Il ransomware è un problema che continua ad affliggere le organizzazioni.
Da un sondaggio a cui hanno partecipato diverse aziende in 30 paesi, è emerso che più di un terzo ha subito un attacco ransomware nei ultimi 12 mesi.
Questi attacchi sono caratterizzati da un livello crescente di complessità e vengono sferrati da hacker che si dimostrano ogni volta sempre più abili ad approfittare delle vulnerabilità della rete e dei sistemi. Le conseguenze per le organizzazioni sono costi salatissimi per rimediare ai danni, con una media da capogiro che ammonta a più del doppio di quella registrata l’anno scorso!
I firewall moderni sono una risorsa efficace per la protezione contro questo tipo di attacchi.
I bersagli degli hacker
Chi sono i bersagli degli hacker? La risposta breve è: tutti. In un recente sondaggio condotto tra 5.400 responsabili IT in organizzazioni di medie dimensioni situate in 30 paesi diversi, il 37% degli intervistati ha rivelato di essere stato colpito dal ransomware l’anno scorso.
Cercando il termine “attacco ransomware” tra le notizie, si scopre che ogni settimana se ne verificano tantissimi, gran parte dei quali riesce.
Gli effetti sono smantellanti: richieste di riscatto (ransom), lunghi periodi di inattività e un enorme impatto sul business, oltre a danni alla reputazione, perdita dei dati e non poteva mancare la vendita all’asta dei dati sensibili delle vittime.
Come agiscono gli attacchi ransomware per infiltrarsi nella rete
Gli hacker utilizzano una estesa varietà di Tattiche, Tecniche e Procedure (TTP) diverse per penetrare la rete delle proprie vittime. I SophosLabs ed il team Sophos di Managed Threat Response hanno notato un incremento nel numero di attacchi in cui i cybercriminali operano al fine di scovare un modo per penetrare nella rete della propria vittima.
Come emerge, il principale punto di ingresso del ransomware sono i file scaricati o inviati agli utenti come parte di un attacco di spam o di phishing.
E’ dunque fondamentale non lasciare la sicurezza nelle mani degli utenti: per prevenire questo genere di attacco è consigliabile proteggere l’organizzazione con sistemi di protezione firewall potenti ed efficaci… e noi possiamo aiutarvi in questo!
Come agisce un attacco ransomware
Come mantenere la giusta protezione contro il ransomware
Per proteggere adeguatamente la propria organizzazione contro il ransomware, occorre intraprendere tre azioni principali.
- Eseguire l’upgrade del sistema di IT security
La protezione firewall ed endpoint può prevenire le intrusioni nella rete, in quanto blocca l’attacco durante le fasi iniziali; inoltre, qualora un attacco dovesse in qualche modo riuscire a superare questa barriera, impedisce che si diffonda e infetti altri sistemi. Ma non tutte le soluzioni firewall e di protezione endpoint hanno questa capacità, per cui occorre scegliere un sistema di IT security che sia efficace. Assicurarsi di avere a disposizione:
- Funzionalità accessibili di sandboxing, per analizzare il comportamento del file in fase di esecuzione prima che raggiunga la rete,
- Le più recenti tecnologie di Machine Learning, per identificare eventuali varianti del giorno zero del malware nei file che superano la barriera del firewall,
- IPS nel firewall con aggiornamenti delle firme in tempo reale, per bloccare gli exploit della rete,
- Una VPN di accesso remoto semplice e gratuita, per poter gestire la rete da remoto senza scendere a compromessi in termini di sicurezza,
- Protezione endpoint con funzionalità anti-ransomware.
- Isolare l’accesso e la gestione da remoto
Nel contesto della protezione della rete, ogni parte in contatto con il mondo esterno rappresenta una possibile vulnerabilità, che non aspetta altro se non di essere sfruttata da un attacco ransomware. Isolare l’accesso dell’azienda al Remote Desktop Protocol, evitare di lasciare porte aperte e limitare l’uso di altri protocolli di gestione sono alcune delle precauzioni più efficaci per proteggere i sistemi contro gli attacchi mirati.
Uno dei metodi più comuni per farlo è richiedere l’uso di una VPN prima che gli utenti possano accedere a risorse quali l’RDP e fare in modo che l’accesso alla VPN sia limitato ad un elenco di indirizzi IP conosciuti. Occorre in seguito anche proteggere e rafforzare la sicurezza dei server, utilizzare password complesse da cambiare frequentemente e implementare l’autenticazione a più fattori.
