Come difendersi dal ransomware in 9 passaggi
- Ransomware: come difendersi
- Le 4 categorie di ransomware
- Eseguire il backup dei dati
- Usare programmi antivirus e firewall
- Segmentazione della rete
- Sviluppare piani e politiche
- Rivedere le impostazioni delle porte
- Proteggere gli endpoint
- Mantenere i sistemi aggiornati
- Formare il team
- Implementare un IDS
Ransomware: come difendersi
Le 4 categorie di ransomware
- I locker impediscono di utilizzare il computer per lavorare o eseguire attività di base fino al pagamento del riscatto.
- Gli scareware mirano a terrorizzare i consumatori ed a spingerli ad acquistare software inutile. In alcune circostanze, i pop-up invadono lo schermo e richiedono il pagamento per essere rimossi.
- Doxware/Leakware – Se l'azienda o il privato si rifiutano di pagare la multa, doxware o leakware minacciano di far trapelare informazioni private o aziendali.
Ecco le 9 misure che le aziende possono adottare per difendersi dal ransomware e limitare i danni ai propri dati.
Eseguire il backup dei dati
Conviene considerare l'obiettivo finale del backup e stabilire quali sono i dati di cui l'organizzazione ha maggiormente bisogno. Occorre scegliere un intervallo di backup ragionevole per l'organizzazione e stabilite dove i dati devono essere archiviati. Inoltre, il backup dei dati deve essere eseguito con controlli di sicurezza commisurati alla sensibilità dei dati. Si considera che l'approccio migliore per riprendersi da un attacco di ransomware è quello di eseguire regolarmente il backup dei dati vitali. Assicurarsi sempre che i file di backup siano adeguatamente protetti, archiviati offline o fuori banda e testati regolarmente per verificarne l'efficacia.
Usare programmi antivirus e firewall
I mezzi più diffusi per difendersi dal ransomware sono i programmi antivirus e antimalware completi. Sono in grado di cercare, trovare e reagire prontamente alle minacce online. Tuttavia, poiché il software antivirus opera solo a livello interno e può identificare un attacco solo quando è già entrato nel sistema, è necessario configurare anche il firewall.
La prima linea di difesa contro qualsiasi minaccia esterna in arrivo è spesso un firewall. Può difendere da attacchi sia software che hardware. Qualsiasi azienda o rete privata deve avere un firewall perché può filtrare e impedire l'ingresso di pacchetti di dati sospetti nel sistema.
Segmentazione della rete
In caso di attacco, è fondamentale prevenire il più possibile la diffusione del ransomware, che può infettare rapidamente una rete. Implementando la segmentazione della rete, l'azienda può isolare il ransomware e impedirgli di diffondersi ad altri computer dividendo la rete in diverse reti più piccole.
Per evitare che il ransomware raggiunga i dati, ogni singolo sottosistema deve avere le proprie misure di sicurezza, i propri firewall ed un accesso unico. L'accesso segmentato non solo impedirà alla minaccia di diffondersi alla rete principale, ma darà anche al team di sicurezza più tempo per trovare, contenere ed eliminare il pericolo.
Sviluppare piani e politiche
È d'importanza primaria creare un piano di risposta agli incidenti ed una politica sulle e-mail sospette. Questo aiuterà a istruire i membri del personale su cosa fare se ricevono un'e-mail che solleva dubbi e di cui non sono sicuri. Inoltre, è necessario rivedere le impostazioni delle porte e limitare le connessioni agli host affidabili. Proteggere gli endpoint, mantenere i sistemi aggiornati e formare il team. Implementare un sistema di rilevamento delle intrusioni per individuare attività dannose e avvisare rapidamente l'organizzazione in caso di rilevamento di potenziali attività dannose.
Rivedere le impostazioni delle porte
Si deve valutare se l'organizzazione deve lasciare le porte aperte e limitare le connessioni solo agli host affidabili. Nel rivedere le impostazioni delle porte, bisogna considerare quali porte devono essere aperte e quali possono essere chiuse. Procedere quindi a chiudere le porte non necessarie e limitare le connessioni agli host affidabili. Infine, configurare le liste di controllo degli accessi (ACL) per controllare il traffico che può accedere al sistema.
Proteggere gli endpoint
Per endpoint si intende qualsiasi dispositivo che possa connettersi con la rete aziendale. Si tratta di cellulari, tablet, notebook che sono in possesso di privati e che non sempre osservano le misure di sicurezza. Per questo in caso di attacco informatico, questi dispositivi sono i più vulnerabili e con la diffusione dello smart working, sono aumentati i pericoli per le aziende. Le impostazioni di configurazione sicura possono contribuire a ridurre la superficie di attacco dell'azienda e a colmare le lacune di sicurezza create dalle impostazioni predefinite. Assicurarsi che le liste di controllo degli accessi agli endpoint siano configurate correttamente e che non siano aperte porte non necessarie. Disattivare anche i servizi ed i protocolli non necessari e utilizzare l'autenticazione a due fattori quando è possibile.
Mantenere i sistemi aggiornati
Applicare gli ultimi aggiornamenti per colmare le lacune di sicurezza che di solito, sono gli spazi che gli aggressori cercano di sfruttare. Assicurarsi che tutto il software sia patchato e aggiornato all'ultima versione. Inoltre, controllare che i programmi antivirus e antimalware siano aggiornati e che effettuino regolarmente una scansione degli endpoint alla ricerca di potenziali minacce
Formare il team
Per fermare il ransomware sul nascere e difendersi dal ransomware, la formazione sulla sicurezza è fondamentale. Ogni persona contribuisce alla sicurezza dell'organizzazione quando è in grado di riconoscere ed evitare le e-mail dannose e di proteggere l'organizzazione da attività rischiose. Inoltre, è necessario creare politiche e procedure per rispondere ad un attacco ransomware, come la disconnessione immediata dalla rete e la notifica al personale IT o di sicurezza.
Implementare un IDS
Un IDS o sistema di rilevamento delle intrusioni, si occupa della ricerca di attività dannose che può captare mediante sensori e di conseguenza avvisare rapidamente l'azienda qualora rilevasse una potenziale attività dannosa.
Quando il ransomware attacca, è fondamentale che l'azienda sia allertata e avvii una rapida indagine. Secondo quanto osservato, le organizzazioni mature dovrebbero avere 10 minuti per indagare su un'infiltrazione. Tuttavia, solo il 10% delle aziende riesce a raggiungere questo standard.
Autore: Marco R. Marzaduri