Cybersecurity

Combattere il ransomware in 6 punti

02 Febbraio 2023

Il ransomware può essere difficile da affrontare, soprattutto se un’azienda dispone di risorse IT limitate. Ma con questo articolo voglio darti alcuni suggerimenti per semplificare la lotta contro il ransomware e difendere al meglio te e i tuoi clienti.

Conosci il tuo nemico

La maggior parte degli attacchi ransomware non sono sofisticate operazioni informatiche volute dai servizi segreti, ma si tratta di un piccolo gruppo di persone, sedute dietro ai computer, che cercano di entrare in una rete.

In poche parole, gli aggressori di solito non utilizzano chissà quale tecnologia o tattica avanzata, semplicemente sfruttano una vulnerabilità presente in una rete. Potrebbe anche trattarsi di un semplice click sbagliato o di una porta mal configurata che viene bucata durante una campagna brute-force.

Semplifica la lotta al ransomware

Il punto chiave è tutto qui: anche le aziende più piccole e con meno risorse possono prevenire o fermare gli attacchi ransomware con la giusta preparazione e pianificazione.

Ti lascio qui tre consigli fondamentali per proteggere la tua azienda e quella dei tuoi clienti in modo semplice, ma efficace:

  1. Scegli un software EDR (Endpoint Detection and Response) efficace e facile da usare
  2. Elabora un recovery plan completo
  3. Evita errori comuni nelle attività di prevenzione e di detection e response

Inutile negarlo, il ransomware è un pericolo evidente e presente per le aziende di tutte le dimensioni, ma combatterlo non deve essere per forza complicato. Ridurre il pericolo portato da un ransomware può essere semplice se si utilizza un EDR efficace e a misura di MSP, se si dispone di un piano di ripristino ben congegnato e se si evitano alcuni banali ma diffusi errori.

Cos’è, cosa fa e a cosa serve un EDR?

Ho usato più volte l’espressione EDR, ma di cosa si tratta?

Da un sondaggio effettuato nella community degli MSP italiani risulta che un buon 30% non ha le idee chiare su cosa sia un EDR e, i pochi che lo usano, lo utilizzano su un numero limitato di clienti.

Quindi, facciamo chiarezza.

EDR è il successore dei software di Endpoint Protection e degli Antivirus. Rispetto a loro, EDR fa un passo in avanti nelle procedure di sicurezza grazie alle sue capacità forensi e di analisi dei dati.

Gli strumenti EDR identificano e rispondono alle minacce informatiche prima che si verifichino o mentre sono in corso. Inoltre, sono in grado di rilevare malware con codici polimorfici che possono non essere rilevati dagli strumenti di sicurezza tradizionali. L’obiettivo di una soluzione EDR è identificare le minacce attive e potenziali che non vengono rilevate dagli antivirus tradizionali, come gli attacchi zero-day e gli attacchi malware senza file, e rispondere rapidamente.

Gli EDR sono inoltre dotati di machine learning e strumenti di analisi integrati in grado di identificare e neutralizzare una minaccia nelle prime fasi di un attacco. Questa funzionalità gli consente di studiare i comportamenti delle minacce nuove ed emergenti e di prepararsi in anticipo.

Come detto, la cosa è meno difficile di quanto sembri, bastano alcune best practice e qualsiasi PMI può tenere testa a un ransomware, magari proprio con l’aiuto di un MSP come te.

Il tuo EDR può gestire un attacco ransomware?

Credenziali rubate, attacchi di phishing, applicazioni zero-day e vulnerabilità del sistema operativo sfruttano la nostra fiducia negli endpoint. E poiché il ransomware deriva dallo sfruttamento della fiducia, l’EDR non è un’opzione!

Una strategia di gestione del rischio afferma che non è possibile eliminare tutte le vulnerabilità del sistema o bloccare tutti gli attacchi informatici. Il tuo EDR dovrebbe, quindi, essere ottimizzato per “prevenire ciò che puoi e per mitigare il resto”.

Vediamo allora quali sono i 6 elementi che un EDR deve avere per essere un buon anti-ransomware.

