Il ransomware fa rabbrividire qualsiasi CIO, amministratore IT o professionista SecOps e la frequenza con la quale viene utilizzato per attaccare un’azienda, ormai, ha avuto un’impennata negli ultimi anni così come la sofisticatezza e le tattiche utilizzate dagli hacker moderni per convincere le aziende a pagare un riscatto.

Di seguito elenchiamo 12 modi per proteggere la propria azienda dai ransomware, un elenco dei migliori livelli di sicurezza da mettere in pratica in fase di prevenzione ma anche per ridurre i danni che un attacco può causare:

  • Eseguire il backup dei dati
  • Eseguire patch regolari per le vulnerabilità della sicurezza
  • Usare l’autenticazione a più fattori (MFA)
  • Non esporre RDP a Internet
  • Adottare metodologie di accesso con privilegi minimi
  • Usare la protezione da spam e phishing nelle e-mail
  • Implementare la micro-segmentazione
  • Usare filtri web di nuova generazione
  • Eseguire corsi di sensibilizzazione sulla sicurezza informatica
  • Usare la protezione dell’endpoint
  • Usare la whitelist delle applicazioni
  • Implementare policy per password complesse e protezione con password violate
Proteggere la propria azienda dai ransomware 12 modi

12 livelli di sicurezza contro i ransomware

Eseguire il backup dei dati

Il ransomware è estremamente efficace nel bloccare i dati e non esiste modo di recuperarli senza pagare un riscatto, a meno che non si disponga di un backup. È tuttavia possibile provare a violare la crittografia del ransomware attraverso strumenti di decrittazione ma non sempre questi tentativi hanno successo.

La maggior parte delle varianti di ransomware, infatti, non dispone di un’utilità di decrittografia facilmente reperibile per decrittografare i dati, se ne esiste una.

Il backup dei dati dovrebbe essere effettuato secondo la regola del 3-2-1 backup: tre copie dei dati, su due supporti diversi, una delle quali conservata lontana dalle altre due. Questa, in sintesi, è la regola del 3-2-1 che permette di proteggere efficacemente i propri dati, anche su Cloud e in ambienti Software Defined.

Con le nuove tecnologie di backup, le organizzazioni possono impostare un flag di immutabilità che rende i dati di backup persistenti senza la possibilità che vengano eliminati da un ransomware. È essenziale utilizzare una piattaforma di protezione dei dati che fornisca funzionalità che rafforzano la regola di backup 3-2-1.

Eseguire patch regolari per le vulnerabilità della sicurezza

Gli hacker prendono spesso di mira le vulnerabilità note per lanciare un attacco ransomware infatti, molto spesso, non sono le vulnerabilità zero-day a causare il rischio maggiore ma le vulnerabilità note che sono state corrette. Le aziende senza un programma di patch di routine sono i bersagli principali poiché potrebbero avere sistemi che eseguono codice vecchio e senza patch.

L’esecuzione di patch regolari aiuta a garantire la protezione da vulnerabilità note che vengono spesso utilizzate per lanciare un attacco ransomware.

Usare l’autenticazione a più fattori (MFA)

Gli aggressori spesso prendono di mira gli ambienti compromettendo password o trovandone di deboli, riutilizzate o violate in precedenza. L’autenticazione a più fattori migliora esponenzialmente la sicurezza dell’account.

La forma più comune di autenticazione a più fattori è l’autenticazione a due fattori (2FA): una password monouso viene inviata a un dispositivo mobile oppure viene generata una password monouso, il secondo fattore, da un’app di autenticazione.

Non esporre RDP a Internet

Molte aziende hanno subito attacchi ransomware a causa di server RDP esposti ed implementati incautamente in modo errato. Il monitoraggio dei tentativi di connessione RDP su un server su Internet in genere rileva tentativi di accesso non validi a causa di password spray, attacchi basati su dizionario o un altro attacco di password.

Password deboli e un server RDP esposto sono la ricetta perfetta per disastri ransomware. Quando un malintenzionato trova una vulnerabilità, tenterà di trovarne un’altra per aumentare i privilegi o tentare di raccogliere le credenziali dalla memoria di un server RDP.

I server RDP non sono mai stati pensati per essere esposti apertamente a Internet. Secondo la progettazione delle migliori pratiche di Microsoft, RDP dovrebbe essere dietro un server Gateway Desktop remoto che incanala il traffico RDP su connessioni HTTPS.

Adottare metodologie di accesso con privilegi minimi

Un problema comune in molti ambienti è l’overprovisioning delle autorizzazioni: concedere più autorizzazioni del necessario è la via d’uscita più semplice in quanto garantisce che gli utenti possano essere più autonomi. Tuttavia, con l’overprovisioning delle autorizzazioni, se l’account utente viene compromesso, gli aggressori avranno accesso a un numero maggiore di risorse rispetto ad un accesso con privilegi minimi.

