This post is also available in: Nederlands (Olandese) Deutsch (Tedesco) Español (Spagnolo) Türkçe (Turco)
La strategia più efficace per neutralizzare gli attacchi ransomware è prevenire il loro ingresso nell'organizzazione. Tuttavia, il numero di applicazioni e di servizi di cui le aziende hanno bisogno per funzionare è in continua crescita. La conseguenza è un aumento della superficie di attacco, la quale include rete, applicazioni SaaS ed endpoint, che risulta protetta da misure poco efficaci. Le minacce sono sempre più sofisticate e i nuovi attacchi sono più rapidi dei rimedi alle vulnerabilità e dell'implementazione delle patch. Pertanto, le aziende devono cominciare ad assumere una prospettiva olistica sulla propria piattaforma di sicurezza.
DAL RILEVAMENTO ALLA PREVENZIONE
Le tradizionali metodologie di cybersecurity che hanno privilegiato rilevamento e ripristino non sono più efficaci. Per neutralizzare gli attacchi ransomware, è fondamentale un cambiamento di prospettiva dal rilevamento alla prevenzione. Occorre fermare gli attacchi prima che infettino l'azienda e provochino danni. Per compiere questo passaggio, le aziende devono disporre di un'architettura di sicurezza adeguata, costituita da tre elementi:
- Riduzione della superficie di attacco
- Prevenzione delle minacce note
- Identificazione e prevenzione delle minacce sconosciute
- Riduzione della superficie di attacco
Per ridurre la superficie di attacco, bisogna acquisire piena visibilità su rete, applicazioni, minacce e comportamento degli utenti. Se non sai cosa succede sulla tua rete, è possibile che lo sappia un criminale e usi tale conoscenza per introdurvisi. La classificazione delle attività ti permette di prendere decisioni corrette su cosa consentire e mette in risalto eventi sconosciuti che richiedono ulteriori indagini. Grazie a questa visibilità puoi intraprendere varie azioni, come bloccare il traffico ignoto, identificare attacchi avanzati o consentire semplicemente le applicazioni che hanno un valido scopo aziendale.
Non appena il traffico è stato delimitato, è opportuno applicare policy basate su applicazioni e utenti. Esistono infinite combinazioni di policy che limitano l'accesso a determinate applicazioni per determinati gruppi di utenti e per determinate porzioni della rete. Con un'ampia visibilità e le policy corrette, si rendono inefficaci gran parte dei metodi che i criminali utilizzano per sferrare attacchi malware sulla rete.
Per ridurre ulteriormente la superficie di attacco, occorre bloccare tutti i tipi di file pericolosi o potenzialmente pericolosi. Sebbene non tutti i file di un certo tipo siano nocivi, è consigliabile bloccare tutti quelli con un alta probabilità di essere nocivi. Una volta bloccati i file pericolosi, occorre implementare le policy adeguate alla propria tolleranza al rischio. Bisogna anche evitare che gli utenti colleghino endpoint non conformi alle risorse critiche di rete.
- Prevenzione delle minacce note
Dopo aver ridotto la superficie di attacco, il passo successivo è neutralizzare le minacce note. A tale scopo, è necessario impedire l'accesso alla rete a exploit noti, malware e traffico command-and-control. Tale operazione di blocco accresce il costo di esecuzione di un attacco e di conseguenza ne riduce la probabilità. I criminali sono infatti costretti a creare nuove varianti di malware o nuovi exploit che sfruttino vulnerabilità meno note.
Occorre inoltre impedire agli utenti di scaricare inavvertitamente software nocivi e prevenire il furto delle credenziali bloccando l'acceso agli URL di phishing conosciuti. In questo modo, tali minacce vengono messe completamente fuori gioco. Dopo aver bloccato le minacce note, occorre effettuare una scansione del malware noto sulle applicazioni SaaS, che stanno diventando sempre più spesso un veicolo per introdurre minacce. Bisogna quindi bloccare qualsiasi malware ed exploit rinvenuto con la scansione. Un'operazione analoga deve essere compiuta per il malware e gli exploit presenti sugli endpoint.
- Identificazione e prevenzione delle minacce sconosciute
Una volta bloccate le minacce conosciute, è essenziale identificare e bloccare qualsiasi minaccia sconosciuta, dal momento che i criminali informatici continuano a sviluppare nuovi exploit zero-day e varianti di ransomware. Il primo passo consiste nel rilevare e analizzare le minacce sconosciute nei file e negli URL. I nuovi file in arrivo devono essere scomposti e analizzati, ed è necessario rintracciare eventuali comportamenti nocivi in entità mai viste prima. Occorre inoltre che scattino automaticamente, il prima possibile, le protezioni nelle diverse parti dell'infrastruttura di sicurezza, per evitare che gli attacchi vadano a segno. Ciò include la ricostruzione del contesto per identificare l'autore dell'attacco, la campagna di malware e gli indicatori di compromissione associati all'attacco. Una volta identificati e bloccati comportamenti sospetti e minacce, bisogna bloccare malware e exploit sugli endpoint per garantire la sicurezza di tutti i punti di accesso.
L'obiettivo finale è convertire lo sconosciuto in conosciuto e migliorare lo stato della sicurezza con nuove protezioni, più rapidamente di quanto i criminali riescano a sviluppare i loro malware ed exploit, per tutto il ciclo di vita dell'attacco.