Ransomware: il backup da solo non è una strategia di sicurezza
Molte aziende pensano che il loro backup dei dati le protegga dal ransomware. La logica stuzzicante e semplice che c'è dietro: Se potete ripristinare tutti i vostri dati, non potete essere ricattati. Tuttavia, questo è troppo miope: anche se i dati vengono ripristinati con successo dopo un attacco, informazioni sensibili come i dati dei clienti o la proprietà intellettuale potrebbero essere stati rubati.
Inoltre, il pericolo di un attacco rimane: Gli hacker possono ancora essere sulla rete o ottenere di nuovo l'accesso installando una backdoor. In alcuni casi, il ransomware serve ai criminali informatici come pura tattica diversiva, per esempio per infiltrare spyware nella rete aziendale. Così, anche se i dati vengono ripristinati quasi senza tempi morti, il danno di un attacco ransomware può rimanere considerevole o addirittura esistenziale.
La questione non è quindi solo quale malware gli aggressori mettono in un'azienda, ma come si sono infiltrati nell'azienda. Se il ransomware è riuscito a penetrare nella rete, ci sono ovviamente delle lacune nelle difese. E questi devono essere chiusi a lungo termine.
Strategia completa contro gli attacchi informatici
Le aziende che vogliono prevenire l'infiltrazione degli aggressori hanno bisogno dei prodotti, dei processi e degli esperti di sicurezza giusti. Ali Carl Gülerman, CEO e direttore generale di Radar Cyber Security, spiega quindi prima le migliori pratiche di base per prendere precauzioni:
1. identificare i dati e le risorse aziendali più importanti: Che si tratti di proprietà intellettuale, segreti commerciali, informazioni di accesso o dati dei clienti: Questo è ciò che cercano gli aggressori. Le aziende devono quindi identificare i loro dati più sensibili e sapere esattamente dove si trovano. Dopo aver classificato i dati, questi dovrebbero essere etichettati e dotati di restrizioni di accesso. Se i responsabili sanno esattamente quali dei loro dati sono particolarmente preziosi, possono proteggerli specificamente dagli attacchi.
2. addestrare i dipendenti contro l'ingegneria sociale: Educare e sensibilizzare i dipendenti è una delle misure più importanti per la sicurezza aziendale. L'email phishing è ancora il metodo più comune di diffusione del ransomware. Pertanto, è importante che i dipendenti sappiano come riconoscere i tentativi di phishing. Le aziende devono definire processi semplici che permettano ai dipendenti di segnalarli ai responsabili della sicurezza dell'azienda.
3. tecnologie di sicurezza: I filtri di sicurezza della posta elettronica, il software anti-virus e i firewall aiutano a bloccare i ceppi noti e comuni di malware. Inoltre, le aziende dovrebbero utilizzare soluzioni Endpoint Detection and Response (EDR) e Advanced Threat Protection (ATP) per ottimizzare il rilevamento e il blocco del ransomware.
4. mantenere aggiornati i sistemi operativi e le applicazioni: I sistemi operativi e le applicazioni senza patch sono una facile preda per gli attaccanti e una testa di ponte per ulteriori attacchi. Pertanto, le aziende devono assicurarsi che i loro sistemi operativi e software siano sempre patchati con gli ultimi aggiornamenti.
Disattivare le macro: Un certo numero di ceppi di ransomware vengono inviati come allegati di Microsoft Office. Quando un utente apre l'allegato, gli viene richiesto di abilitare le macro per visualizzare il contenuto del documento. Una volta che l'utente abilita le macro, il carico effettivo del ransomware viene scaricato ed eseguito. Pertanto, le macro devono essere disabilitate per default, e i dipendenti devono essere informati che una richiesta di abilitare le macro è un segnale di avvertimento.
Gestire i diritti di accesso: Gli utenti dovrebbero avere solo i diritti di accesso di cui hanno bisogno per eseguire i loro compiti. I diritti amministrativi dovrebbero essere limitati il più possibile. Si dovrebbe anche assicurare che gli utenti amministrativi debbano confermare tutte le azioni che richiedono diritti elevati.