L’accesso con privilegi minimi garantisce che l’accesso dell’utente abbia un ambito appropriato e non sia sottoposto a overprovisioning. Se viene compromesso un account utente con ambito in base all’accesso con privilegi minimi, il percorso del danno viene ridotto e rende più difficile per un utente malintenzionato muoversi nell’ambiente.

Usare la protezione da spam e phishing nelle e-mail

L’e-mail è il vettore di attacco preferito per i ransomware tramite attacchi di phishing. Gli aggressori mascherano le e-mail dannose come comunicazioni e-mail legittime, anche da aziende rispettabili o società online. I moderni attacchi di phishing sono spesso molto difficili da riconoscere.

Gli attacchi di phishing possono avere allegati dannosi o indurre gli utenti a cliccare su link dannosi per scaricare ed eseguire codice dannoso sulle loro workstation. Un dipendente che installa il programma dannoso consente al ransomware di iniziare il processo di crittografia e diffondersi nell’ambiente.

L’utilizzo di una protezione efficace contro lo SPAM e il phishing sui servizi di posta elettronica aiuta a ridurre il numero di e-mail dannose in arrivo, tuttavia, non è infallibile ed efficace al 100%.

Proteggere la propria azienda dai ransomware 12 modi

Implementare la micro-segmentazione

Le reti che implementano la micro-segmentazione aiutano a ridurre al minimo la facilità con cui gli aggressori o il ransomware possono diffondersi nell’ambiente.

La microsegmentazione fornisce la stessa funzionalità di molti piccoli firewall su ogni dispositivo della rete. Il traffico viene esaminato in base alla progettazione di rete “zero-trust”, anche se si trova all’interno della LAN.

Usare filtri web di nuova generazione

Il ransomware può infiltrarsi utilizzando attacchi drive-by su siti dannosi o utilizzando annunci dannosi in esecuzione su un sito legittimo. Le organizzazioni devono esaminare attentamente il traffico web e utilizzare filtri efficaci per aiutare tale controllo che deve includere anche l’SSL.

I moderni firewall e dispositivi di sicurezza generalmente hanno la capacità di ispezionare il traffico HTTPS per garantire che non vi siano punti ciechi con il traffico web crittografato con SSL.

Eseguire una formazione sulla consapevolezza della sicurezza informatica

Una delle migliori tattiche per difendersi dal ransomware è educare gli utenti finali a riconoscere i pericoli, inclusi un sito web rischioso, un’e-mail di phishing o un programma dannoso che si spaccia per qualcosa di legittimo.

Richiedere agli utenti finali di seguire un corso di formazione sulla sicurezza informatica è un ottimo modo per rafforzare la sicurezza del proprio ambiente. È stato spesso affermato che l’anello più debole di qualsiasi difesa della sicurezza informatica sono gli utenti. Formando i dipendenti, gli utenti finali saranno in grado di filtrare i rischi prima che debbano essere presi in considerazione con le difese tecnologiche.

Utilizzare la protezione dell’endpoint

Sempre più frequentemente si pensa che l’antivirus non sia più efficace contro il ransomware. I tradizionali programmi antivirus non sono efficaci contro le minacce moderne, la protezione degli endpoint di nuova generazione utilizza l’intelligenza artificiale (AI) e l’apprendimento automatico (ML) per aiutare a riconoscere le minacce dannose.

La protezione degli endpoint non può e non deve essere l’unico mezzo di protezione contro il ransomware ma è comunque un componente prezioso delle difese complessive di sicurezza informatica.

Usare la whitelist delle applicazioni

La whitelist delle applicazioni impedisce l’esecuzione di qualsiasi programma, script o altro eseguibile non esplicitamente consentito. In altre parole, con questo meccanismo di sicurezza è possibile definire i programmi che si vuole essere in grado di eseguire. L’esecuzione di qualsiasi altro codice verrà bloccata così come l’eseguibile del ransomware.

La whitelist delle applicazioni è molto efficace, tuttavia, richiede un po’ di tempo nell’implementazione e nella messa a punto per garantire che le app legittime business-critical non vengano bloccate.

Implementare politiche di password complesse e protezione della password violata

È essenziale associare l’autenticazione a più fattori e rafforzare la sicurezza complessiva delle password utilizzate nell’ambiente. Criteri di password complessi e protezione delle password violate richiedono una soluzione di terze parti poiché i servizi di dominio Active Directory (ADDS) sono limitati nelle capacità dei criteri delle password e non hanno una protezione nativa delle password violate.

Proteggere la propria azienda dai ransomware 12 modi

Nexsys ti aiuta a proteggere la tua azienda dal ransomware attraverso una piattaforma SaaS per la protezione dei dati su data center, applicazioni cloud ed endpoint. La soluzione Druva ti permette di effettuare il backup e il ripristino dei dati in modo sicuro con la scalabilità e la semplicità del cloud pubblico. La soluzione Cybereason ti permette di sfruttare un engine avanzato che sfrutta il Machine Learning e l’Intelligenza Artificiale per proteggere i tuoi sistemi client e server dalla minacce sempre più complesse.