Il ransomware può essere difficile da affrontare, soprattutto se un’azienda dispone di risorse IT limitate. Ma con questo articolo voglio darti alcuni suggerimenti per semplificare la lotta contro il ransomware e difendere al meglio te e i tuoi clienti.
Conosci il tuo nemico
La maggior parte degli attacchi ransomware non sono sofisticate operazioni informatiche volute dai servizi segreti, ma si tratta di un piccolo gruppo di persone, sedute dietro ai computer, che cercano di entrare in una rete.
In poche parole, gli aggressori di solito non utilizzano chissà quale tecnologia o tattica avanzata, semplicemente sfruttano una vulnerabilità presente in una rete. Potrebbe anche trattarsi di un semplice click sbagliato o di una porta mal configurata che viene bucata durante una campagna brute-force.
Semplifica la lotta al ransomware
Il punto chiave è tutto qui: anche le aziende più piccole e con meno risorse possono prevenire o fermare gli attacchi ransomware con la giusta preparazione e pianificazione.
Ti lascio qui tre consigli fondamentali per proteggere la tua azienda e quella dei tuoi clienti in modo semplice, ma efficace:
- Scegli un software EDR (Endpoint Detection and Response) efficace e facile da usare
- Elabora un recovery plan completo
- Evita errori comuni nelle attività di prevenzione e di detection e response
Inutile negarlo, il ransomware è un pericolo evidente e presente per le aziende di tutte le dimensioni, ma combatterlo non deve essere per forza complicato. Ridurre il pericolo portato da un ransomware può essere semplice se si utilizza un EDR efficace e a misura di MSP, se si dispone di un piano di ripristino ben congegnato e se si evitano alcuni banali ma diffusi errori.
Cos’è, cosa fa e a cosa serve un EDR?
Ho usato più volte l’espressione EDR, ma di cosa si tratta?
Da un sondaggio effettuato nella community degli MSP italiani risulta che un buon 30% non ha le idee chiare su cosa sia un EDR e, i pochi che lo usano, lo utilizzano su un numero limitato di clienti.
Quindi, facciamo chiarezza.
EDR è il successore dei software di Endpoint Protection e degli Antivirus. Rispetto a loro, EDR fa un passo in avanti nelle procedure di sicurezza grazie alle sue capacità forensi e di analisi dei dati.
Gli strumenti EDR identificano e rispondono alle minacce informatiche prima che si verifichino o mentre sono in corso. Inoltre, sono in grado di rilevare malware con codici polimorfici che possono non essere rilevati dagli strumenti di sicurezza tradizionali. L’obiettivo di una soluzione EDR è identificare le minacce attive e potenziali che non vengono rilevate dagli antivirus tradizionali, come gli attacchi zero-day e gli attacchi malware senza file, e rispondere rapidamente.
Gli EDR sono inoltre dotati di machine learning e strumenti di analisi integrati in grado di identificare e neutralizzare una minaccia nelle prime fasi di un attacco. Questa funzionalità gli consente di studiare i comportamenti delle minacce nuove ed emergenti e di prepararsi in anticipo.
Come detto, la cosa è meno difficile di quanto sembri, bastano alcune best practice e qualsiasi PMI può tenere testa a un ransomware, magari proprio con l’aiuto di un MSP come te.
Il tuo EDR può gestire un attacco ransomware?
Credenziali rubate, attacchi di phishing, applicazioni zero-day e vulnerabilità del sistema operativo sfruttano la nostra fiducia negli endpoint. E poiché il ransomware deriva dallo sfruttamento della fiducia, l’EDR non è un’opzione!
Una strategia di gestione del rischio afferma che non è possibile eliminare tutte le vulnerabilità del sistema o bloccare tutti gli attacchi informatici. Il tuo EDR dovrebbe, quindi, essere ottimizzato per “prevenire ciò che puoi e per mitigare il resto”.
Vediamo allora quali sono i 6 elementi che un EDR deve avere per essere un buon anti-ransomware.
- Multi-vector Endpoint Protection (EP) integrato
La funzionalità base di un EDR è quella di notificare qualsiasi attività sospetta che si sta verificando sui sistemi e offrire una “risposta” per mitigare il rilevamento. Tuttavia, l’EDR non fa prevenzione: non impedisce quindi alla minaccia di violare un ambiente.
Affidarsi esclusivamente all’EDR come soluzione di prevenzione sovraccaricherà il personale e aumenterà i costi operativi.
Ecco perché l’anti-ransomware inizia con la prevenzione del male noto, inizia cioè con l’Endpoint Protection (EP), una soluzione avanzata di prevenzione delle minacce per gli endpoint che utilizza tecniche di rilevamento multi-vettore.
Molti fornitori di EDR offriranno l’EP separatamente, come una sorta di scanner, ma questa funzionalità è insufficiente. Un modo economico ed efficace per ottenere il primo livello di protezione dal ransomware è cercare un EDR con protezione endpoint full-stack.