7. segmentare le reti: La segmentazione della rete assicura la limitazione dei danni in caso di infezione da ransomware. Questo impedisce al malware di diffondersi in tutta la rete aziendale.
8. test di penetrazione: I test di penetrazione offrono alle aziende l'opportunità di trovare vulnerabilità nel sistema e correggerle prima che possano essere sfruttate dagli aggressori. I test di penetrazione dovrebbero essere eseguiti almeno una volta all'anno. Un test di penetrazione può anche essere utile quando viene fatto un cambiamento importante alla rete aziendale, come cambiare il sistema operativo o aggiungere un nuovo server.
9. backup come ultima rete di sicurezza: I backup eseguiti regolarmente e testati per la loro funzionalità sono una parte necessaria dell'architettura di sicurezza. Aiutano anche a mantenere i processi aziendali disponibili. Quando si esegue il backup, si raccomanda la ben nota strategia 3-2-1: questa raccomanda tre copie dei dati da proteggere su due diversi tipi di supporti di memorizzazione. Una delle copie si trova fuori sede o offline. Tuttavia, i backup sono solo l'ultima rete di sicurezza quando tutto il resto è già andato storto e non sono affatto una strategia di sicurezza soddisfacente da sola.
10. praticare l'emergenza: Le organizzazioni dovrebbero condurre un incidente ransomware simulato e praticare i processi di recupero. Si tratta non da ultimo di determinare di quanto tempo ha bisogno l'organizzazione per tornare ad essere pienamente operativa. Questi esercizi mostrano ai manager su cosa devono concentrarsi per migliorare i loro processi di recupero. Spesso dimenticato: La preparazione alle emergenze richiede anche lo sviluppo di una strategia di comunicazione interna ed esterna. Coloro che comunicano chiaramente in caso di emergenza sono percepiti come partner e fornitori affidabili.
Le guardie di sicurezza 24/7 rafforzano la resilienza informatica
Quando si tratta di proteggersi dai cyberattacchi, la maggior parte delle organizzazioni manca di personale e di competenze. Per una prevenzione completa contro tali attacchi, compreso il ransomware, e una risposta rapida, le aziende dovrebbero quindi considerare di avere un proprio centro di difesa informatica o un CDC come servizio, poiché questo può rafforzare in modo massiccio la loro resilienza informatica. Ogni minuto vengono create migliaia di minacce informatiche. La tecnologia può filtrare molte delle minacce conosciute. Ma solo un Cyber Defense Centre con un servizio 24/7 può aiutare le aziende ad analizzare l'enorme numero di allarmi, nuove minacce e anomalie che l'infrastruttura tecnica di sicurezza identifica.
Un centro di difesa cibernetica - noto anche come Security Operations Centre (SOC) - combina esperti di sicurezza informatica, processi e tecnologie. Nel CDC, gli esperti addestrati esaminano continuamente il traffico internet, le reti, i desktop, i server, i dispositivi finali, i database, le applicazioni e altri sistemi IT alla ricerca di segni di un incidente di sicurezza. Come centro di comando della sicurezza di un'azienda, il CDC è quindi responsabile del monitoraggio continuo, dell'analisi e dell'ottimizzazione della situazione della sicurezza, al fine di rilevare rapidamente gli attacchi e avviare contromisure appropriate in caso di violazione della sicurezza.
Il ransomware rimarrà uno dei maggiori rischi per la sicurezza delle aziende. Una sola misura non è sufficiente per proteggersi da essa. Ma con un approccio stratificato di formazione continua dei dipendenti, processi robusti per garantire la continuità del business, tecnologie moderne e l'aiuto professionale di esperti di sicurezza, i rischi e le potenziali conseguenze degli attacchi estorsivi possono essere notevolmente mitigati.
Per maggiori informazioni: Radar Cyber Security
Altri argomenti:
Rischi informatici: Nuove raccomandazioni della Confederazione
Assicurazione informatica per le emergenze
