sicurezza informatica

Ransomware, il decalogo per una difesa adeguata: serve un nuovo approccio

L’approccio alla protezione contro il ransomware incentrato sui dati deve essere costruito dall’interno del sistema secondo i principi della fiducia zero. Non basta dunque affidarsi a protezione perimetrale e a regolari backup.

Pubblicato il 01 Nov 2022

Roberto Patano

Senior manager systems engineering di NetApp

ransomware

Le aziende colpite da attacchi ransomware cercano di difendersi principalmente in due modi: utilizzando la protezione perimetrale della rete e mantenendo regolari backup, in modo da poter recuperare dati e utenti colpiti. Purtroppo, come dimostrano i numeri, questi meccanismi di difesa tradizionali non sono sufficienti.

Come affrontare i ransomware 2022: il rapporto Enisa

La difesa contro i ransomware: protezione perimetrale e backup

La protezione perimetrale è un meccanismo di difesa che impiega software anti-ransomware in grado di riconoscere il programma malevolo prima che entri nella rete e la infetti. Il suo scopo è quello di bloccare tutte le vie di accesso, ma esistono ancora modi per aggirare queste difese. I perimetri della rete hanno punti deboli che possono essere violati: uno dei motivi che rende la protezione perimetrale così complicata è la gamma di tecniche utilizzate per infettare i dispositivi con questo tipo di malware. Questo tipo di soluzione, inoltre, risulta essere totalmente inutile contro le minacce che possono trovarsi già all’interno del sistema, e in attesa di essere attivate, visto che si concentra sulle intrusioni esterne.

Il backup, invece, è l’ultima linea di difesa nelle situazioni in cui ci si trova colpiti da un ransomware. Quando si subisce un attacco, e questo riesce a superare la protezione, con i dati che diventano così inaccessibili, una copia di backup aggiornata può consentire il recupero e il ripristino dei sistemi. Sfortunatamente, anche chi pianifica gli attacchi ransomware sa che i backup sono il modo migliore per superare il blocco. Infatti, c’è un punto debole nell’affidarsi a backup come unica difesa anti-ransomware: i metodi di backup non hanno nessuna consapevolezza di ciò che sta accadendo all’interno del sistema. I più recenti programmi ransomware sanno che è fondamentale bloccare i dati di backup oltre a quelli primari. Il vero attacco, infatti, potrebbe non avere luogo finché i backup non sono stati neutralizzati.

Secondo le previsioni di IDC[1] la mole di dati crescerà del 23% nel quinquennio 2020-2025. Solo nel 2020, secondo il rapporto, verranno creati 64,2 ZB di nuovi dati. Anche se non tutti questi verranno conservati, la loro dimensione dimostra la grande importanza che rivestono nelle normali operazioni delle aziende di tutto il mondo.

Poiché i dati sono il dominio dei team Infrastructure & Operations, questi devono essere in grado di monitorarne il funzionamento, assicurarsi che vi si acceda correttamente, rilevare eventuali problemi e avere piena visibilità sull’intero sistema. Queste azioni fanno tutte parte di un approccio alla protezione contro il ransomware incentrato sui dati, una protezione costruita dall’interno del sistema secondo i principi della fiducia zero.

I principi per una difesa adeguata

Andiamo così a vedere i principi di questo tipo difesa, un sistema che ogni IT Manager dovrebbe prendere in considerazione per progettare una difesa anti-ransomware adeguata, su diversi livelli.

