Protezione contro i ransomware

Il ransomware rappresenta una minaccia crescente per le aziende e le istituzioni pubbliche. Attacchi come "WannaCry" hanno dimostrato che le misure di protezione convenzionali sono inadeguate. Per aumentare la sicurezza, è necessario concentrarsi maggiormente sulla gestione dei diritti degli utenti e sul controllo delle applicazioni.

Figura: La funzione Greylist impedisce al malware di diffondersi in azienda e di criptare i dati aziendali. © CyberArk

 

È chiaro che gli approcci di sicurezza tradizionali, basati sull'uso di software antivirus o scanner di malware, sono insufficienti per la difesa dal ransomware. Tali soluzioni cercano di rilevare gli attacchi utilizzando le firme. Se viene rilevato un malware, il software di protezione lo blocca, impedendo così l'accesso alle risorse del sistema. È proprio a questo punto che emerge il grave svantaggio di queste soluzioni: Poiché si basano sul rilevamento del malware, spesso non sono in grado di fornire una sicurezza affidabile contro il crescente numero di nuovi ransomware sconosciuti.

Di conseguenza, l'azienda deve adottare misure aggiuntive. Le opzioni più comuni sono, ad esempio

  • Lista nera di applicazioni
  • Whitelist delle applicazioni
  • Greylisting delle applicazioni
  • Controllo dei minimi privilegi

Lista nera

 Con un approccio di blacklist, le aziende possono impedire l'esecuzione di malware nel loro ambiente. Sebbene sia in grado di rilevare e bloccare le versioni più vecchie del malware, non è un metodo utile per proteggersi dal ransomware. Ogni giorno vengono rilasciate migliaia di nuove versioni di ransomware, rendendo impossibile il continuo adattamento delle liste nere.

Whitelisting

Il whitelisting delle applicazioni è per sua natura efficace al 100% nella lotta contro il ransomware, in quanto questo processo blocca tutte le applicazioni non esplicitamente fidate. Sebbene gli attacchi ransomware possano essere prevenuti in modo estremamente efficace con questa strategia di contenimento, è anche difficile da attuare nella pratica. Per inserire efficacemente le applicazioni nella whitelist, i team IT devono sapere esattamente di quali applicazioni e versioni di applicazioni ha bisogno ogni singolo utente e sistema dell'organizzazione, e ogni singola versione di applicazione deve essere esplicitamente inserita nella whitelist. A differenza della blacklist, questo rende la creazione e la gestione di una whitelist molto dispendiosa in termini di tempo, poiché non solo si deve tener conto di tutte le applicazioni in uso, ma soprattutto degli aggiornamenti delle applicazioni. Infine, l'aggiornamento può modificare il valore di controllo - ad esempio un hash - dell'applicazione approvata in modo tale che differisca dalla voce della whitelist e che il programma non venga più avviato.

Greylisting

Un'altra opzione è il greylisting delle applicazioni. Questo approccio consente alle aziende di impedire l'esecuzione di malware noti nelle blacklist nei loro ambienti e, allo stesso tempo, di limitare le autorizzazioni per tutte le applicazioni non esplicitamente affidabili o sconosciute. Questa classificazione può avvenire sulla base di vari parametri che l'amministratore memorizza a livello centrale, come i certificati dei produttori di software, le somme hash dei programmi o fonti identificabili in modo affidabile come determinati server, servizi di distribuzione del software o cartelle di programmi nella rete aziendale. La procedura di greylisting offre quindi una maggiore flessibilità rispetto al whitelisting e può essere utilizzata per impedire azioni di applicazioni sconosciute, come la creazione di una connessione a Internet, l'accesso alla rete o la lettura, la scrittura e la modifica di file. Limitando le autorizzazioni, il ransomware non è generalmente in grado di accedere ai file e di crittografarli.

Privilegio minimo

Ultimo ma non meno importante è il controllo dei privilegi minimi, che non è solo una routine di sicurezza ma anche una delle "Dieci leggi immutabili della sicurezza" di Microsoft. Soprattutto nel mondo Windows, questo aspetto è molto importante. Non è raro che i normali utenti di computer Windows ricevano contemporaneamente i diritti di amministratore o almeno i diritti di utente di ampia portata. Le ragioni sono molteplici, come l'alleggerimento del carico informatico, l'uso di applicazioni che possono essere eseguite solo in modalità amministratore o semplicemente la "pretesa di sovranità" dell'utente finale sul proprio dispositivo. Se vengono concessi più privilegi del necessario, si crea una superficie di attacco ampia, confusa e frequentemente utilizzata. Se un utente malintenzionato riesce ad accedere a un computer in cui è o era connesso un amministratore di dominio, può rubare i dati di accesso dell'account di dominio e quindi accedere a tutte le risorse, i diritti e i privilegi dell'account corrispondente per l'intero dominio. In questo modo, gli aggressori possono penetrare gradualmente nel centro di un'azienda e lanciare un attacco ransomware ad ampio raggio con l'obiettivo di conquistare completamente la rete aziendale. Di conseguenza, le aziende e le istituzioni pubbliche dovrebbero adottare una soluzione che supporti l'implementazione di politiche flessibili di minimizzazione dei privilegi per gli utenti aziendali e amministrativi. Da un lato, dovrebbe consentire di limitare i privilegi al minimo indispensabile e, dall'altro, di assegnare i diritti in base alle necessità e, se necessario, solo in modo temporaneo e in funzione dei compiti.

Conclusione

Attualmente il ransomware si presenta come un metodo molto affidabile e adatto agli aggressori per porre alle aziende il dilemma di cancellare i dati sequestrati o - nella speranza di riavere i dati - di effettuare un pagamento. Le soluzioni di sicurezza classiche, come il software antivirus, non sono efficaci per scongiurare il ransomware, quindi è necessario adottare misure di sicurezza aggiuntive. L'analisi delle varie opzioni mostra che anche la blacklist e la whitelist da sole non sono mezzi adeguati. L'approccio "least-privilege" e il controllo delle applicazioni, in particolare, si dimostrano efficienti.

Un primo passo è quello di revocare i diritti di amministratore locale, perché la ricerca di CyberArk ha dimostrato che un gran numero di malware moderni richiede tali diritti per funzionare senza problemi. Tuttavia, questa misura non è sufficiente. Altrettanto importante è il controllo delle applicazioni con il greylisting. Grazie alla combinazione dell'approccio "least privilege" e del controllo delle applicazioni, si ottiene uno scudo efficace contro la crittografia del malware, senza compromettere la produttività degli utenti.

Michael Kleist, Direttore regionale DACH di CyberArk a Düsseldorf

(Visitata 49 volte, 1 visita oggi)
h2> Altri articoli sull'argomento

NOTIZIE SULLA SICUREZZA

Bleiben Sie informiert über aktuelle Sicherheitsthemen – praxisnah und zuverlässig. Erhalten Sie exklusive Inhalte direkt in Ihren Posteingang. Verpassen Sie keine Updates.

Jetzt anmelden!
anmelden
È possibile annullare l'iscrizione in qualsiasi momento!
chiudere il link