La corsa all'oro del ransomware
Gli alti guadagni hanno portato a un impressionante aumento degli attacchi ransomware. Serve una strategia di difesa mirata.
Secondo il gruppo di sicurezza informatica Emsisoft, nel 2020 il ransomware ha causato centinaia di miliardi di dollari di danni economici a livello globale. Le sfide dettate dal COVID-19 e dal lavoro remoto su ampia scala sono state esacerbate da un aumento degli attacchi e dalla crescita della richiesta media di riscatto che oggi ha raggiunto un incremento di oltre l'80%, con una stima di 18 miliardi di dollari pagati in riscatti e con un pagamento medio di 150.000 dollari.
Alla luce del fatto che a lungo termine molte aziende sono ancora alle prese con problemi di questo tipo, il ransomware è da considerarsi una moderna corsa all'oro per i criminali informatici.
Le imprese devono necessariamente confrontarsi con il fatto che gli attacchi ransomware stiano aumentando a dismisura ed essere presi di mira può essere inevitabile. Per questo motivo, è necessario che i team dispongano di una strategia di data protection affidabile e solida, in modo che, qualora dovesse accadere il peggio, possano riprendersi da un attacco. In questi frangenti essere in grado di ripristinare tutto grazie ai backup è una parte fondamentale della recovery strategy, ma al contempo anche i cyber criminali si stanno adattando.
I cyber criminali sono consapevoli del fatto che i backup rappresentano l’ultima linea di difesa e che non verrà pagato alcun riscatto qualora si riesca a recuperare i dati. In media un hacker trascorre più di 200 giorni all’interno di una rete prima di criptare qualcosa, e pianifica attentamente la strategia, cercando di ottenere l'accesso a quanti più sistemi possibili, compresi i backup, prima di fare la propria mossa.
L'attacco iniziale serve per accedere alla rete senza essere scoperti. Una volta dentro, i criminali informatici trascorrono una buona quantità di tempo cercando di accedere a credenziali sensibili. Questa è la chiave dell’attacco, esistono anche strumenti progettati appositamente per violare i servizi di directory ed ottenere le credenziali. A quel punto possono fare praticamente tutto.
Umberto Galtarossa, Partner Technical Manager di Pure StorageUmberto Galtarossa, Partner Technical Manager di Pure Storage, indica una strategia su tre fronti per non farsi trovare impreparati, ridurre al minimo l'impatto e riprendersi velocemente da un attacco.
Il primo punto è puntare alle best practice di base, come l'aggiornamento del software e dei sistemi operativi con le ultime patch. Altro importante pilastro è la formazione del personale affinché sia cauto nell’apertura di link o allegati contenuti nelle email, specialmente per quelle non richieste. Terzo anello della catena difensiva è il backup dei dati su base regolare, e la conservazione degli stessi su dispositivi separati dai dati di produzione (air gap).
Il secondo punto riguarda le azioni da intraprendere durante un attacco. La giusta consapevolezza di ciò che si può ritenere "normale" nel funzionamento dell'infrastruttura è essenziale. In caso contrario, potrebbero volerci settimane per notare qualcosa di "anomalo" e per segnalare che i dati o i sistemi potrebbero essere stati compromessi.
Terzo punto di attenzione è relativo alla possibilità di consentire un fast recovery a seguito di un attacco. Le organizzazioni necessitano di copie di backup sicure e non modificabili con dati protetti e che non possono essere cancellati, modificati o criptati. Questo, insieme alla capacità di ripristinare rapidamente i dati, è fondamentale. I responsabili IT dovrebbero considerare i Service Level Agreement (SLA) per il data restore e il backup quando scelgono i loro fornitori.
Sopra si è accennato ad air gap e rapid restore, argomenti che vale la pena approfondire. Il primo è un sistema di sicurezza in grado di tenere separate le reti di produzione da quelle di backup, con l’obiettivo di isolare i dati critici dalle reti locali e dalle aree di produzione che sono più vulnerabili agli attacchi.
Questa tecnologia tuttavia comporta anche svantaggi. Non sono immuni al 100% dagli attacchi, possono essere costosi da implementare, nonché di difficile gestione e manutenzione. Inoltre, non sono super scalabili e possono essere più lenti nel recovery di grandi volumi di dati e non risolvono le minacce interne o le credenziali compromesse degli amministratori di storage o backup.
Per questi motivi molte aziende stanno optando per soluzioni di rapid restore, che consentano di tornare tempestivamente all’operatività, indipendentemente dalla piattaforma o dalla tecnologia sottostante.
Alla luce del fatto che a lungo termine molte aziende sono ancora alle prese con problemi di questo tipo, il ransomware è da considerarsi una moderna corsa all'oro per i criminali informatici.
