5 strategie per proteggersi dal ransomware nel 2023!
Fortinet Cybersecurity, Netzwerk, E-Mail, Fortinet, Malware, Betrug
Se l'aumento degli attacchi ransomware nel 2022 è un indicatore del futuro, i team di sicurezza di tutto il mondo devono aspettarsi che questo vettore di attacco diventi ancora più popolare nel 2023. Solo nella prima metà del 2022, il numero di nuove varianti di ransomware identificate da Fortinet è aumentato di quasi il 100% rispetto ai sei mesi precedenti. Ad esempio, il team dei FortiGuard Labs ha documentato 10.666 nuove varianti di ransomware nella prima metà del 2022, rispetto alle sole 5.400 della seconda metà del 2021. Questa esplosione di nuove varianti di ransomware è dovuta principalmente al fatto che un maggior numero di aggressori sfrutta gli abbonamenti Ransomware-as-a-Service (RaaS) sul dark web.
Tuttavia, nonostante l'aumento delle varianti di ransomware, le tecniche utilizzate dagli aggressori per diffondere il ransomware rimangono sostanzialmente le stesse. Questa prevedibilità è una buona notizia perché i team di sicurezza hanno un approccio affidabile per proteggersi da questi attacchi. Di seguito, diamo un'occhiata più da vicino alle strategie di mitigazione del ransomware e a come implementarle nella vostra organizzazione.
Che cos'è il ransomware?
Il ransomware è un malware che prende in ostaggio i dati e chiede in cambio un riscatto. Minaccia di pubblicare, bloccare o corrompere i dati, oppure impedisce all'utente di lavorare o accedere al proprio computer se non soddisfa le richieste dell'aggressore. Oggi il ransomware viene spesso inviato tramite e-mail di phishing. Questi allegati dannosi infettano il computer dell'utente non appena vengono aperti. Il ransomware può essere diffuso anche tramite download drive-by, ossia quando un utente visita un sito web infetto. Il malware presente sul sito viene scaricato e installato senza che l'utente se ne accorga.
Anche l'ingegneria sociale svolge spesso un ruolo in un attacco ransomware. Questo avviene quando un aggressore cerca di convincere una persona a rivelare informazioni riservate. Una tattica comune di social engineering consiste nell'inviare e-mail o messaggi di testo per indurre l'obiettivo a rivelare informazioni riservate, aprire un file dannoso o fare clic su un link dannoso.
Che cos'è la difesa dal ransomware?
I tentativi di attacco e le violazioni dei dati sono inevitabili e nessuna azienda vuole essere costretta a scegliere tra il pagamento di un riscatto e la perdita di dati importanti. Fortunatamente, queste non sono le uniche due opzioni. Il modo migliore è adottare misure appropriate per proteggere le reti e ridurre la probabilità che la vostra azienda sia colpita da ransomware. Questo approccio richiede un modello di sicurezza a più livelli che combini controlli di rete, endpoint, edge, applicazioni e data center, oltre a informazioni aggiornate sulle minacce.
Oltre all'implementazione dei giusti strumenti e processi di sicurezza, non dimenticate il ruolo della formazione sulla cybersicurezza nella vostra strategia di mitigazione del ransomware. Insegnare ai dipendenti come riconoscere un attacco ransomware ed educarli a pratiche rigorose di igiene informatica in generale contribuirà a proteggerli dagli abili aggressori.
"Insegnate al vostro personale come individuare i segnali di un ransomware, come ad esempio e-mail che sembrano provenire da aziende reali, link esterni sospetti e allegati di file discutibili".
Comprendere i rischi che rendono necessaria una difesa contro il ransomware
Se si guarda all'interno di un'organizzazione, è probabile che si trovino vulnerabilità di sicurezza che aumentano la probabilità che un'organizzazione sia vittima di un attacco ransomware. Di seguito sono riportate alcune sfide comuni che i team di sicurezza e le loro organizzazioni devono affrontare e che possono renderle più vulnerabili agli incidenti informatici.
Mancanza di conoscenze di igiene informatica tra i dipendenti: il comportamento umano continua a essere uno dei fattori principali nella maggior parte degli incidenti di sicurezza. Oltre alla capacità di individuare i segnali di un ransomware, anche la mancanza di conoscenze generali sulla sicurezza informatica tra i dipendenti può mettere a rischio l'azienda. Secondo il Verizon 2022 Data Breach Investigations Report, l'82% delle violazioni della sicurezza avvenute lo scorso anno erano dovute al comportamento umano.
Politiche di password deboli: Politiche inadeguate sulle credenziali dei dipendenti - o la loro mancanza - aumentano la probabilità che un'organizzazione venga colpita da una violazione della sicurezza. Le credenziali compromesse sono coinvolte in quasi il 50% degli attacchi.
