Gli attacchi ransomware sono sempre più mirati, evoluti e distruttivi: gli hacker mascherano ad arte le proprie incursioni, e l’attacco avviene in più fasi, in modo da andare a colpire i sistemi vitali dell’azienda e richiedere riscatti più elevati. Spesso gli attaccanti, dopo aver portato a termine un primo “colpo”, lasciano “porte d’accesso aperte” per tornare più avanti. Inoltre, sempre più spesso sono colpiti anche i sistemi di backup e data recovery, non sufficientemente protetti.
Ne parliamo in questa intervista con Fabio Bucciarelli, Senior Security Advisor di Lutech, e con Emiliano Campagnoli, Data Protection Solution Presales System Engineer di Dell Technologies, che su questi temi interverranno nel corso del Webinar “ALLERTA RANSOMWARE: SEI PRONTO A RIPARTIRE?”, organizzato da The Innovation Group in collaborazione con Lutech e Dell Technologies per il prossimo 27 maggio 2020.
TIG. Come andrebbe impostata la difesa da attacchi Ransomware potenzialmente distruttivi per l’intero business?
Fabio Bucciare
lli. La risposta a questo problema non è solo tecnologica: è importante definire bene i processi. Dal punto di vista della Protezione, ci sono vari aspetti da considerare, per evitare che il ransomware attecchisca e danneggi più sistemi aziendali. Intanto bisogna avere chiaro quali sono e dove stanno i dati che vogliamo proteggere e in base a questo implementare opportune contromisure di prevenzione, come ad esempio aumentare l’awareness degli utenti, limitare la visibilità dei dati, agire sul controllo degli accessi, segmentare la rete. La fase successiva è quella della Detection, che serve ad accorgersi appena possibile di un’avvenuta infiltrazione del malware. Questa può essere affrontata con tecniche di sandboxing, AI (per rilevare eventuali anomalie), ma anche con tecnologie tradizionali come quelle dei classici IDS/IPS, e nel migliore dei casi, avvalendosi di una struttura come il SOC interno o esterno per il monitoraggio continuo della sicurezza. Inoltre, non va sottovalutata la capacità dell’azienda di rispondere agli incidenti di sicurezza: serve infatti a limitare i danni in caso di attacco andato a segno, grazie al processo di gestione di incidenti e al team dedicato.
Un aspetto da non trascurare è anche la forensics readiness, ovvero la preparazione di un’azienda all’eventualità di dover affrontare un’investigazione digitale, che aiuta a capire come è avvenuta l’infezione, come è entrato il malware e come si è propagato. Bisogna sanificare tutto l’ambiente per evitare che gli attaccanti possano tornare.
TIG. Parlando della fase di recovery, molte aziende si accorgono troppo tardi che i backup non sono più disponibili, perché sono stati essi stessi cifrati dal ransomware. Cosa serve fare per proteggersi da questo rischio?
Emiliano Campagnoli. I backup sono sempre più spesso essi stessi il target degli attacchi ransomware, motivo per cui vanno protetti in copie inaccessibili dalla rete aziendale. Come sopravvivere in caso di attacco devastante e mirato, come proteggere i dati più importanti del business? Serve una pianificazione, l’isolamento e il trasferimento del dato in una “cassaforte virtuale” separata. Qui è anche possibile fare delle analisi e disporre di procedure ad hoc per far partire la fase di recovery a fronte di un attacco.
Attenzione però che non esiste una risposta buona per tutti: tutte le componenti della soluzione di recovery vanno calate nell’ambiente del singolo caso in base a esigenze e processi.
………………
Il Webinar “ALLERTA RANSOMWARE: SEI PRONTO A RIPARTIRE?”, organizzato da The Innovation Group in collaborazione con Lutech e Dell Technologies per il prossimo 27 maggio 2020 dalle 11.30 alle 12.30, servirà a fare il punto sulle diverse tipologie di attacchi Ransomware e sull’applicazione delle Best Practice più recenti, per contrastarli e ripartire in piena sicurezza.
I temi del Webinar:
- Cyber resilience: qual è il livello di maturità delle aziende italiane;
- L’evoluzione degli attacchi Ransomware e dei Data Breach;
- I sistemi di sicurezza che blindano il dato e assicura la continuità del business;
- La gestione di un attacco ransomware e la corretta recovery dei dati;
- La ripartenza dopo un attacco ai sistemi di backup;
- La gestione della crisi e l’applicazione dell’analisi forense;
- Il data recovery GDPR compliant.
ISCRIVITI SUBITO!
Posti limitati e soggetti ad autorizzazione.
