Il ransomware continua a evolversi senza sosta, con nuove forme di attacco che i sistemi di rilevazione delle minacce informatiche scoprono di continuo. Si tratta di una evoluzione che avviene in un panorama degli attacchi cyber dove i criminali informatici si uniscono in gruppi sempre più ampi e organizzati, utilizzando tecnologie emergenti come l’intelligenza artificiale per aumentare l’efficacia delle intrusioni, eludendo le difese e inducendo più facilmente gli utenti in errore.
Diversi sono oggi gli strumenti e le tecnologie di cybersecurity che le aziende possono adottare per attivare strategie di sicurezza e protezione dei dati efficaci nella difesa dagli attacchi ransomware. Se il back-up immodificabile dei dati, che ormai ogni azienda dovrebbe avere, consente di poter ripristinare in tempi rapidi i propri dati in risposta a un attacco e alla cifratura delle informazioni, molte e diverse sono le soluzioni di cyber sicurezza che è possibile schierare in campo ancor prima di giungere all’attacco vero e proprio.
Le strategie di difesa dal ransonware oggi disponibili in ambito di cybersecurity non sono legate solamente al salvaguardare i dati, che se anche vengono cifrati e bloccati possono essere recuperati. Oggi gli strumenti di sicurezza informatica puntano a evitare l’esfiltrazione dei dati, che è possibile prevenire attraverso il controllo esatto di tutto quello che succede all’interno del network di un’azienda. Facendo pertanto ricorso a strategie NDR, con tecnologie di Network Response & Detection.
Chiaramente si tratta di strumenti e tecnologie di difesa che per essere applicate impongono di gestire la rete in maniera adeguata, andandola innanzitutto a segmentare, e soprattutto implementando delle politiche di controllo del traffico, che non deve essere di tipo ‘everyone full control’ né ‘everyone everywhere’. Non si parla infatti di semplici reti telematiche, ma di device che comunicano tra loro all’interno dell’azienda e dal suo interno verso l’esterno, e queste comunicazioni devono avvenire seguendo regole specifiche.
Dal momento che il ransomware si sta spostando dal bloccare i dati all’esfiltrare i dati delle aziende, oggi un attacco informatico che ha come obiettivo una richiesta di riscatto si sviluppa pertanto nel tempo e lungo una serie di fasi, che includono l’ingresso nella rete, lo studio della rete stessa con l’enumerazione delle informazioni e l’utilizzo di tecniche di persistenza. In queste fasi, il threat actor studia come la rete dell’azienda è fatta, per capire dove si trovano le informazioni, dopodiché le esfiltra e cancella i back-up laddove sia presente un sistema non immodificabile e pertanto soggetto ad aggressione malevola. Solo a quel punto l’hacker blocca le macchine e cifra i dati, ma prima di arrivare a questo ha già messo a segno tutta una serie di percorsi, come bene viene mostrato dall’intervento tenuto da Gianluigi Monti di Netech ad HackInBo business edition dello scorso novembre, dal titolo ‘Autopsia di un attacco reale’.
Alla luce di queste considerazioni, il back-up immodificabile dei dati è sì una soluzione di difesa dal ransomware, che risponde però solo in parte alla sua minaccia. Una adeguata strategia di difesa dal ransomware deve invece operare su tutte le fasi che preparano e portano all’attacco vero e proprio, attuando una vera e propria tattica di sorveglianza in funzione preventiva, a partire dalla fase di istruttoria in cui il threat actor, entrato in azienda, inizia a studiare la rete. Qui è possibile accorgersi per tempo di una eventuale intrusione grazie all’utilizzo di sistemi NDR. La fase successiva implica quindi l’esfiltrazione dei dati: ancora una volta, è possibile rilevare l’attività malevola in corso mediante sistemi NDR ma anche attraverso la segmentazione dei protocolli di rete. Bloccando il protocollo di comunicazione FTP in azienda, un hacker che ad esempio sia riuscito a far breccia all’interno della rete potrà sì andare a installare un’applicazione, ma questa applicazione non funzionerà.
Da ultimo, è infine possibile ripristinare eventuali file che dovessero essere stati sottratti tramite il back-up, ma prima di giungere a questo stadio esiste un panel completo di soluzioni tecniche e di tecnologie di cybersecurity atte a gestire in sicurezza l’infrastruttura di rete del cliente, mettendo in campo in via preventiva tutta una serie di misure per contrastare in maniera efficace i tentativi di attacco ransomware.
Commenti recenti