sicurezza informatica

Ransomware, il decalogo per una difesa adeguata: serve un nuovo approccio

L’approccio alla protezione contro il ransomware incentrato sui dati deve essere costruito dall’interno del sistema secondo i principi della fiducia zero. Non basta dunque affidarsi a protezione perimetrale e a regolari backup.

Pubblicato il 01 Nov 2022

Roberto Patano

Senior manager systems engineering di NetApp

ransomware

Le aziende colpite da attacchi ransomware cercano di difendersi principalmente in due modi: utilizzando la protezione perimetrale della rete e mantenendo regolari backup, in modo da poter recuperare dati e utenti colpiti. Purtroppo, come dimostrano i numeri, questi meccanismi di difesa tradizionali non sono sufficienti.

Come affrontare i ransomware 2022: il rapporto Enisa

La difesa contro i ransomware: protezione perimetrale e backup

La protezione perimetrale è un meccanismo di difesa che impiega software anti-ransomware in grado di riconoscere il programma malevolo prima che entri nella rete e la infetti. Il suo scopo è quello di bloccare tutte le vie di accesso, ma esistono ancora modi per aggirare queste difese. I perimetri della rete hanno punti deboli che possono essere violati: uno dei motivi che rende la protezione perimetrale così complicata è la gamma di tecniche utilizzate per infettare i dispositivi con questo tipo di malware. Questo tipo di soluzione, inoltre, risulta essere totalmente inutile contro le minacce che possono trovarsi già all’interno del sistema, e in attesa di essere attivate, visto che si concentra sulle intrusioni esterne.

Il backup, invece, è l’ultima linea di difesa nelle situazioni in cui ci si trova colpiti da un ransomware. Quando si subisce un attacco, e questo riesce a superare la protezione, con i dati che diventano così inaccessibili, una copia di backup aggiornata può consentire il recupero e il ripristino dei sistemi. Sfortunatamente, anche chi pianifica gli attacchi ransomware sa che i backup sono il modo migliore per superare il blocco. Infatti, c’è un punto debole nell’affidarsi a backup come unica difesa anti-ransomware: i metodi di backup non hanno nessuna consapevolezza di ciò che sta accadendo all’interno del sistema. I più recenti programmi ransomware sanno che è fondamentale bloccare i dati di backup oltre a quelli primari. Il vero attacco, infatti, potrebbe non avere luogo finché i backup non sono stati neutralizzati.

Secondo le previsioni di IDC[1] la mole di dati crescerà del 23% nel quinquennio 2020-2025. Solo nel 2020, secondo il rapporto, verranno creati 64,2 ZB di nuovi dati. Anche se non tutti questi verranno conservati, la loro dimensione dimostra la grande importanza che rivestono nelle normali operazioni delle aziende di tutto il mondo.

Poiché i dati sono il dominio dei team Infrastructure & Operations, questi devono essere in grado di monitorarne il funzionamento, assicurarsi che vi si acceda correttamente, rilevare eventuali problemi e avere piena visibilità sull’intero sistema. Queste azioni fanno tutte parte di un approccio alla protezione contro il ransomware incentrato sui dati, una protezione costruita dall’interno del sistema secondo i principi della fiducia zero.

I principi per una difesa adeguata

Andiamo così a vedere i principi di questo tipo difesa, un sistema che ogni IT Manager dovrebbe prendere in considerazione per progettare una difesa anti-ransomware adeguata, su diversi livelli.

  1. Logical air gap. Come prima cosa è necessario creare un logical air gap, in modo tale da evitare che i dati vengano cancellati durante il processo di archiviazione, anche da parte di account di amministratore compromessi.
  2. Recupero rapido. Il costo maggiore di un attacco ransomware è il tempo di inattività. È fondamentale riportare rapidamente i dati online, utilizzando copie istantanee immutabili. L’obiettivo è quello di ripristinare terabyte di dati in pochi secondi, non in ore.
  3. Protezione autonoma contro i ransomware. È necessario scoprire e neutralizzare rapidamente le minacce informatiche utilizzando la tecnologia di apprendimento automatico. Questa tecnologia monitora il file system alla ricerca di anomalie, che possono indicare la presenza di malware in lento movimento. Molto importante è l’utilizzo di un blocco delle estensioni di file anti-malware, per rilevare e impedire la diffusione di malware noto.
  4. Rilevamento delle anomalie del comportamento degli utenti. Rilevare le anomalie in tempo reale, per identificare gli account di utenti compromessi o i possibili comportamenti illeciti, è un altro punto importante per creare una difesa anti-ransomware adeguata. In questo livello, sarebbe importante creare automaticamente punti di recupero dei dati e bloccare ulteriori accessi agli account per prevenire il furto di dati o l’eliminazione di massa.
  5. Zero Trust. Un approccio alla sicurezza fiducia zero con controlli come l’autenticazione multifattoriale, l’accesso basato sui ruoli, la registrazione completa e l’auditing per la protezione dagli attacchi secondari.
  6. Prevenzione da account amministratori compromessi. Per prevenire i danni causati da account amministratori colpiti da ransomware è necessario utilizzare una verifica multi-amministratore che richiede che siano necessari più di un account amministratore per autorizzare azioni di archiviazione critiche, come l’eliminazione di volumi e copie snapshot.
  7. Gestione avanzata delle copie. Bisogna avere politiche di backup e disaster recovery migliorati, in modo da creare copie snapshot immutabili in modo efficiente.
  8. Riduzione del rischio. È necessario ottenere visibilità sulla situazione di sicurezza dei dati, così da identificare quelli più sensibili e la loro posizione. Si potrà così tracciare le autorizzazioni delle cartelle e fornire opzioni per mitigare potenziali rischi come l’esfiltrazione dei dati.
  9. Monitoraggio centralizzato. È molto importante monitorare l’infrastruttura cloud ibrida dell’azienda, attraverso una semplice interfaccia utente, così da identificare le minacce e avviare la riparazione del sistema.
  10. Analisi forense. Infine, sarà necessario effettuare analisi forensi pre e post evento: si tratta di approfondimenti necessari per comprendere, gestire e chiudere i percorsi di attacco.

Note

  1. L’International Data Corporation (IDC) ha recentemente pubblicato le previsioni annuali di DataSphere e StorageSphere, che misurano la quantità di dati creati, consumati e archiviati nel mondo ogni anno.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 2