Mauro Palmigiani, Country General Manager Italy, Greece & Malta di Palo Alto Networks, spiega come cambiare filosofia in ambito security per affrontare i ransomware.
I team di sicurezza operano con diligenza per assicurarsi che le loro organizzazioni non vengano colpite dal ransomware, indipendentemente dal fatto che si tratti di campagne estese o di attacchi mirati. Si pensa generalmente che il punto migliore in cui proteggersi dal ransomware sia lo stesso endpoint, ma non si tratta certo dell’unico spazio su cui si può, e si deve, fare prevenzione.
Indubbiamente, l’endpoint è il vettore più vulnerabile rispetto al ransomware. Per questo, gli endpoint security manager si concentrano per garantire che questi siano difesi dai ransomware più recenti. E i security operations manager analizzano i dati a loro disposizione alla ricerca di indicatori del successo di un attacco ransomware, per rimediare e ridurre al minimo la portata dell’attacco. Ma che impatto ha il ransomware sulle attività quotidiane degli amministratori di rete quando la loro priorità è quella di garantire che il network funzioni nel modo migliore possibile? Di seguito quattro motivi per cui anche gli amministratori di rete dovrebbero preoccuparsi di prevenire il ransomware.
Mancanza di visibilità
I file pericolosi si nascondono tipicamente all’interno di traffico cifrato per evitare di essere identificati dagli strumenti di controllo della network security. Quando il traffico viene cifrato, diventa più difficile applicate le policy di sicurezza perché la visibilità e il controllo sui dati calano drasticamente. Questo consente al traffico pericoloso di attraversare la rete, mettendo le organizzazioni a rischio di attacchi ransomware.
Se abilitata e configurata in modo appropriato, la SSL decryption può decifrare, ispezionare e applicare policy di sicurezza al traffico cifrato. Se però questa funzione non è impostata correttamente, il malware può evitare di essere individuato ed esporre la rete al ransomware.
Per evitare questo rischio, oltre ad assicurarsi che la SSL decryption sia configurata in modo corretto, i team di rete devono coordinarsi con i team di security per avere visibilità di ogni modifica portata alle policy di sicurezza sulla base di attività sospette rilevate. Questo ridurrà l’impatto sulla rete di eventuali cambiamenti. I responsabili degli endpoint devono anche assicurarsi che i loro prodotti di endpoint security siano in grado di identificare file pericolosi, etichettarli come tali e distribuire le informazioni relative per l’intera infrastruttura di sicurezza, rete compresa. Questo permette di ottenere un approccio standard e risk-based, che consente policy, visibilità e controllo costanti.
Movimenti laterali
Gli attacchi ransomware tipicamente cifrano un dispositivo e impediscono all’utente di accedere ai suoi dati. Ma tenere un utente lontano da un suo device non è sempre la motivazione primaria, e l’obiettivo reale può non essere il riscatto. Il ransomware può contenere una componente worm e utilizzare l’endpoint inizialmente compromesso come punto di partenza di un attacco ben più esteso. In questo caso, gli hacker possono entrare nella rete da un punto non protetto, e successivamente muoversi lateralmente all’interno dell’organizzazione – per diffondere ulteriormente il ransomware ed incrementare la posta in gioco, oppure per accedere a obiettivi di maggior valore, come dati e applicazioni. In questo caso, la rete diventa un veicolo sui cui l’attacco può propagarsi e generare danni maggiori.
I team di rete devono operare in modo congiunto ai team di security ed essere coinvolti nella mappatura a posteriori degli attacchi ransomware. Comprendere come un attacco si è mosso da un punto all’altro e dove ha avuto successo permette ai team di rete di capire dove può essere applicata in modo efficace la segmentazione della rete. Inoltre, i responsabili degli endpoint devono implementare protezioni in grado di difendere efficacemente gli endpoint da infezioni contratte al di fuori della rete, e dal rischio che queste infezioni vengano poi trasferite all’interno.
Utenti in mobilità
Con una forza lavoro sempre più mobile, il numero di endpoint vulnerabili a minacce e attacchi ransomware parallelamente aumenta. Gli utenti in mobilità possono non godere delle stesse protezioni che avrebbero se operassero all’interno del perimetro della rete. Tradizionalmente, si è fatto uso di un tunneling sicuro via VPN per estendere le protezioni di rete agli utenti remoti. Ma queste protezioni potrebbero non essere sempre abilitate, o non in modo completo, a seconda delle impostazioni personali, delle preferenze, o delle funzionalità disponibili.
I team di rete dovrebbero operare per garantirsi che le loro protezioni di rete si estendano in modo coerente ed efficiente ai tool VPN. Questo implica una formazione alla consapevolezza in tema di sicurezza, per garantire che gli utenti abilitino le funzionalità specifiche, o non le disabilitino, quando si trovano al di fuori del perimetro aziendale. Assieme agli strumenti VPN, le protezioni endpoint devono essere in grado di identificare e prevenire i possibili metodi di cifratura del ransomware.
Impatto sull’ampiezza di banda
Molte organizzazioni hanno iniziato ad abbandonare il backhauling per ridurre al minimo i problemi di ampiezza di banda. Questa migrazione ha portato di fatto le protezioni ancor più lontano dal perimetro della rete, incrementando ulteriormente l’importanza che le soluzioni di protezione degli endpoint e le VPN hanno nell’economia complessiva di sicurezza di un’azienda. Questo cambiamento nasce dalle preoccupazioni aziendali su costi e problematiche legate alla banda.
La produttività della rete rappresenta una preoccupazione anche per gli hacker, dato che il ransomware è tipicamente pensato per consumare la minima quantità di banda possibile. Il ransomware fa affidamento sulla capacità del network di scaricare malware, comunicare con la propria centrale e muoversi lateralmente; e le organizzazioni si troverebbero a fronteggiare un downtime o cali di produttività significativi. L’ultima cosa che gli sviluppatori di ransomware – ma anche le stesse aziende – vogliono è che la rete rallenti o, peggio, si blocchi completamente.
Le macchine infette e le comunicazioni del ransomware con il proprio server di command-and-control consumano quantità di banda aggiuntiva, portando un incremento evitabile, anche se minimale, delle spese. Dato che l’ampiezza di banda è una problematica costante, i team di rete dovrebbero collaborare con i responsabili degli endpoint per garantire che la protezione dei dispositivi remoti abbia un impatto minimo sulla banda quando vengono trasmessi i file di signature.