La guerra contro il ransomware è reale. Negli ultimi anni questa forma di attacco è diventata una valida minaccia per le aziende. Abbiamo assistito a massicci attacchi che hanno reso le organizzazioni multinazionali, compresi i governi, vulnerabili e incapaci di portare avanti operazioni critiche. Nel 2017, WannaCry ha portato i reparti IT negli ospedali di tutta Europa, con oltre 200.000 computer colpiti, dimostrando il potenziale distruttivo del ransomware. Sebbene WannaCry e Petya rimangano gli attacchi ransomware più importanti, questa forma di attacco informatico continua ad aumentare, secondo il rapporto 2019 Organized Crime Threat Assessment (IOCTA) di Europol. Le organizzazioni devono riconoscere questa minaccia e adottare misure per prepararsi, difendersi ed essere pronte ad affrontarla. Questo è un passaggio essenziale per evitare una risposta inaspettata e forse inefficace in seguito a un incidente ransomware. Una strategia e una difesa di sicurezza informatica solide e multilivello per affrontare il ransomware sono costituite da tre elementi chiave: formazione, implementazione e risoluzione. Inoltre, disporre di un approccio estremamente resiliente al backup, al ripristino e al ripristino dei dati è fondamentale per proteggere la continuità aziendale in caso di evento.
Educa il business
Da un punto di vista educativo, ci si dovrebbe rivolgere a due destinatari principali: il personale IT e gli utenti dell'organizzazione. È importante prendere di mira entrambi i gruppi, poiché entrambi i personaggi possono presentare minacce. I principali punti di ingresso del ransomware in un'azienda sono il Remote Desktop Protocol (RDP) o altri meccanismi di accesso remoto, il phishing e gli aggiornamenti software. In poche parole, nella maggior parte dei casi, gli aggressori informatici non devono lavorare tanto quanto dovrebbero per vincere grandi premi. Sapere che questi sono i tre meccanismi principali è di grande aiuto nel determinare dove investire maggiormente per essere resilienti dal punto di vista del vettore di attacco. La maggior parte degli amministratori IT utilizza RDP per il lavoro quotidiano, con molti server RDP connessi direttamente a Internet. La realtà è che l’RDP connesso a Internet deve essere fermato. Gli amministratori IT possono essere creativi su indirizzi IP speciali, inoltrare porte RDP, password complesse e altro ancora; Ma i dati non mentono: più della metà dei ransomware arriva tramite RDP. Questo ci dice che esporre i server RDP a Internet non è una strategia di resistenza al ransomware all’avanguardia. L'altra modalità di ingresso comune sono le e-mail di phishing. Abbiamo tutti visto e-mail che non sembrano giuste. La cosa corretta è rimuovere questo elemento. Tuttavia, non tutti gli utenti gestiscono queste situazioni allo stesso modo. Esistono strumenti popolari per valutare il rischio di una minaccia di phishing efficace per un'organizzazione come Gophish e KnowBe4. Combinati con la formazione per aiutare i dipendenti a identificare e-mail o collegamenti di phishing, gli strumenti di autovalutazione possono rappresentare un'efficace difesa di prima linea. La terza area che entra in gioco è il rischio di sfruttamento delle vulnerabilità. L’aggiornamento dei sistemi è una responsabilità IT secolare che è più importante che mai. Sebbene non sia un compito affascinante, può sembrare rapidamente un buon investimento se un incidente ransomware sfrutta una vulnerabilità nota e corretta. Assicurati di rimanere aggiornato con gli aggiornamenti delle categorie di risorse IT critiche: sistemi operativi, applicazioni, database e firmware del dispositivo. Diversi ceppi di ransomware, tra cui WannaCry e Petya, si basano su vulnerabilità scoperte in precedenza e poi risolte con un software di gestione delle patch appropriato. Anche le organizzazioni che seguono le migliori pratiche per evitare l’esposizione al ransomware sono a rischio. Sebbene l’istruzione e la formazione sulla sicurezza informatica siano un passaggio fondamentale, le organizzazioni devono prepararsi allo scenario peggiore. Se c'è una cosa che i manager aziendali e IT devono ricordare, è disporre di una qualche forma di storage di backup ultra resistente. Noi di Veeam sosteniamo la regola 3-2-1 come strategia complessiva di gestione dei dati. La regola 3-2-1 raccomanda che ci siano almeno tre copie di dati importanti, su almeno due diversi tipi di media, con almeno una di queste copie fuori sede. La parte migliore è che questa regola non richiede alcun tipo particolare di hardware ed è abbastanza versatile da affrontare quasi tutti gli scenari di errore. La copia “unica” della strategia 3-2-1 deve essere ad alta resistenza. Con questo intendiamo uno spazio vuoto, disconnesso o immutabile. Esistono diversi tipi di supporti su cui questa copia di dati può essere archiviata in modo ultraresistente. Questi includono supporti su nastro, backup immutabili su storage di oggetti compatibile con S3 o S3, spazio libero e supporti offline oppure backup e disaster recovery (DR) software-as-a-service. Nonostante queste tecniche di formazione e implementazione, le organizzazioni devono essere comunque pronte a porre rimedio a una minaccia qualora si presenti. Noi di Veeam il nostro approccio è semplice. Non pagare il riscatto. L'unica opzione è ripristinare i dati. Inoltre, le organizzazioni devono pianificare la propria risposta quando viene scoperta una minaccia. La prima azione è contattare l'assistenza. I clienti Veeam hanno accesso a un team speciale con operazioni specifiche per guidarli attraverso il processo di ripristino dei dati in caso di incidenti ransomware. Non mettere a rischio i tuoi backup perché sono essenziali per la tua capacità di ripristino. Nei disastri di ogni tipo, la comunicazione diventa una delle prime sfide da superare. Prepara un piano su come comunicare con le persone giuste al di fuori della band. Ciò include elenchi di testi di gruppo, numeri di telefono o altri meccanismi comunemente utilizzati per allineare le comunicazioni all'interno di un team esteso.Decisioni di recupero
Ci sono anche conversazioni sull’autorità decisionale. Le aziende devono decidere chi richiede il ripristino o il failover prima che qualcosa vada storto. Una volta presa la decisione di rollback, le organizzazioni dovrebbero implementare ulteriori controlli di sicurezza prima di riportare i sistemi online. È inoltre necessario decidere se il ripristino di un'intera macchina virtuale (VM) sia la soluzione migliore o se sia più sensato il ripristino a livello di file. Infine, il processo di ripristino stesso dovrebbe essere sicuro, eseguire scansioni complete di virus e malware su tutti i sistemi e richiedere agli utenti di modificare le proprie password dopo il ripristino. Anche se la minaccia del ransomware è reale, con un’adeguata preparazione le organizzazioni possono aumentare la resilienza a un incidente per ridurre al minimo il rischio di perdita di dati, perdite finanziarie e danni alla reputazione. È essenziale un approccio multilivello. Consenti ai tuoi team IT e ai tuoi dipendenti di ridurre al minimo i rischi e massimizzare la prevenzione. Tuttavia, implementare soluzioni per garantire la sicurezza e il backup dei dati. Infine, preparati a riparare i sistemi di dati con funzionalità complete di backup e ripristino di emergenza se le tue vecchie linee di difesa falliscono.- Rick Vanover, Senior Director of Product Strategy, Veeam.