Le imprese devono necessariamente confrontarsi con il fatto che gli attacchi ransomware stiano aumentando a dismisura ed essere presi di mira può essere inevitabile. Per questo motivo, è necessario che i team dispongano di una strategia di data protection affidabile e solida, in modo che, qualora dovesse accadere il peggio, possano riprendersi da un attacco. In questi frangenti essere in grado di ripristinare tutto grazie ai backup è una parte fondamentale della recovery strategy, ma al contempo anche i cyber criminali si stanno adattando.
I criminali informatici prendono di mira i backup
I cyber criminali sono consapevoli del fatto che i backup rappresentano l’ultima linea di difesa e che non verrà pagato alcun riscatto qualora si riesca a recuperare i dati. In media un hacker trascorre più di 200 giorni all’interno di una rete prima di criptare qualcosa, e pianifica attentamente la strategia, cercando di ottenere l'accesso a quanti più sistemi possibili, compresi i backup, prima di fare la propria mossa.
L'attacco iniziale serve per accedere alla rete senza essere scoperti. Una volta dentro, i criminali informatici trascorrono una buona quantità di tempo cercando di accedere a credenziali sensibili. Questa è la chiave dell’attacco, esistono anche strumenti progettati appositamente per violare i servizi di directory ed ottenere le credenziali. A quel punto possono fare praticamente tutto.
Tre soluzioni per proteggersi
Umberto Galtarossa, Partner Technical Manager di Pure StorageUmberto Galtarossa, Partner Technical Manager di Pure Storage, indica una strategia su tre fronti per non farsi trovare impreparati, ridurre al minimo l'impatto e riprendersi velocemente da un attacco.Il primo punto è puntare alle best practice di base, come l'aggiornamento del software e dei sistemi operativi con le ultime patch. Altro importante pilastro è la formazione del personale affinché sia cauto nell’apertura di link o allegati contenuti nelle email, specialmente per quelle non richieste. Terzo anello della catena difensiva è il backup dei dati su base regolare, e la conservazione degli stessi su dispositivi separati dai dati di produzione (air gap).
Il secondo punto riguarda le azioni da intraprendere durante un attacco. La giusta consapevolezza di ciò che si può ritenere "normale" nel funzionamento dell'infrastruttura è essenziale. In caso contrario, potrebbero volerci settimane per notare qualcosa di "anomalo" e per segnalare che i dati o i sistemi potrebbero essere stati compromessi.
Terzo punto di attenzione è relativo alla possibilità di consentire un fast recovery a seguito di un attacco. Le organizzazioni necessitano di copie di backup sicure e non modificabili con dati protetti e che non possono essere cancellati, modificati o criptati. Questo, insieme alla capacità di ripristinare rapidamente i dati, è fondamentale. I responsabili IT dovrebbero considerare i Service Level Agreement (SLA) per il data restore e il backup quando scelgono i loro fornitori.
Air gap e Rapid Restore
Sopra si è accennato ad air gap e rapid restore, argomenti che vale la pena approfondire. Il primo è un sistema di sicurezza in grado di tenere separate le reti di produzione da quelle di backup, con l’obiettivo di isolare i dati critici dalle reti locali e dalle aree di produzione che sono più vulnerabili agli attacchi.
Questa tecnologia tuttavia comporta anche svantaggi. Non sono immuni al 100% dagli attacchi, possono essere costosi da implementare, nonché di difficile gestione e manutenzione. Inoltre, non sono super scalabili e possono essere più lenti nel recovery di grandi volumi di dati e non risolvono le minacce interne o le credenziali compromesse degli amministratori di storage o backup.
Per questi motivi molte aziende stanno optando per soluzioni di rapid restore, che consentano di tornare tempestivamente all’operatività, indipendentemente dalla piattaforma o dalla tecnologia sottostante.
Rimani sempre aggiornato, seguici su Google News!
Seguici
Notizie correlate
Speciali Tutti gli speciali
Calendario Tutto
Mag 07
Huawei Italy Enterprise Roadshow 2024 - Roma
Mag 08
Road to NIS2 - Padova
Mag 09
IDC Future of Digital Infrastructure Forum 2024
Mag 09
Huawei Italy Enterprise Roadshow 2024 - Caserta
Mag 14
Roadshow SMB “Exclusive On the Road” 2024 - Treviso
Mag 14
Huawei Italy Enterprise Roadshow 2024 - Aci Castello
Mag 16
Road to NIS2 - Roma
Mag 22
Roadshow SMB “Exclusive On the Road” 2024 - Bologna
Mag 23
AWS Summit 2024 - Milano
G11 Media Networks
SecurityOpenLab e' un canale di BitCity, testata giornalistica registrata presso il tribunale di Como ,
n. 21/2007 del
11/10/2007- Iscrizione ROC n. 15698
G11 MEDIA S.R.L.
Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.