Monitoraggio e processi di sicurezza inadeguati: Nessun singolo strumento fornisce tutto ciò di cui il team di sicurezza ha bisogno per monitorare e proteggere da potenziali incidenti informatici come il ransomware. Un approccio stratificato alla sicurezza può aiutarvi a gestire adeguatamente il rischio della vostra organizzazione.
Carenza di personale nei team di sicurezza e IT: non è un segreto che sia necessario avere nel team persone con le giuste competenze per supportare il monitoraggio e la mitigazione del rischio e combattere efficacemente la criminalità informatica. Tuttavia, i dati dimostrano che la carenza di competenze in materia di cybersecurity è una sfida continua per i CISO: Come reclutare e trattenere nuovi talenti, assicurando al contempo agli attuali membri del team le opportunità di formazione e sviluppo professionale di cui hanno bisogno?
Recenti attacchi ransomware da cui imparare
Il ransomware sta diventando sempre più dannoso e costoso, colpendo le aziende in tutti i settori e in tutte le aree geografiche. La maggior parte di noi ricorda i recenti attacchi ransomware che hanno coinvolto aziende come Colonial Pipeline e JBS, ma ci sono innumerevoli altri incidenti ransomware che non fanno notizia. Tuttavia, molti attacchi ransomware possono essere prevenuti applicando rigorose pratiche di igiene informatica. Tra queste, la formazione continua del personale sulla consapevolezza informatica, l'implementazione di misure di accesso alla rete a fiducia zero (ZTNA) e la sicurezza degli endpoint.
5 buone pratiche per proteggersi dal ransomware
Un rilevamento efficace del ransomware richiede una combinazione di formazione e tecnologia. Di seguito sono riportate alcune delle migliori pratiche per rilevare e prevenire lo sviluppo degli attuali attacchi ransomware:
Educare i dipendenti sulle caratteristiche del ransomware: la formazione sulla sicurezza per i dipendenti di oggi è un must e aiuta le organizzazioni a proteggersi dalle minacce in continua evoluzione. Insegnate ai vostri dipendenti a riconoscere i segnali del ransomware, come le e-mail che sembrano provenire da aziende reali, i link esterni sospetti e gli allegati di file discutibili.
Usate l'inganno per attirare (e fermare) gli aggressori: Un honeypot è un'esca costituita da archivi di file falsi, progettati per sembrare obiettivi attraenti per gli aggressori. È possibile rilevare e bloccare l'attacco quando un hacker ransomware prende di mira l'honeypot. Una tecnologia di inganno informatico di questo tipo non solo utilizza le tecniche e le tattiche del ransomware contro se stesso per innescare il rilevamento, ma scopre anche le tattiche, gli strumenti e le procedure (TTP) dell'attaccante che hanno portato al suo successo nella rete, in modo che il vostro team possa identificare e chiudere tali vulnerabilità.
Monitorare la rete e gli endpoint: Il monitoraggio continuo della rete consente di registrare il traffico in entrata e in uscita, di controllare i file alla ricerca di segni di attacco (ad esempio, modifiche non riuscite), di stabilire una linea di base di attività utente accettabile e di indagare su tutto ciò che sembra fuori dall'ordinario. Anche l'uso di strumenti antivirus e anti-ransomware è utile, in quanto è possibile utilizzare queste tecnologie per creare una whitelist di siti accettabili. Infine, incorporare metodi di rilevamento basati sul comportamento negli strumenti di sicurezza è fondamentale, soprattutto perché la superficie di attacco per le aziende si espande e gli aggressori continuano a esplorare nuove strade con attacchi nuovi e più complessi.
Guardare al di fuori dell'organizzazione: considerare i rischi che un'organizzazione affronta al di fuori della rete. Come estensione dell'architettura di sicurezza, un servizio DRP può aiutare un'azienda a identificare e mitigare tre ulteriori aree di rischio: Rischi legati alle risorse digitali, Rischi legati al marchio e Sotterranei e minacce.
Integrare il team con un SOC-as-a-Service, se necessario: l'attuale intensità del panorama delle minacce, sia in termini di velocità che di sofisticazione, significa che tutti noi dobbiamo lavorare di più per rimanere aggiornati. Ma questo ci porta solo fino a un certo punto. Lavorare in modo più intelligente significa esternalizzare alcune attività, come la risposta agli incidenti e la caccia alle minacce. Ecco perché è utile affidarsi a un provider di rilevamento e risposta gestiti (MDR) o a un'offerta SOC-as-a-service. Rafforzando il vostro team in questo modo, potrete eliminare il rumore e liberare i vostri analisti per concentrarsi sui compiti più importanti.
Sebbene il numero di attacchi ransomware non accenni a diminuire, sono disponibili molte tecnologie e processi per aiutare il vostro team a mitigare i rischi associati a questi attacchi. Dai programmi di formazione informatica continua alle misure ZTNA potenziate, possiamo tenere a bada gli astuti aggressori.