News e approfondimenti

AreaguiNews ATTACCO RANSOMWARE: NON SI SA SE, MA QUANDO!

ATTACCO RANSOMWARE: NON SI SA SE, MA QUANDO!

Questa è la frase usata dalle maggiori aziende di sicurezza per contenere i sempre più diffusi attacchi da ransomware.

Il cyber crimine non è un’impresa artigiana ma è diventata la “Cybercrime S.p.A.” con un PIL maggiore di paesi come l’Italia. È sbagliato pensare che gli attacchi siano isolati e fatti da giovani intraprendenti in cerca di gloria.  Queste aziende del crimine rubano informazioni sensibili, dati e progetti rivendendoli nel dark web ad altri, pronti ad acquistarli per scopi di malaffare.

L’attaccante (o il vecchio caro hacker) può annidarsi per mesi all’interno del pc dell’utente, lavorando sottobanco per ottenere più diritti possibili nei sistemi dell’azienda.

Una volta esportata la copia dei dati, eliminati i backup e criptati gli stessi dati, chiedono il famoso riscatto. Il riscatto va pagato?

Le statistiche dimostrano che gli attaccanti diventano “vostri fornitori”. Solo il 4% recupera tutti i dati, mentre il 60% si deve accontentare di recuperarne una parte. Nonostante l’87% delle aziende investano in sicurezza, in caso di attacco, decidono ugualmente di pagare un riscatto.

Nella maggior parte dei casi i dati criptati non sono totalmente in mano agli hacker, anzi, a loro volta li acquistano nel dark web come detto prima o, quantomeno, si riservano una parte di dati come “garanzia”.

Quindi non si parla solo del danno economico in termini di tempo finché non si recuperano i propri dati, ma anche del danno causato dalla perdita di parte dei dati stessi.

Anche se si possono investire molti soldi per la prevenzione dagli attacchi esterni, la miglior soluzione è investire per limitare le incidenze. I modi sono due: con policy aziendali di prevenzione e con azioni di post compromise security. Quale è la tua difesa?

POLICY AZIENDALI DI PREVENZIONE, quali sono?

È indispensabile quantomeno adottare la policy di MFA (autenticazione a più fattori) che tutti conosciamo quando ci logghiamo alla banca online. Questa metodologia dovrebbe essere sempre attiva quando accediamo alla webmail, alla connessione VPN oppure ad ogni altro servizio attivo ed accessibile dall’esterno.

Vanno poi monitorati e gestiti tutti gli accessi verso la nostra azienda da parte di terzi come, ad esempio, fornitori che chiedono di collegarsi per installare o gestire software. Non sappiamo se chi si collega è in sicurezza o se, a sua volta, utilizza dispositivi compromessi.

Non meno importante è la formazione al personale. Quante volte un dipendente “dimentica” che il mittente potrebbe non essere sicuro? Quante volte procede con la navigazione su un sito potenzialmente a rischio?

“LA SICUREZZA È UN GIOCO DI SQUADRA”: una struttura informatica sicura e degli investimenti importanti non sono abbastanza se l’operatore non è ben formato e attento! Se il cyber crimine investe sul fattore umano, tanto più dovrebbe farlo l’azienda!

Siamo consapevoli che essere preparati ad un eventuale attacco non elimina il problema, ma di sicuro limita i danni. Di conseguenza, l’azione di post compromise security menzionata prima diventa una procedura essenziale.

POST COMPROMISE SECURITY, Come procedere?

Essenzialmente con backup sicuri. Ma cosa vuol dire sicuro?

Esser certi che la copia venga fatta giornalmente non basta, è necessario essere sicuri che non possa essere modificata dall’attaccante. Abbiamo capito che l’hacker può rimanere nei sistemi dell’attaccato diverso tempo per recuperare informazioni. Tra i dati che vuole carpire ci sono sicuramente le modalità aziendali di backup al fine di eliminarne tutte le copie.

Un piano di sicurezza valido prevede obbligatoriamente che i nostri backup siamo “offline” o non editabili da parte dell’attaccante. La regola del backup 3 2 1 è sempre la più sicura: almeno 3 copie totali, su 2 supporti differenti, con almeno 1 copia fuori sede.

In caso di attacco ransomware andato a buon fine, questo strumento consente di ripristinare rapidamente i file archiviati esternamente e riprendere da dove interrotto. Vale la pena ricordare che se un backup locale viene eliminato o danneggiato, i salvataggi sul cloud sono protetti dagli utenti malintenzionati.

Quali procedure hai adottato per la tua azienda?

Ti piacerebbe una consulenza personalizzata per scoprire dove la tua azienda potrebbe migliorare?

Contattaci qui: info@areagui.com

AREA GUI fornisce i propri strumenti e le competenze necessarie per prevenire da qualunque attacco ransomware. Non aspettare che l'attacco avvenga! Previeni e preparati con un buon piano di difesa!