Per l’ultimo M-Trends report di FireEye tutte le istituzioni del settore pubblico sono l’obiettivo privilegiato per le minacce ransomware. La preferenza verso questa tipologia di vittime è dovuta all’impatto distruttivo e dirompente che questi incidenti ransomware mirati possono avere sulle loro attività critiche. Gli aggressori sono consapevoli del valore delle informazioni personali e delle proprietà intellettuali che queste organizzazioni raccolgono e conservano.
Prendiamo ad esempio il tema delle elezioni locali, statali e nazionali. Tra le preoccupazioni più importanti emergono:
- I dati dei cittadini relativi al voto. Come ad esempio, la residenza, l’età e, in alcuni casi, il documento di riconoscimento – che vengono memorizzati su infrastrutture critiche.
- Le votazioni e le modalità con cui i dati vengono raccolti, trasmessi e memorizzati.
Ransomware settore pubblico
Se queste informazioni venissero compromesse a titolo di riscatto, metterebbero a rischio l’integrità delle infrastrutture critiche, così come i risultati delle votazioni stesse. Dalle grandi città ai piccoli paesi, nessun governo è immune dai ransomware. Tuttavia, quando le organizzazioni riescono ad individuare e a porre rapidamente rimedio alla compromissione iniziale, è possibile evitare i danni e i costi ingenti spesso tipici di un attacco ransomware tramite:
Protezione di e-mail, endpoint e network
Secondo i dati di Mandiant, il 90% dei casi di ransomware coinvolge una persona all’interno dell’organizzazione che non intenzionalmente clicca su un link malevolo. Questo può essere evitato con adeguate soluzioni di sicurezza per la posta elettronica. E abbinando questa protezione con una soluzione endpoint in grado di intercettare quegli elementi che non siano stati bloccati dal sistema di sicurezza delle e-mail.
Ransomware settore pubblico
Configurazione degli strumenti di sicurezza: Investire su basi solide
Purtroppo una configurazione errata o l’affidamento a impostazioni predefinite sono la causa della maggior parte dei problemi. Ad esempio, Mandiant ha recentemente lavorato al fianco di un team di sicurezza governativo scoprendo che il loro firewall di rete ha bloccato soltanto il 24% degli attacchi eseguiti durante l’assessment. A seguito di questo, l’ente governativo ha lavorato sull’ottimizzazione dei controlli del firewall aumentando la loro capacità di blocco e portandola al 74%.
L’autenticazione a più fattori è un requisito indispensabile
In particolare, con la crescita del lavoro remoto, è importante che siano usati strumenti di autenticazione forte ovvero sistemi multi-fattore che includano quindi qualcosa che si conosce (ad esempio, nome utente e password forte) con qualcosa che si ha (ad esempio, token o PIV), e/o qualcosa che si è (ad esempio, biometria).
Ransomware settore pubblico
Oggi la maggior parte delle organizzazioni dispone di reti complesse che includono un’infrastruttura mista di risorse on-premise e cloud. I team di sicurezza hanno bisogno di visibilità in questi ambienti, di informazioni sulle minacce e di sistemi il monitoraggio continuo dei dispositivi e delle connessioni di rete. Gli enti nel settore pubblico dovrebbero puntare a una copertura 24 ore su 24 con un security operation center o utilizzare servizi gestiti per garantire l’integrità e il monitoraggio dei sistemi.
Dati critici del settore
Il report sulle minacce di FireEye afferma che gli hacker effettuano numerose attività di ricognizione per comprendere sempre meglio gli ambienti delle vittime. Per contrastarli, occorre adottare un piano per proteggere le informazioni sensibili che altrimenti potrebbero essere divulgate al pubblico nel corso di un attacco ransomware. Questo approccio deve comprendere: lo stabilire un sistema che assegni solo i minimi privilegi necessari agli account. Oltre a garantire le differenze tra i ruoli di accesso degli amministratori e i normali account utente e distinguere i permessi di accesso tra amministratori e controllori.
Il settore pubblico obiettivo dei ransomware. Avere un Playbook di risposta
Si tratta avere o creare un piano consolidato e pratico che prepara tutti i team alla risposta in caso di incidenti. L’obiettivo deve essere quello di evitare decisioni affrettate se si dovesse verificare un attacco di tipo ransomware. A tal fine, occorre formare i team a prendere del tempo e rispondere a domande come, ad esempio:
- Conosciamo il vettore dell’infezione e se l’attaccante è attivo?
- Gli attaccanti hanno dati reali?
- Questo attacco ha un potenziale di escalation? Ad esempio, gli aggressori sono entrati in possesso di dati critici? L’attacco può diffondersi ad altri connessi a noi?
- Quanto velocemente possiamo recuperare? Abbiamo un backup offline che abbiamo testato?
- Abbiamo un’assicurazione contro i rischi informatici e, in caso affermativo, cosa copre?
Ransomware settore pubblico
Il Ransomware diventerà sempre più sofisticato. Gli enti governativi, le organizzazioni sanitarie e le istituzioni scolastiche sono ad alto rischio di tali incidenti, data la natura dei preziosi dati in loro possesso.
Non esiste un approccio unico. Ci sono invece molteplici fattori e domande da considerare. FireEye raccomando di iniziare a chiedersi: la mia organizzazione è sicura? Se non si dispone di una risposta binaria a questo, è il momento di fare dei cambiamenti.