in modo sospetto sono state già isolate e il guardiano si appresta a studiare cosa sia accaduto.

Gli viene in soccorso una console chiara e pulita, dove scopre chi ha aperto cosa e quando.

Grazie all’EDR, il modulo di analisi comportamentale di Cybereason, può risalire agli eventi che hanno causato il guaio e anche impostare contromisure affinché non si verifichino più.

 

Gli è bastato installare il software per tempo, configurarlo con il supporto dei suoi consulenti, in un paio d’ore aveva già il pieno possesso delle funzioni principali del software e sapeva come controllare gli avvisi che gli vengono presentati quotidianamente, senza perdersi nei meandri di log dalla chiarezza discutibile.

 

I colleghi arrivano in ufficio, i pochi files coinvolti dal tentativo di criptazione sono già stati sostituiti dal backup più recente e fresco.

Nessuno alza la voce a parte il solito collega dell’edificio a fianco, che non ha voluto dargli retta durante il loro ultimo caffè al bar all’angolo tra nerd e adesso sta correndo all’ufficio tecnico della sua azienda.

L’ultima cosa che si sente attraverso le finestre socchiuse è la sua voce alterata che si allontana e che strepita come una sinistra sirena,

– Arrivo, arrivo, arrivo! … ne avete aperto un altro…

Cybereason Mitre Attack

C’era una volta l’antivirus, quel software che proteggeva da software malevoli, basato su impronte virali aggiornate quotidianamente. Poi gli attaccanti si sono evoluti sempre più e di conseguenza gli strumenti di protezione.

Oggi è necessaria una soluzione che si affidi all’analisi comportamentale: Cybereason si basa sulla tecnologia EDR (Enterprise detection and response), traccia l’attività e produce report su quello che accade ai file, pc, rete.

Il team di Nexsys, partner ufficiale Cybereason, può affiancare il cliente garantendo un servizio proattivo di monitoring, investigation, prevention e remediation.