Come procedere in sicurezza
Le migliori procedure per la configurazione del firewall e della rete possono essere così sintetizzate:
- Assicurarsi di utilizzare la migliore protezione possibile, che deve includere un firewall Next-Gen ad alte performance, dotato di IPS, ispezione TLS, Sandboxing per le minacce zero-day e protezione anti-ransomware con tecnologie di Machine Learning.
- Isolare RDP e altri servizi con il firewall. Il firewall deve essere in grado di limitare l’accesso esclusivamente agli utenti che adoperano una VPN e agli indirizzi IP approvati e consentiti.
- Limitare il più possibile le dimensioni della superficie di attacco, controllando e modificando tutte le regole di port forwarding per eliminare eventuali porte aperte superflue. Ciascuna porta aperta rappresenta un potenziale punto di ingresso alla vostra rete. Ove possibile, invece del port forwarding, utilizzare la VPN per accedere alle risorse interne dall’esterno della rete.
- Verificare che tutte le porte aperte siano adeguatamente protette, applicando la giusta protezione IPS alle regole impostate per il traffico in questione.
- Attivare un’ispezione TLS che supporti i più recenti standard TLS 1.3 per il traffico web, al fine di impedire alle minacce di infiltrarsi nella rete utilizzando flussi di traffico cifrati.
- Ridurre il rischio di movimento laterale all’interno della rete, segmentando le LAN per suddividerle in aree più piccole e isolate, oppure in VLAN protette e connesse tramite firewall. Accertarsi di applicare adeguati criteri IPS alle regole impostate per il traffico che passa per questi segmenti della LAN, al fine di prevenire la diffusione di exploit, worm e bot tra i vari segmenti della LAN.
- Isolamento automatico dei sistemi infetti. Quando si viene colpiti da un’infezione, è importante che la propria soluzione di IT security sia in grado di identificare rapidamente i sistemi compromessi, isolandoli immediatamente fino a quando non sia possibile effettuarne la disinfezione (ad esempio con Sophos Synchronized Security).
- Utilizzare password complesse e autenticazione a fattori multipli per gli strumenti di gestione remota e di condivisione dei file, in modo tale che queste password non possano essere craccate con strumenti di hacking che sfruttano attacchi di tipo brute force.
L’aiuto che ti offre IT Solution attraverso i sistemi di sicurezza Sophos
Sophos offre la soluzione di IT security definitiva per proteggere i sistemi contro i più recenti tipi di ransomware. Non garantisce soltanto la migliore protezione possibile su tutti i livelli, ma anche i benefici di anni di integrazione tra soluzioni firewall ed endpoint.
Tutto questo si traduce in vantaggi straordinari in termini di visibilità sullo stato di integrità della rete e nella capacità di rispondere automaticamente agli incidenti di sicurezza.
Sophos Firewall è una soluzione progettata per impedire in primo luogo che gli autori degli attacchi riescano a infiltrarsi nella rete. Se tuttavia il ransomware dovesse riuscire a raggiungere la rete, entra in azione l’altro aspetto di questa protezione doppia: Sophos Firewall è in grado di bloccare automaticamente gli attacchi ransomware sul nascere, grazie all’integrazione con Sophos Intercept X, una piattaforma di protezione endpoint leader di settore. È come mettere il pilota automatico nella protezione della rete: un grande aiuto che moltiplica le risorse e quindi l’efficacia del team di sicurezza.
In conclusione
Nonostante sia una minaccia informatica perenne, il ransomware continuerà ad evolversi. Anche se probabilmente il ransomware non verrà mai debellato completamente, osservando le best practice del firewall indicate in questo documento è possibile garantire alla propria organizzazione maggiori probabilità di rimanere protetta contro i più recenti tipi di ransomware e altre minacce.
In IT solution consideriamo la sicurezza dei dati e l’efficienza dei servizi come un’esigenza imprescindibile: le minacce informatiche rappresentano un problema sempre più rilevante per le aziende che hanno bisogno della massima funzionalità dei propri servizi. È per questo che offriamo soluzioni di sicurezza in grado di intercettare tutte le possibili minacce che rischiano di mettere a repentaglio non solo il funzionamento dei sistemi, ma anche e soprattutto la sicurezza dei dati aziendali.
Non sottovalutare il rischio minacce informatiche! Richiedi una consulenza gratuita per valutare la miglior strategia di protezione per la tua attività con le nostre soluzioni di sicurezza centralizzata Sophos, qui.