Combattere gli attacchi ransomware

Il ransomware rimane un business redditizio per i criminali informatici. Per eludere le misure di sicurezza aziendali, gli hacker oggi utilizzano spesso un sofisticato spear phishing per indurre le vittime a cliccare su link e allegati dannosi o a visitare siti web contaminati. Una volta infettato, il Trojan di estorsione inizia a crittografare i file e le cartelle sui dischi rigidi locali, sulle posizioni di archiviazione locali collegate ed eventualmente su altri nodi di computer situati nella stessa rete.

L'infezione rimane solitamente inosservata fino a quando non viene negato l'accesso ai dati o viene inviato un messaggio alla vittima che richiede un riscatto in cambio di una chiave di decrittazione. Tuttavia, le aziende non dovrebbero in alcun caso soddisfare le richieste degli estorsori, poiché ciò non garantisce la decriptazione dei dati: La variante del ransomware GermanWiper, ad esempio, sovrascrive permanentemente i file con degli zeri invece di crittografarli in modo recuperabile, distruggendoli definitivamente. Inoltre, il pagamento del riscatto incoraggia i criminali ad attaccare nuovamente l'azienda in futuro.

Le migliori pratiche di base per la prevenzione

Gli effetti di un attacco ransomware possono essere devastanti: dalla perdita di dati riservati e critici per l'azienda alle perdite finanziarie dovute all'interruzione dei processi aziendali, fino all'elevato danno alla reputazione. Ecco alcune misure di base per mitigare il rischio di attacchi ransomware:

Creazione di una whitelist per le applicazioni: Questo permette di eseguire solo determinati programmi su un computer. La misura dovrebbe includere anche la disabilitazione degli script macro dai file di Microsoft Office trasmessi via e-mail.

Backup regolare dei dati: Questo deve essere fatto in un ambiente disconnesso e l'integrità dei backup deve essere controllata regolarmente.

Formazione sulla sicurezza: I dipendenti devono essere pienamente istruiti sui rischi del ransomware e formati su come riconoscere gli attacchi di spear phishing.

Aggiornamento regolare di programmi antivirus e antimalware con le firme più recenti.

Approccio a fiducia zero contro gli attacchi malware

Oltre a seguire le misure di sicurezza di base, le aziende possono prevenire la principale causa di violazione della sicurezza - l'uso improprio di account e credenziali privilegiati - e ridurre al minimo l'impatto di un attacco ransomware implementando una soluzione di gestione degli accessi privilegiati (PAM) con un approccio zero-trust. Questo perché impedisce l'esecuzione del malware o almeno ne limita la diffusione nella rete. I meccanismi di protezione comprendono:

1. creare un ambiente di amministrazione sicuro: Ad esempio, se un amministratore si connette ai server, è importante prevenire un'infezione da malware durante questa sessione. Pertanto, l'accesso deve avvenire solo da una fonte pulita. In questo caso, PAM con un approccio zero-trust impedisce l'accesso dalle workstation degli utenti che hanno accesso anche a Internet e alla posta elettronica, in quanto particolarmente suscettibili alle infezioni da malware. Invece, l'accesso è consentito solo tramite console di amministratore privilegiate e protette, come una jump box amministrativa.

2. proteggere l'accesso remoto: Un ambiente di amministrazione dei privilegi zero-trust ben progettato non solo consente ai dipendenti di accedere in modo sicuro alle risorse da remoto 24 ore su 24, 7 giorni su 7, ma è anche adatto ai team IT o di sviluppatori in outsourcing, in quanto riduce la necessità di una VPN e gestisce tutta la sicurezza del trasporto tra i gateway client sicuri e i connettori server distribuiti. Senza un'adeguata protezione, il ransomware può diffondersi nella rete non appena un utente finale infetto si connette tramite VPN.

3. zonizzazione per l'accesso privilegiato: La suddivisione in zone dei sistemi e delle unità organizzative consente al ransomware di diffondersi, ma non sui sistemi che richiedono un'ulteriore verifica da parte dell'utente. PAM con un approccio zero-trust consente il controllo specifico dell'utente sull'accesso privilegiato ai sistemi. La zona in cui si trova l'utente è quindi l'unica raggiungibile dal ransomware, a patto che esista un meccanismo di protezione tra l'utente e il suo accesso a un'altra zona. L'accesso è controllato dalla soluzione PAM e la sua legittimità è verificata dall'autenticazione a più fattori (MFA). Senza una risposta MFA, il ransomware non può passare al sistema successivo.

4. minimizzazione della superficie di attacco: Il ransomware non sempre richiede privilegi, ma se il malware riesce a ottenere privilegi elevati, il suo impatto è ancora maggiore. Proteggendo gli account locali condivisi, le organizzazioni possono ridurre al minimo la superficie di attacco. Le soluzioni PAM con un approccio zero trust gestiscono questi account di amministratore alternativi e gli account di servizio utilizzati da più utenti e forniscono un accesso just-in-time per gli utenti autorizzati con MFA. In questo caso, i privilegi richiesti sono concessi solo per un periodo di tempo limitato e/o per una portata limitata necessaria per il compito da svolgere.

5. restrizione dei privilegi: PAM con un approccio zero-trust consente anche un controllo dettagliato sull'accesso di un utente privilegiato e sui comandi che può eseguire. Questo limita anche la possibilità per il malware di installare file o aumentare le autorizzazioni.

Di Martin Kulendik, Centrify