- Visibilità e patch regolarmente mantenute
Applicare le patch non vuol dire solo manutenere il sistema, la maggior parte delle vittime di attacchi informatici dichiara, infatti, che le violazioni avrebbero potuto essere prevenute installando una patch disponibile.
Le soluzioni di vulnerability assessment e di patch management sono preventive e riducono la superficie di attacco del ransomware. Una buona soluzione di vulnerability management deve automatizzare l’inventario e la classificazione delle vulnerabilità in base al punteggio CVSS; questo ordinamento permette di dare la priorità del patching agli endpoint più preziosi.
Assicurati, quindi, che il tuo EDR abbia una componente di gestione delle vulnerabilità e delle patch per rendere più difficile la vita degli aggressori ransomware.
- Machine learning in grado di riconoscere il “goodware”
Un buon EDR cerca i comportamenti insoliti, come un’applicazione che si avvia e si comporta in modo imprevisto; in questi casi l’amministratore riceve un avviso che lo informa di attività sospette che richiedono un’indagine.
Quando un modello machine learning è addestrato a riconoscere il “cattivo comportamento”, tramite set di dati di codice malware noto, possiamo presumere che il “cattivo comportamento” sia apparentemente infinito, perché ci sono decine di miliardi di malware unici.
Più grande è il set di dati, maggiori sono le possibilità di interpretare erroneamente un buon comportamento come cattivo, portando a molti falsi positivi.
Gestire troppi falsi positivi costa tempo e manodopera. Assicurati di scegliere un EDR che rilevi le deviazioni dalle applicazioni note così da ridurre i falsi positivi che potrebbero distrarti nella lotta contro il ransomware.
- Utilizzo di un linguaggio standard e di un’analisi forense
Ok, il tuo EDR ha l’EP e sta cercando una deviazione dal comportamento noto per ridurre i falsi positivi, ora ti ha inviato una notifica di una minaccia ransomware. Il prossimo pezzo di un EDR anti-ransomware è che le informazioni che ti arrivano dovrebbero essere standardizzate.
Un EDR vecchio stile utilizzerà la verbosità specifica del fornitore per descrivere l’attacco, ma nel tuo EDR vuoi che ogni cosa sia descritta in modo semplice e con un numero di riferimento.
Il numero di riferimento è necessario ai fini della documentazione. Allo stesso tempo, la descrizione semplice è necessaria per sapere in quale fase è stato effettuato l’attacco di un endpoint.
Per evitare inutili complessità nel capire l’origine di una minaccia ransomware, la tua soluzione EDR dovrebbe avere un metodo standardizzato per descrivere l’attacco, come MITRE ATT&CK.
- Opzioni complete di contenimento, eradicazione e recupero
Se uno dei tuoi endpoint gestiti viene infettato da ransomware, bisogna fermare la diffusione il più velocemente possibile, cosa che viene definita “contenimento“.
Il contenimento impedisce il movimento laterale di un attacco consentendo di continuare le attività di risposta attiva; questa funzionalità è quindi un must per il tuo EDR. Ma la lotta non si ferma qui.
Hai contenuto e analizzato una minaccia con il tuo EDR. Bene, ma ora devi rimediare. Per farlo devi eliminare il ransomware e ripristinare l’endpoint a uno stato noto e privo di malware, virus, programmi e modifiche indesiderate.
Potresti chiederti: l’eradicazione e il recupero dal ransomware non sono la stessa cosa? Non proprio.
Solo perché hai eliminato gli artefatti non è detto che venga ripristinato l’endpoint in uno stato in cui la macchina può funzionare.
In altre parole, il tuo EDR ha bisogno di una strumentazione che non solo sradichi il ransomware, ma che recuperi e ripristini lo stato della macchina in uno stato funzionante, magari grazie a un buon rollback.
- Indicatori di ransomware ricercati in tutti gli endpoint gestiti
E se volessi vedere se la minaccia ransomware che hai scoperto su uno dei tuoi endpoint è nelle prime fasi dell’attacco anche su altri endpoint?
Il tuo EDR dovrebbe avere un motore di ricerca in grado di esaminare qualsiasi TTP (tool, tecniche e procedure) e cercare nella rete, perché vuoi vedere se riesci a catturare qualcosa prima che raggiunga l’obiettivo del riscatto.
Le aziende hanno bisogno di un EDR che rilevi e risponda immediatamente alle minacce ransomware
In questo articolo ti ho spiegato le caratteristiche che gli MSP dovrebbero cercare in un EDR per proteggere se stessi e i propri clienti da ransomware e perché farlo.
Ma esiste una soluzione che soddisfa tutti i requisiti elencati?
Esiste e si chiama Malwarebytes, la moderna piattaforma di sicurezza che unisce Endpoint Protection ed EDR d’avanguardia con strumenti di prevenzione e tool di remediation.
Vuoi scoprire di più su Malwarebytes e sul perché l’EDR funziona e ferma gli attacchi? Abbiamo preparato un Webinar On Demand in cui ne parliamo in maniera approfondita!
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.