I ransomware, noti al mondo scientifico da oltre 15 anni, solo dal 2012 hanno cominciato a diffondersi in modo capillare e crescere in complessità e impatto. Inizialmente erano software (malware, trojan) che bloccavano i sistemi infettati e chiedevano un riscatto per lo sblocco (mediante cifratura dei dati). L'analisi di Gerardo Costabile, CEO DeepCyber - Gruppo Maggioli.
Oggi l’attacco si è evoluto, ad opera di gruppi di criminali, attaccando direttamente i sistemi informatici, cifrando talvolta i dati tramite software, facendoli fuoriuscire e chie- dendo un riscatto. I target, oggi più di ieri, sono le aziende di ogni dimensione e la Pubblica Amministrazione. I dati sono sempre più spesso esfiltrati, con doppio o triplo riscatto.
Le tecniche di attacco, per entrare nella rete delle vittime, sono principalmente due:
a). Spear phishing (con link o con allegato);
b). Utilizzo di una vulnerabilità esposta in rete, principalmente ma non esclusivamente mediante sistemi di accesso remoto.
Consigli per ridurre il rischio di attacco cyber
- Simulazioni e Awareness: programmare periodicamente delle simulazioni di spear phishing e la successiva formazione ai dipendenti;
- Autenticazione: bonificare periodicamente gli account con utenze amministrative e con diritti speciali e iniziare l’implementazione dell’autenticazione a due o più fattori;
- Backup: fare una strategia di backup, su storage diversificato, con attive funzionalità di criptazione. Gli attacchi ransomware tendono a compromettere anche i backup, se li lasciamo nella stessa rete oggetto dell’attacco;
- Cifratura: fare una strategia sulla cifratura dei dati, sia per i documenti che per appli- cazioni e banche dati. La cifratura riduce il rischio di compromissione dei dati azien- dali e del proprio know how;
- Sicurezza Infrastrutturale: introduzione di una tecnologia EDR (Endpoint Detection and Response) sui Server e sulle Postazioni di Lavoro e, ad integrazione, anche una tecnologia NDR (Network Detection and Response);
- Limitazione della superficie d’attacco: segregare e segmentare le reti (la parte ope- rativa/produzione della parte amministrativa, dipartimenti, consulenti, ecc). Imple- mentare una blacklist delle comunicazioni in ingresso ed in uscita. Attivare un servizio di Cyber threat intelligence e digital footprint «personalizzato»;
- Vulnerability e Patching Management (sia per la parte infrastrutturale che applicati- va), sia in modalità automatizzata che manuale.
In molti casi passano mesi ed anni per risolvere le vulnerabilità identificate, consentendo così un più facile accesso ad attori esterni malevoli. Per questo è importante da un lato investire in formazione in materia di cybersecurity e dall’altro dotarsi di processi e stru- menti per la mitigazione di questi rischi.
- Gerardo Costabile, CEO DeepCyber - Gruppo Maggioli.