Akamai, Attacco a Colonial Pipeline: le giuste tecnologie di cyber security possono sconfiggere i ransomware

redazione

“La natura dei sistemi operativi desktop oggi rende i ransomware difficili da fermare completamente. Man mano che i sistemi operativi otterranno maggiori protezioni funzionalmente più equivalenti a quelli mobile, la superficie di minaccia diminuirà naturalmente nel tempo, ma non ci siamo ancora. Se è probabile comunque che ci sarà sempre qualche superficie dove questi exploit possano essere sfruttati, esistono altre modalità per fermare questi attacchi sul nascere semplicemente rendendoli meno economicamente remunerativi.

In linea di massima, è possibile categorizzare le difese contro il ransomware tra misure di prevenzione/pre-attacco e remediation/post-attacco. Credo che le tecnologie più interessanti per quanto riguarda i ransomware presenti sul mercato si concentrino attualmente sulla fase di remediation/post-attacco.

Queste soluzioni si focalizzano generalmente sul backup e il ripristino intelligente dei dati. SentinelOne, per esempio, è una società EDR in grado di riportare le macchine allo stato precedente all’infezione. Un altro approccio, che garantisce almeno lo stesso livello di protezione e potenzialmente anche migliore, è servirsi di uno storage condiviso con policy di backup. Questo storage può risiedere nel cloud (dove è elastico) o essere amministrato localmente.

Quando lo storage è gestito in questo modo, le informazioni locali presenti su una macchina diventano meno importanti, poiché se la macchina è infettata, si può semplicemente resettarla, rifare il backup e ripristinare l’accesso alle condivisioni di rete. Nel caso in cui le condivisioni siano corrotte da un aggressore, il sistema di archiviazione cloud può semplicemente riportare i dati a uno stato precedente, supponendo che gli snapshot e i backup fossero in vigore. 

È una vera rivoluzione! Utilizzando i backup, l’archiviazione gestita e i sistemi EDR avanzati, il rimedio degli attacchi ransomware è abbastanza banale. Quando i dati importanti si trovano sul sistema infettato, invece, senza un sistema simile a SentinelOne, si rischia di dover cedere al pagamento.

Più spesso un attacco può essere sventato semplicemente rifacendo il backup della macchina dell’utente finale e riportando i dati al backup più recente, meno spesso gli autori causeranno un’interruzione abbastanza significativa da essere pagati e quindi avranno sempre meno convenienza nell’utilizzare questo approccio.

Ovviamente, un altro lato negativo degli attacchi ransomware è che spesso tra le ripercussioni del mancato pagamento del riscatto non si ha solo la perdita di accesso ai dati ma anche la loro esposizione pubblica. Per molte aziende, questa minaccia è più grave del carico di lavoro per tornare in attività, perché potrebbero essere sottratti e resi pubblici segreti commerciali e IP. In questi scenari, è estremamente importante lavorare sulla prevenzione degli attacchi, poiché le soluzioni descritte finora non possono garantire la non divulgazione dei dati (si limitano a ripristinare le operazioni il più velocemente possibile). In questo caso è necessario servirsi di misure di difesa proattive per ridurre drasticamente la probabilità di un attacco ransomware di successo: le soluzioni SASE – Secure Access Service Edge.

I due principali sistemi di sicurezza che le organizzazioni possono sfruttare oggi sono Secure Web Gateways (SWG) e Zero Trust Network Access (ZTNA).

Gli SWG controllano ciò a cui gli utenti finali possono accedere, bloccando l’accesso a siti pericolosi, ed eseguono anche il sandboxing e la scansione di virus e malware del software scaricato in tempo reale. In alcuni casi, impiegano RBI (Remote Browser Isolation), per trasferire completamente le operazioni web più rischiose nel cloud. Questo riduce la probabilità di essere infettati. I sistemi ZTNA permettono, invece, di controllare chi può accedere a quali risorse. Riducendo il pool di persone e macchine che possono accedere all’infrastruttura a rischio, è possibile ridurre la superficie di attacco sfruttabile dai malintenzionati.

Insieme, queste due tecnologie preventive rappresentano una modalità sicura di riduzione delle minacce. Se combinate poi con le tecnologie di remediation di cui abbiamo discusso, le imprese potranno operare in un ambiente abbastanza robusto e sicuro.”