Ransomware e compromissione delle email aziendali (Business Email Compromise) sono tra le principali tipologie di incident a cui i team IR (incident response) hanno risposto negli ultimi 15 mesi (per circa il 70% dei casi). Lo dicono i numeri di 2022 Unit 42 Incident Response Report curato dal team di threat intelligence di Palo Alto Networks, Unit 42, appunto; di fatto il trend in crescita relativo agli attacchi alla cybersecurity, accomuna le analisi di settore. Vale, per esempio, nei riscontri dell’ultimo rapporto Clusit che svela come solo nei primi sei mesi dello scorso anno si siano registrati 1.141 attacchi cyber gravi (+8,4% rispetto al primo semestre 2021), lo evidenziano e confermano anche gli aggiornamenti dell’edizione dello scorso autunno, attraverso numeri che sottolineano come questi attacchi abbiano un impatto sistemico su società, politica, economia e geopolitica.
L’attenzione al problema chiama in causa tutti in azienda. La cybersecurity che, come svela anche il Barometro Cybersecurity di NetConsulting cube, è oggi tra le priorità dei board, può crescere solo in relazione alla sensibilità diffusa.
Con questo obiettivo, Umberto Pirovano, senior manager Systems Engineering di Palo Alto Networks, propone una sorta di decalogo attorno ai principi del quale sviluppare una strategia efficace di azione.
Lo scenario ransomware è in continua evoluzione. Muta in relazione all’affinarsi delle tecniche e degli strumenti utilizzati dal cybercrime, ma anche in relazione alle strategie di difesa attuate, tanto che oggi gli hacker puntano anche semplicemente su esfiltrazione e furto dei dati (senza crittografarli) per tenere in scacco le aziende. Ecco quindi che tenere informati team di sicurezza e stakeholder sullo stato delle minacce, il loro possibile impatto sull’azienda e le azioni da intraprendere, può aiutare a prevenire gli attacchi. Rimanere aggiornati è quindi il primo suggerimento per una buona difesa (1).
Abbiamo fatto riferimento all’attenzione di chi attacca per “il dato” non a caso. Disporre di una visibilità completa su risorse e dati critici è il primo passo per comprendere quali dinamiche potrebbe seguire l’attacco. Così come serve avere piena coscienza su come si accede e come vengono utilizzati i dati all’interno dell’organizzazione. La mappatura di questi aspetti permetterà di fare in modo che l’accesso alle informazioni sensibili sia basato proprio sulla necessità e sulla valutazione dei rischi se si fosse nella condizione di non potervi più accedere (2).
Strettamente correlato con il tema della visibilità sui dati, quello relativo alla consapevolezza sulla propria postura di sicurezza (3). La cui mancanza determina una maggiore esposizione al ransomware.
E’ necessario comprendere quali sono i rischi più significativi da affrontare in base alla combinazione di persone, processi, tecnologia e capacità di governance, che caratterizzano l’azienda, senza dimenticare di identificare eventuali rischi collegabili ai rapporti “esposti” con terze parti. Bisogna quindi disegnare una roadmap di mitigazione che permetta di raggiungere obiettivi di sicurezza che siano allineati con quelli strategici di business.
Una volta presa coscienza sul “punto” di partenza, su dove ci si trova, servirà rivedere i piani di risposta in caso di attacchi (4). Significa testare – proprio sul campo, attraverso esercitazioni e simulazioni – e aggiornare il proprio piano di incident response.
Questo approccio pratico serve a misurare l’effettiva capacità di risposta, valutare le difese, trovare le falle potenziali e analizzare la capacità di contrastare tattiche, tecniche e procedure utilizzate dai gruppi ransomware più comuni. E’ il banco di prova reale che avvicina l’azienda alla consapevolezza su quello che davvero potrebbe accadere, oltre il semplice approccio “teorico”. Per questo, ha senso coinvolgere tutti i principali stakeholder chiamati a cooperare per essere sicuri poi di potersi concentrare su ciò che conta di più in caso di attacco, ovvero il mantenimento delle operazioni critiche e il ripristino della normalità.
Si è parlato di visibilità, su dati e accessi. E’ un valore da leggersi in relazione all’adozione di un approccio zero trust, oggi ritenuto mandatorio da tutti, perché in grado di semplificare e unificare la gestione del rischio, rendendo la sicurezza un unico caso d’uso per utenti, dispositivi, fonti di connessione o metodi di accesso (5).
Le aziende sono consapevoli della certezza, prima o poi, di entrare nel mirino di un attacco, il successivo passaggio richiede quindi di adottare un sistema di registrazione per tracciare asset, sistemi e servizi esposti sulla rete, compreso il monitoraggio dei principali cloud service provider (e delle risorse utilizzate in modo dinamico As a Service dagli Isp), utilizzando un’indicizzazione completa e comprendendo porte e protocolli comuni e spesso mal configurati (6).
Così come abbiamo visto che la prima forma di difesa sia la conoscenza, chiaro che il primo obiettivo sarà trasformare l’ignoto in noto e fornire protezione ad una velocità superiore rispetto a quella di chi attacca. La prevenzione delle minacce note inizia impedendo l’accesso alla rete a exploit, malware e traffico command & control. Questo rende più costosa l’esecuzione di un attacco ransomware e scoraggia l’attaccante. Secondo passo sarà concentrarsi sull’identificazione delle minacce sconosciute, preferite per la garanzia di maggior successo negli attacchi ad un costo inferiore (7).
Siamo agli ultimi tre consigli, decisamente proposti sulla base di un approccio volto ad essere proattivi e in modo stretto collegati tra loro: automatizzare (8), proteggere i workload in cloud (9) e ridurre i tempi di risposta (10) li riassumono nel modo migliore.
Concretamente bisogna implementare soluzioni per la bonifica automatizzata del ransomware utilizzando playbook preconfezionati per la risposta e il ripristino. Le soluzioni di orchestrazione, automazione e risposta della sicurezza (Soar) riducono le perdite di dati e limitano l’impatto finanziario, perché automatizzano queste operazioni mentre, quando si subisce un attacco ransomware, si sprecano spesso risorse manuali nel combinare
fonti di informazioni provenienti da strumenti diversi.
Il penultimo dei consigli vuole richiamare responsabili e dipendenti ad uno sguardo a 360 gradi per quanto riguarda l’utilizzo delle risorse da proteggere. Per tutte le infrastrutture cloud, le macchine virtuali come i container, e quindi Kubernetes, bisogna prevedere le misure necessarie a ridurre al minimo le vulnerabilità, compresa qualsiasi funzione di sicurezza disattivata by default. L’update di pacchetti e librerie open source è mandatorio, per evitare che le vulnerabilità che possono essere sfruttate, così come identificare e rimuovere diritti Iam permissivi o inutilizzati. Resta solo agire rapidamente: grazie ad un supporto IR continuo, pensato come vera e propria estensione del team interno, così da assicurarsi interventi tempestivi.
Il decalogo anti-ransomware, in pillole
1. Rimanere aggiornati sull’evoluzione delle minacce
2. Analizzare i danni causati dalla perdita di dati critici
3. Valutare la preparazione interna ed esterna
4. Rivedere il piano di risposta agli incidenti
5. Implementare zero trust
6. Identificare le risorse esposte e bloccare gli attacchi ransomware più comuni
7. Prevenire minacce note e sconosciute
8. Automatizzare ovunque sia possibile
9. Proteggere i workload cloud
10. Ridurre i tempi di risposta con il supporto di esperti esterni
© RIPRODUZIONE RISERVATA