  1. Logical air gap. Come prima cosa è necessario creare un logical air gap, in modo tale da evitare che i dati vengano cancellati durante il processo di archiviazione, anche da parte di account di amministratore compromessi.
  2. Recupero rapido. Il costo maggiore di un attacco ransomware è il tempo di inattività. È fondamentale riportare rapidamente i dati online, utilizzando copie istantanee immutabili. L’obiettivo è quello di ripristinare terabyte di dati in pochi secondi, non in ore.
  3. Protezione autonoma contro i ransomware. È necessario scoprire e neutralizzare rapidamente le minacce informatiche utilizzando la tecnologia di apprendimento automatico. Questa tecnologia monitora il file system alla ricerca di anomalie, che possono indicare la presenza di malware in lento movimento. Molto importante è l’utilizzo di un blocco delle estensioni di file anti-malware, per rilevare e impedire la diffusione di malware noto.
  4. Rilevamento delle anomalie del comportamento degli utenti. Rilevare le anomalie in tempo reale, per identificare gli account di utenti compromessi o i possibili comportamenti illeciti, è un altro punto importante per creare una difesa anti-ransomware adeguata. In questo livello, sarebbe importante creare automaticamente punti di recupero dei dati e bloccare ulteriori accessi agli account per prevenire il furto di dati o l’eliminazione di massa.
  5. Zero Trust. Un approccio alla sicurezza fiducia zero con controlli come l’autenticazione multifattoriale, l’accesso basato sui ruoli, la registrazione completa e l’auditing per la protezione dagli attacchi secondari.
  6. Prevenzione da account amministratori compromessi. Per prevenire i danni causati da account amministratori colpiti da ransomware è necessario utilizzare una verifica multi-amministratore che richiede che siano necessari più di un account amministratore per autorizzare azioni di archiviazione critiche, come l’eliminazione di volumi e copie snapshot.
  7. Gestione avanzata delle copie. Bisogna avere politiche di backup e disaster recovery migliorati, in modo da creare copie snapshot immutabili in modo efficiente.
  8. Riduzione del rischio. È necessario ottenere visibilità sulla situazione di sicurezza dei dati, così da identificare quelli più sensibili e la loro posizione. Si potrà così tracciare le autorizzazioni delle cartelle e fornire opzioni per mitigare potenziali rischi come l’esfiltrazione dei dati.
  9. Monitoraggio centralizzato. È molto importante monitorare l’infrastruttura cloud ibrida dell’azienda, attraverso una semplice interfaccia utente, così da identificare le minacce e avviare la riparazione del sistema.
  10. Analisi forense. Infine, sarà necessario effettuare analisi forensi pre e post evento: si tratta di approfondimenti necessari per comprendere, gestire e chiudere i percorsi di attacco.

Cos’è un ransomware

Un ransomware è un tipo di malware che limita o inibisce l’accesso del dispositivo che infetta, richiedendo un riscatto che deve essere pagato per poter rimuovere le limitazioni

Un ransomware si diffonde generalmente mediante attacchi di phishing o clickjacking. Una volta installato, il malware impedisce agli utenti di accedere ai dati che risiedono nel computer o di usare la macchina stessa. Una volta inseritosi nella rete della vittima, il malware può diffondersi su tutti i dispositivi presenti.

Questo tipo di violazioni non vengono effettuate solo a danno di privati, ma, anzi, gli attacchi continuano a colpire sempre più frequentemente le aziende, che possono così avere forti ripercussioni sia nel lavoro quotidiano, che nella propria reputazione, oltre a subire gravi danni agli ecosistemi aziendali. Anche in Italia, i dati più recenti mostrano una crescita vertiginosa degli attacchi informatici gravi, essendo questi più che raddoppiati durante gli ultimi quattro anni. Nel nostro Paese, i ransomware colpiscono in maniera superiore rispetto alla media mondiale, e questa minaccia ha colpito soprattutto due comparti trainanti come la PA e il settore della Sanità.

Note

  1. L’International Data Corporation (IDC) ha recentemente pubblicato le previsioni annuali di DataSphere e StorageSphere, che misurano la quantità di dati creati, consumati e archiviati nel mondo ogni anno.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Video
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • l'analisi di bertelè

    Trimestrali Meta, Microsoft e Google: che ci dicono sul prossimo futuro

    26 Apr 2024

    di Umberto Bertelè

    Condividi

  • IL RACCONTO

    Falsari e documenti, una lunga storia d'amore: da Hegel all'AI, l'analisi

    22 Nov 2023

    di Lorella Lorenzoni, Alessandra Panarello e Bruna Pascali

    Condividi

Prossimo

Trimestrali Meta, Microsoft e Google: che ci dicono sul prossimo futuro

Articolo 1 di 3