Axitea: il ransomware non fa prigionieri, bisogna prevenire i danni

Il ransomware è attualmente uno dei problemi più grandi nel mondo della sicurezza, con numerose vittime che vedono i propri dati sequestrati o, in alcuni casi, persi per sempre. Maurizio Tondi, security strategy director in Axitea, ci parla delle principali problematiche che emergono nell'affrontare questo problema.

Axitea: la cura migliore per il ransomware è la prevenzione

Tondi: In un panorama delle minacce informatiche sempre più ricco e variegato, il ransomware (con la relativa problematica del recupero dei file criptati) occupa da tempo uno dei posti di maggiore rilievo.

Il meccanismo d’attacco è relativamente semplice. I cybercriminali riescono a entrare nel sistema informatico di un’azienda o di un individuo e a cifrare i dati che trovano sui vari dischi. La chiave per decifrarli viene fornita alla vittima solo a fronte di un pagamento, che nella quasi totalità dei casi avviene in Bitcoin. E non è nemmeno sicuro che la chiave venga fornita davvero, anche quando la vittima cede al ricatto e paga.

E’ possibile recuperare i file criptati? Le chance sono poche perché i metodi di cifratura sono molto efficaci. Solo quando vengono usati dei ransomware datati c’è la possibilità di accedere a basi di dati online che propongono soluzioni e chiavi di decifratura, ma si tratta solamente del 10% circa dei casi complessivi. I player che fanno facili promesse spesso non sono trasparenti o onesti. Molto meglio lavorare sulla prevenzione.

Gli hacker sferrano i loro attacchi tipicamente tramite messaggi di posta elettronica che cercano di convincere gli utenti a scaricare un allegato infetto o a cliccare su un link pericoloso. Esistono strumenti di protezione informatica che impediscono alle minacce note di entrare nella rete di un’azienda, andando a verificare i comportamenti di eventuali file che arrivano per posta elettronica o vengono scaricati, ma non sempre tali strumenti sono sufficienti a contrastare i tentativi di attacco.

Un aspetto fondamentale è dunque la formazione del personale. I messaggi malevoli prendono di mira il singolo utente per convincerlo ad agire in modo imprudente, tanto che oltre il 90% degli attacchi lanciati oggi richiede la collaborazione più o meno consapevole dell’utente, dunque è necessario che l’utente spezzi questa catena non agendo come si aspetta il criminale grazie alla formazione ricevuta.

Aggiornamento tecnologico e prevenzione sono misure efficaci che, però, risultano di difficile implementazione per molte piccole e medie imprese, che spesso non dispongono di competenze specifiche in azienda. In questo caso il consiglio è senz’altro quello di rivolgersi a chi fa della sicurezza il suo core business e lo eroga sotto forma di servizio gestito. In questo modo ci si assicurano competenze avanzate e sempre aggiornate, oltre alla possibilità di accedere a strumenti di formazione in modo regolare.

Rispondere a un attacco di ransomware: le migliori pratiche

Edge9: la prevenzione è l'elemento indubbiamente più importante, ma purtoppo non sempre è possibile evitare un attacco anche con l'implementazione delle migliori pratiche del settore. Come si fronteggia un attacco già avvenuto?

Tondi: Avere un controllo regolare della propria infrastruttura in termini di sicurezza rappresenta un vantaggio importante per ogni organizzazione. Un monitoraggio continuo e in tempo reale degli eventi consente infatti di identificare molte anomalie e di poter intervenire prima che si tramuti in un incidente, e quindi un problema di sicurezza.

Una volta ricevuto il primo alert, l’integrazione di tecnologie e approcci avanzati come machine learning, threat intelligence e big data fornisce informazioni utili agli analisti informatici per formulare risposte tempestive e valide nella risoluzione di incidenti e mitigazione dei rischi. Lo stesso vale per anomalie del sistema che si possano riscontrare all’interno, come è il caso di comportamenti malevoli, o semplicemente non conformi alle norme, da parte dei dipendenti.

Un’attività di consulenza post attacco consente di minimizzare i tempi di ripristino e tornare all’operatività, seguendo le corrette procedure ed evitando di commettere errori, come ad esempio l’eliminazione delle tracce che hanno causato l’attacco.

Dopo un attacco è fondamentale effettuare un’accurata valutazione per quali e quanti dati siano stati criptati e fisicamente compromessi (poiché resi illeggibili dalla cifratura) e se questi siano stati anche rubati, ovvero inviati all’esterno del perimetro aziendale. In questo ultimo caso saremmo di fronte a una data breach che, se dovesse riguardare anche dei dati personali, va segnalata secondo quanto previsto dalle disposizioni di legge e normative. Lo specialista può supportare l’azienda nella corretta gestione delle data breach coordinando e predisponendo le comunicazioni, entro i termini previsti, al Garante della Privacy ed eventualmente alle altre Autorità da coinvolgere (Polizia Postale) e terze parti coinvolte (come clienti e/o fornitori).

L’attività di valutazione è importante anche per il supporto periziale per la quantificazione del danno ai fini di eventuali risarcimenti di polizze stipulate per il rischio informatico o altre forme assicurative.

Infine, è basilare ricostruire attraverso attività di analisi forense il modello di attacco utilizzato per capire le cause che lo hanno generato, sia per fornire le giuste informazioni agli stakeholder interni ed esterni, sia per adeguare le misure di protezione per evitare che attacchi simili si ripetano in futuro.

Le competenze da mettere in campo quando si parla di proteggersi in modo efficace dal cybercrimine sono tante e diverse, quindi. Si parla di cybersecurity evoluta, ma anche di monitoraggio dei sistemi e di correlazione dei segnali che sistemi automatici di alert possono generare. Se una buona parte di queste operazioni viene via via automatizzata, non va per nulla sottovalutato il ruolo degli specialisti che analizzano i sistemi e correlano tra loro i dati raccolti, andando in ultima analisi a rivedere e raffinare le strategie di sicurezza di un’impresa.