  • Multi-vector Endpoint Protection (EP) integrato

La funzionalità base di un EDR è quella di notificare qualsiasi attività sospetta che si sta verificando sui sistemi e offrire una “risposta” per mitigare il rilevamento. Tuttavia, l’EDR non fa prevenzione: non impedisce quindi alla minaccia di violare un ambiente.

Affidarsi esclusivamente all’EDR come soluzione di prevenzione sovraccaricherà il personale e aumenterà i costi operativi.

Ecco perché l’anti-ransomware inizia con la prevenzione del male noto, inizia cioè con l’Endpoint Protection (EP), una soluzione avanzata di prevenzione delle minacce per gli endpoint che utilizza tecniche di rilevamento multi-vettore.

Molti fornitori di EDR offriranno l’EP separatamente, come una sorta di scanner, ma questa funzionalità è insufficiente. Un modo economico ed efficace per ottenere il primo livello di protezione dal ransomware è cercare un EDR con protezione endpoint full-stack.

  • Visibilità e patch regolarmente mantenute

Applicare le patch non vuol dire solo manutenere il sistema, la maggior parte delle vittime di attacchi informatici dichiara, infatti, che le violazioni avrebbero potuto essere prevenute installando una patch disponibile.

Le soluzioni di vulnerability assessment e di patch management sono preventive e riducono la superficie di attacco del ransomware. Una buona soluzione di vulnerability management deve automatizzare l’inventario e la classificazione delle vulnerabilità in base al punteggio CVSS; questo ordinamento permette di dare la priorità del patching agli endpoint più preziosi.

Assicurati, quindi, che il tuo EDR abbia una componente di gestione delle vulnerabilità e delle patch per rendere più difficile la vita degli aggressori ransomware.

  • Machine learning in grado di riconoscere il “goodware”

Un buon EDR cerca i comportamenti insoliti, come un’applicazione che si avvia e si comporta in modo imprevisto; in questi casi l’amministratore riceve un avviso che lo informa di attività sospette che richiedono un’indagine.

Quando un modello machine learning è addestrato a riconoscere il “cattivo comportamento”, tramite set di dati di codice malware noto, possiamo presumere che il “cattivo comportamento” sia apparentemente infinito, perché ci sono decine di miliardi di malware unici.

Più grande è il set di dati, maggiori sono le possibilità di interpretare erroneamente un buon comportamento come cattivo, portando a molti falsi positivi.

Gestire troppi falsi positivi costa tempo e manodopera. Assicurati di scegliere un EDR che rilevi le deviazioni dalle applicazioni note così da ridurre i falsi positivi che potrebbero distrarti nella lotta contro il ransomware.

  • Utilizzo di un linguaggio standard e di un’analisi forense

Ok, il tuo EDR ha l’EP e sta cercando una deviazione dal comportamento noto per ridurre i falsi positivi, ora ti ha inviato una notifica di una minaccia ransomware. Il prossimo pezzo di un EDR anti-ransomware è che le informazioni che ti arrivano dovrebbero essere standardizzate.

Un EDR vecchio stile utilizzerà la verbosità specifica del fornitore per descrivere l’attacco, ma nel tuo EDR vuoi che ogni cosa sia descritta in modo semplice e con un numero di riferimento.

Il numero di riferimento è necessario ai fini della documentazione. Allo stesso tempo, la descrizione semplice è necessaria per sapere in quale fase è stato effettuato l’attacco di un endpoint.

Per evitare inutili complessità nel capire l’origine di una minaccia ransomware, la tua soluzione EDR dovrebbe avere un metodo standardizzato per descrivere l’attacco, come MITRE ATT&CK.

  • Opzioni complete di contenimento, eradicazione e recupero

Se uno dei tuoi endpoint gestiti viene infettato da ransomware, bisogna fermare la diffusione il più velocemente possibile, cosa che viene definita “contenimento“.

Il contenimento impedisce il movimento laterale di un attacco consentendo di continuare le attività di risposta attiva; questa funzionalità è quindi un must per il tuo EDR. Ma la lotta non si ferma qui.

