BLOG.ERREVI.COM

Con le aziende disposte a pagare anche riscatti a sette cifre per riavere accesso ai dati e ripristinare i sistemi operativi in seguito ad un attacco, i criminali informatici hanno trasformato questa tipologia d’attacco in una vera e propria attività redditizia. Inoltre, un attacco di tipo ransomware non comporta solo un riscatto da pagare, ma molto spesso implica che l’azienda colpita necessiti di parecchio tempo prima di ripristinare le normali attività, con danni ingenti sulla produttività e la reputazione.

Scopri CATO NETWORKS,
la prima piattaforma SASE al mondo  

I 4 PRINCIPALI RISCHI DI UN ATTACCO RANSOMWARE

Stop immediato dell’attività produttiva
Il danno generato da un blocco della produttività non può essere quantificato universalmente, in quanto varia a seconda dell’azienda colpita. Ma se consideriamo la dipendenza di ogni organizzazione dai dati e dalle applicazioni, è facile immaginare le implicazioni finanziarie di un blocco dell’attività produttiva: i pagamenti, sia in entrata che in uscita, potrebbero essere sospesi e la produzione, così come l’invio della merce e l’erogazione dei servizi, potrebbe arrestarsi completamente. Per alcune imprese, un blocco di questo tipo, potrebbe anche essere quantificato in milioni di euro al giorno. Se inoltre esaminiamo che il ripristino dei sistemi informativi e dei backup potrebbe richiedere alcuni giorni, o addirittura settimane, ecco perché molte aziende considerano l’ipotesi del pagamento del riscatto una via d’uscita più breve.

Data decription
La tecnica della crittografia dei dati, per renderli inaccessibili fino al pagamento del riscatto è sempre più comune, così come visualizzare un messaggio degli hacker, sui sistemi interessati, contenente le istruzioni per poter procedere al pagamento del riscatto. L’importo del riscatto varia a seconda del tipo di ransomware e soprattutto in relazione alla portata del valore dai dati criptati.

Divulgazione dei dati sensibili
Per sollecitare le aziende colpite a pagare il riscatto in tempi brevi, i criminali informatici non si limitato a crittografare i dati, ma si rivalgono sulle organizzazioni minacciando di esfiltrare i dati e renderli pubblici online. Il rilascio dei dati online può infatti avere una portata ancora più dirompente. Tali dati potrebbero contenere informazioni finanziarie, ma anche sanitarie e personali, sia dei dipendenti che dei clienti. L’esfiltrazione pubblica di questo tipo di informazioni violerebbe sia la privacy che le leggi in materia di protezione del dato con conseguenti danni legali enormi per le aziende.

Perdita reputazionale per l’azienda
Anche se una azienda paga il riscatto e i dati non vengono pubblicati online, c’è ancora del potenziale per ramificare le conseguenze di un attacco e creare danni reputazionali all’azienda colpita. I clienti sviluppano sentimenti negativi quando le loro merci, o i servizi subiscono ritardi o cancellazioni. Inoltre, una volta venuti a conoscenza dell’attacco, i clienti (così come i fornitori) potrebbero incominciare a chiedersi se i loro dati sono al sicuro.

I 5 VANTAGGI DI UNA ARCHITETTURA SASE PER LA PROTEZIONE DAI RANSOMWARE

L’acronimo SASE (Secure Access Service Edge) rappresenta un’architettura di rete con un forte focus alla cyber security, che unifica le soluzioni di rete e di sicurezza in un servizio basato sul cloud, per migliorare l’accessibilità, l’efficienza e la sicurezza dei sistemi informativi aziendali e delle applicazioni indipendentemente da dove queste si trovino.

Il modello SASE consente alle organizzazioni di scalare le proprie capacità di rete e sicurezza direttamente su tutti gli endpoint in qualsiasi luogo, attraverso un modello SD-WAN globale sicuro e controllato, composto da punti di accesso (PoP) sparsi su tutto il globo.

Convergendo rete e sicurezza in un unico servizio globale cloud-nativo, una piattaforma SASE garantisce piena visibilità sul traffico di rete, edge e risorse, consentendo di creare una soluzione di sicurezza completa e unica, anche per la protezione dai ransomware.

Ecco 5 modi in cui una architettura di rete SASE può proteggere la tua organizzazione dei ransomware:

1. Reputation data & Threath Intelligence

   Le soluzioni SASE più all’avanguardia sfruttano i principali feed di intelligence sulle minacce proveniente dalle comunità condivise e open sourse. Inoltre, dopo aver scoperto che il 30% feed contiene dei falsi positivi, la tecnologia SASE utilizza il Machine Learning e l’Intelligenza Artificiale per aggregare i record provenienti dal web, al fine di correlare informazioni di rete e sicurezza e associare a loro un punteggio. 

2. Blocco delle comunicazioni di comando e controllo
   

   La prima fase di un attacco ransomware è la consegna e l’esecuzione del playold del software. Una volta eseguito, il software si connette al server di comando e controllo dell’attaccante. Una soluzione SASE impedisce la consegna del ransomware alle macchine, ovvero, l’iter principale utilizzato dagli hacker per impossessarsi dei sistemi prima dell’attacco. Se un utente malintenzionato è già all’interno della rete, la tecnologia SASE impedisce la comunicazione che gli potrebbero utilizzare per crittografare file e dati.

3. Blocco delle SMB File sospette
   

   Una volta che la memoria locale e i dispositivi USB collegati alla rete sono stati crittografati, il ransomware è potenzialmente in grado di passare in un qualsiasi spazio di archiviazione collegato alle rete. In generale questo avviene utilizzato SMB per rinominare o modificare le estensioni dei file crittografati e fare uscire la richiesta di riscatto in ogni directory. L’IPS del SASE rileva questa attività di rete irregolare e la blocca, limitando l’impatto dell’attacco.

4. Zero Trust Network Access
   

   Oltre alla prevenzione tramite IPS, una architettura SASE consente di adottare un approccio Zero-Trust completo all’accesso alle applicazioni e alle risorse, nonché alle capacità per incorporare le segmentazioni della rete. Un approccio Zero-Trust permette agli utenti di accedere solo alle applicazioni e risorse per le quali sono autorizzati, e allo stesso tempo mantenere tutto il traffico ispezionato. Questo tipo di approccio riduce la superficie di attacco, limitando la capacità del ransomware di diffondersi, crittografare ed esfiltrare i dati.

5. Zero Day Threaths
   

   Dal momento che una soluzione SASE permette di ispezionare tutto il traffico degli utenti e la posizione di accesso alla rete, il servizio garantisce visibilità completa su tutto il traffico. L’architettura firewall di nuova generazione sfrutta l’apprendimento automatico per ispezionare tutto il traffico, rilevare e bloccare le minacce sconosciute e gli attacchi zero-day. Questa tecnologia è parecchio utile su quelli che vengono definiti polyphormic malware, appositamente progettati per eludere i motori di ispezione basati sulle firme.

Come abbiamo detto all’inizio di questo articolo, i ransomware non spariranno a breve. Per questo è necessario, insieme all’adozione di una strategia completa di Risk Mitigation, adottare una soluzione SASE in grado di monitorare il traffico verso la rete e gestire gli accessi da ogni luogo in totale sicurezza.