Sono passati più di due anni da Wannacry. Ma gli attacchi ransomware sono tornati a crescere da qualche tempo. Ma come si è arrivati a questo punto? Spesso è dovuto a un atteggiamento sbagliato delle aziende riguardo alla loro sicurezza informatica. Un commento di Frank Ruge, Infoblox.
A fine giugno 2019, la catena di gioielli Wempe di Amburgo è stata vittima di una rapina. Ma l'attacco non ha avuto luogo come lo conosciamo dai film western, per esempio - non c'era un forte nitrito di cavallo, pesanti stivali da cowboy e il ticchettio delle pistole. Tutto si è svolto in background, più precisamente nello spazio digitale.
I criminali informatici hanno attaccato il sistema interno della catena di gioielli e lo hanno bloccato con un software speciale. La loro richiesta: solo se una grande somma di bitcoin fosse stata pagata, l'azienda avrebbe riottenuto l'accesso. Un classico attacco ransomware. Ma l'attacco in sé non è la cosa più spaventosa. Piuttosto, è il modo in cui è stato gestito: La richiesta è stata soddisfatta e pagata. E questo è tutt'altro che un caso isolato.
Ad esempio, nel giugno 2019, le autorità di Riviera Beach, una città nello stato americano della Florida, hanno pagato una richiesta di ransomware di 600.000 dollari. All'inizio dell'anno scorso, un ospedale nello stato americano dell'Indiana ha pagato 60.000 dollari. Gli attacchi hanno anche costretto l'Ufficio federale tedesco per la sicurezza delle informazioni (BSI) a rilasciare una dichiarazione. Mette in guardia contro gli attacchi ransomware mirati alle aziende.
Il doppio non tiene meglio
Ma come si può arrivare a questo punto? Spesso è dovuto a un atteggiamento sbagliato delle aziende verso la loro cybersicurezza.
Molti si rifugiano nell'acquisto di panico e investono in innumerevoli soluzioni di sicurezza - per paura di perdere il controllo sulla loro rete o sui loro dati. Ma il collaudato motto "doppio è meglio" non si applica alla sicurezza informatica. In effetti, questo metodo crea un patchwork. Anche se le misure di sicurezza possono essere di vasta portata e coprire molto, gli strumenti spesso si ostacolano a vicenda: l'accesso viene bloccato, le autorizzazioni vengono tolte o lavorano uno contro l'altro. Il risultato? Le aziende si danneggiano da sole e rendono più facile ai criminali l'accesso alla loro rete.
La rete trasparente
A cosa dovrebbero prestare attenzione le aziende? Prima di tutto, la rete dell'azienda deve essere conosciuta dai responsabili dell'IT. Ogni dispositivo, ogni utente e ogni attività devono essere registrati nel registro delle attività. Alcuni processi dovrebbero essere automatizzati - per alleggerire i dipartimenti IT già sovraccarichi di lavoro. Per esempio, gli scanner di vulnerabilità indipendenti possono essere utilizzati per monitorare la propria rete. Inoltre, le aziende hanno bisogno di un migliore scaling per rilevare malware, ransomware, phishing, botnet, ecc. Ci sono milioni di indicatori per questo. Tuttavia, i firewall e i sistemi IPS sono ottimizzati per le prestazioni e possono filtrare solo circa 100.000-200.000 voci. La domanda è: su quali indicatori dovrebbe filtrare l'addetto alla sicurezza? La probabilità di colpire le voci giuste è in regioni simili a quella di puntare sul numero giusto nella roulette. Pertanto, i meccanismi di controllo dovrebbero essere impostati a livello di controllo invece che a livello di dati, come nel protocollo DNS. Questo rende possibile intercettare milioni di indicatori e, in particolare, gli attacchi 0-day, ad esempio tramite phishing, possono essere rilevati e bloccati.
È anche importante avere collegamenti tra le singole aree di lavoro e soluzioni diverse. I software firewall e antivirus, per esempio, possono alimentare le loro informazioni in un sistema SIEM. Il responsabile IT può quindi lavorare con questo e vedere rapidamente se si tratta di un incidente urgente.
Un'altra misura sono i servizi gestiti, che sono particolarmente interessanti per le piccole e medie imprese. In questo caso, l'intera azienda IT (o parti di essa) viene esternalizzata a parti responsabili esterne e la responsabilità viene trasferita a loro.
Conclusione
Gli attacchi Ransomware stanno diventando di nuovo popolari. Per garantire che le aziende non subiscano danni, non devono in nessun caso accettare richieste di riscatto da parte di criminali informatici. Le parti interessate dovrebbero sempre seguire le linee guida della BSI:
- Proteggetevi dalle infezioni primarie, per esempio sensibilizzando i vostri dipendenti alle potenziali fonti di pericolo.
- Controllate i vostri collegamenti con i vostri clienti e informateli degli incidenti.
- Create backup a intervalli regolari che possano essere utilizzati per ripristinare i sistemi. Memorizzarli offline su una rete separata.
- Non rispondere a nessuna richiesta da parte dei perpetratori e segnalare gli incidenti al centro di segnalazione dell'Alliance for Cyber Security.
A proposito dell'autore: Frank Ruge è il nuovo vicepresidente EMEA di Infoblox da agosto 2019. Ruge ha alle spalle oltre 20 anni di esperienza nell'IT e nel marketing - dal 2015 era Senior Director Central Europe presso Infoblox. In precedenza, ha lavorato in vari ruoli, tra cui 16 anni presso Cisco Systems e diverse start-up.
>