Hai contenuto e analizzato una minaccia con il tuo EDR. Bene, ma ora devi rimediare. Per farlo devi eliminare il ransomware e ripristinare l’endpoint a uno stato noto e privo di malware, virus, programmi e modifiche indesiderate.

Potresti chiederti: l’eradicazione e il recupero dal ransomware non sono la stessa cosa? Non proprio.

Solo perché hai eliminato gli artefatti non è detto che venga ripristinato l’endpoint in uno stato in cui la macchina può funzionare.

In altre parole, il tuo EDR ha bisogno di una strumentazione che non solo sradichi il ransomware, ma che recuperi e ripristini lo stato della macchina in uno stato funzionante, magari grazie a un buon rollback.

  • Indicatori di ransomware ricercati in tutti gli endpoint gestiti

E se volessi vedere se la minaccia ransomware che hai scoperto su uno dei tuoi endpoint è nelle prime fasi dell’attacco anche su altri endpoint?

Il tuo EDR dovrebbe avere un motore di ricerca in grado di esaminare qualsiasi TTP (tool, tecniche e procedure) e cercare nella rete, perché vuoi vedere se riesci a catturare qualcosa prima che raggiunga l’obiettivo del riscatto.

Le aziende hanno bisogno di un EDR che rilevi e risponda immediatamente alle minacce ransomware

In questo articolo ti ho spiegato le caratteristiche che gli MSP dovrebbero cercare in un EDR per proteggere se stessi e i propri clienti da ransomware e perché farlo.

Ma esiste una soluzione che soddisfa tutti i requisiti elencati?

Esiste e si chiama ThreatDown by Malwarebytes, la moderna piattaforma di sicurezza che unisce Endpoint Protection ed EDR d’avanguardia con strumenti di prevenzione e tool di remediation.

Vuoi scoprire di più su ThreatDown e sul perché l’EDR funziona e ferma gli attacchi? Abbiamo preparato un Webinar On Demand in cui ne parliamo in maniera approfondita!

Guarda il Webinar On Demand
Autore
Gabriele Palumbo
Nasco a Bologna ma ho vissuto l’infanzia in Piemonte, l’adolescenza in Puglia e la maturità tra Umbria, Toscana, Puglia, Emilia-Romagna e Lombardia (e non è ancora finita). Ho avuto quindi modo di entrare in contatto con diversi ambienti e contesti sociali. Una formazione umanistica (Sociologia della devianza a Perugia e Relazioni Internazionali a Pisa), passione per la scrittura e decine di corsi sul mondo digital sono state ottime basi per entrare nel campo del marketing e della comunicazione. Nel 2015 pubblico il romanzo breve “Ci siamo solo persi di vista” e, a inizio 2019, pubblico la biografia della rock band “Ministri”, entrata in poche ore nei Top Sellers di Amazon. Un romanzo è in fase di scrittura. Terminati gli studi entro attivamente nel mondo della musica, organizzando svariati concerti e un festival, e della comunicazione digitale, gestendo la linea editoriale di blog e social e ricoprendo ruoli di copywriter e content editor. Nel 2017 entro nel collettivo Dischirotti. occupandomi dei contenuti web, mentre il 2018 mi vede prima nell’agenzia FLOOR concerti come booking agent per svariati artisti e poi in VOX concerti come direttore di produzione. Tornato a Bologna inizio a collaborare con l’etichetta discografica Manita Dischi come project manager e svolgo un tirocinio presso l’agenzia di marketing e comunicazione digitale Engine Lab, nel ruolo di content editor. Dal 2020 al 2023 ho collaborato, sia come editor che come contributor, con Fantastico.esclamativo, newsletter letteraria e rivista culturale creata da Alberto Guidetti de Lo Stato Sociale. Ogni due sabati invio “Capibara”, una newsletter che tratta di attualità e meme in un progetto che, occasionalmente, porto anche dal vivo sotto forma di Stand-Up. Attualmente ricopro il ruolo di Channel Marketing Manager in Achab, con particolare focus su contenuti editoriali, analytics, marketing automation e CMS.
Commenti (0)
Iscriviti
Notificami
guest
0 Commenti
Inline Feedbacks
Guarda tutti i commenti