Ransomware, il decalogo per una difesa adeguata: serve un nuovo approccio

Le aziende colpite da attacchi ransomware cercano di difendersi principalmente in due modi: utilizzando la protezione perimetrale della rete e mantenendo regolari backup, in modo da poter recuperare dati e utenti colpiti. Purtroppo, come dimostrano i numeri, questi meccanismi di difesa tradizionali non sono sufficienti.

Come affrontare i ransomware 2022: il rapporto Enisa

La difesa contro i ransomware: protezione perimetrale e backup

La protezione perimetrale è un meccanismo di difesa che impiega software anti-ransomware in grado di riconoscere il programma malevolo prima che entri nella rete e la infetti. Il suo scopo è quello di bloccare tutte le vie di accesso, ma esistono ancora modi per aggirare queste difese. I perimetri della rete hanno punti deboli che possono essere violati: uno dei motivi che rende la protezione perimetrale così complicata è la gamma di tecniche utilizzate per infettare i dispositivi con questo tipo di malware. Questo tipo di soluzione, inoltre, risulta essere totalmente inutile contro le minacce che possono trovarsi già all’interno del sistema, e in attesa di essere attivate, visto che si concentra sulle intrusioni esterne.

Il backup, invece, è l’ultima linea di difesa nelle situazioni in cui ci si trova colpiti da un ransomware. Quando si subisce un attacco, e questo riesce a superare la protezione, con i dati che diventano così inaccessibili, una copia di backup aggiornata può consentire il recupero e il ripristino dei sistemi. Sfortunatamente, anche chi pianifica gli attacchi ransomware sa che i backup sono il modo migliore per superare il blocco. Infatti, c’è un punto debole nell’affidarsi a backup come unica difesa anti-ransomware: i metodi di backup non hanno nessuna consapevolezza di ciò che sta accadendo all’interno del sistema. I più recenti programmi ransomware sanno che è fondamentale bloccare i dati di backup oltre a quelli primari. Il vero attacco, infatti, potrebbe non avere luogo finché i backup non sono stati neutralizzati.

Secondo le previsioni di IDC^[1] la mole di dati crescerà del 23% nel quinquennio 2020-2025. Solo nel 2020, secondo il rapporto, verranno creati 64,2 ZB di nuovi dati. Anche se non tutti questi verranno conservati, la loro dimensione dimostra la grande importanza che rivestono nelle normali operazioni delle aziende di tutto il mondo.

Poiché i dati sono il dominio dei team Infrastructure & Operations, questi devono essere in grado di monitorarne il funzionamento, assicurarsi che vi si acceda correttamente, rilevare eventuali problemi e avere piena visibilità sull’intero sistema. Queste azioni fanno tutte parte di un approccio alla protezione contro il ransomware incentrato sui dati, una protezione costruita dall’interno del sistema secondo i principi della fiducia zero.

I principi per una difesa adeguata

Andiamo così a vedere i principi di questo tipo difesa, un sistema che ogni IT Manager dovrebbe prendere in considerazione per progettare una difesa anti-ransomware adeguata, su diversi livelli.

1. Logical air gap. Come prima cosa è necessario creare un logical air gap, in modo tale da evitare che i dati vengano cancellati durante il processo di archiviazione, anche da parte di account di amministratore compromessi.
2. Recupero rapido. Il costo maggiore di un attacco ransomware è il tempo di inattività. È fondamentale riportare rapidamente i dati online, utilizzando copie istantanee immutabili. L’obiettivo è quello di ripristinare terabyte di dati in pochi secondi, non in ore.
3. Protezione autonoma contro i ransomware. È necessario scoprire e neutralizzare rapidamente le minacce informatiche utilizzando la tecnologia di apprendimento automatico. Questa tecnologia monitora il file system alla ricerca di anomalie, che possono indicare la presenza di malware in lento movimento. Molto importante è l’utilizzo di un blocco delle estensioni di file anti-malware, per rilevare e impedire la diffusione di malware noto.
4. Rilevamento delle anomalie del comportamento degli utenti. Rilevare le anomalie in tempo reale, per identificare gli account di utenti compromessi o i possibili comportamenti illeciti, è un altro punto importante per creare una difesa anti-ransomware adeguata. In questo livello, sarebbe importante creare automaticamente punti di recupero dei dati e bloccare ulteriori accessi agli account per prevenire il furto di dati o l’eliminazione di massa.
5. Zero Trust. Un approccio alla sicurezza fiducia zero con controlli come l’autenticazione multifattoriale, l’accesso basato sui ruoli, la registrazione completa e l’auditing per la protezione dagli attacchi secondari.
6. Prevenzione da account amministratori compromessi. Per prevenire i danni causati da account amministratori colpiti da ransomware è necessario utilizzare una verifica multi-amministratore che richiede che siano necessari più di un account amministratore per autorizzare azioni di archiviazione critiche, come l’eliminazione di volumi e copie snapshot.
7. Gestione avanzata delle copie. Bisogna avere politiche di backup e disaster recovery migliorati, in modo da creare copie snapshot immutabili in modo efficiente.
8. Riduzione del rischio. È necessario ottenere visibilità sulla situazione di sicurezza dei dati, così da identificare quelli più sensibili e la loro posizione. Si potrà così tracciare le autorizzazioni delle cartelle e fornire opzioni per mitigare potenziali rischi come l’esfiltrazione dei dati.
9. Monitoraggio centralizzato. È molto importante monitorare l’infrastruttura cloud ibrida dell’azienda, attraverso una semplice interfaccia utente, così da identificare le minacce e avviare la riparazione del sistema.
10. Analisi forense. Infine, sarà necessario effettuare analisi forensi pre e post evento: si tratta di approfondimenti necessari per comprendere, gestire e chiudere i percorsi di attacco.

Note

1. L’International Data Corporation (IDC) ha recentemente pubblicato le previsioni annuali di DataSphere e StorageSphere, che misurano la quantità di dati creati, consumati e archiviati nel mondo ogni anno. ↑