Come difendersi dai ransomware: prevenire è meglio che curare

È passato un anno da Kaseya, considerato uno dei più grandi attacchi informatici della storia. La necessità di ripensare la sicurezza.

minacce attacchi informatici XDR infrastrutture critiche Soc ransomware Pronto soccorso

Massimiliano Galvagna, Country Manager Italia di Vectra AI: dopo Kaseya è necessario capire che per difendersi dagli attacchi ransomware, prevenire è meglio che curare.

Parte del lavoro dei responsabili della cybersecurity consiste nell’esaminare eventi di basso profilo e collegarli tra loro. Distinguere gli schemi, inquadrare il quadro generale e andare oltre i segnali di pericolo per predisporre strategie che aprano a un futuro digitale più luminoso. L’attacco ransomware di Kaseya che si è verificato nel fine settimana del 4 luglio 2021, per quanto terribile, ha offerto l’opportunità di unire i puntini e trarne le conclusioni.

Come difendersi dai ransomware

L’attacco di Kaseya ha colpito migliaia di vittime, per lo più organizzazioni di piccole dimensioni. Secondo il rapporto sui danni di Kaseya, si è trattato di “cliniche dentali, studi di architettura, centri di chirurgia plastica, biblioteche, ecc.”. Tuttavia, per gli aggressori questo tipo di target aveva senso dal punto di vista economico. Perché Kaseya fungeva da efficiente centro di distribuzione per il loro malware. Kaseya VSA, l’offerta SaaS di automazione IT ampiamente utilizzata dall’azienda, è diventata il sistema di distribuzione inconsapevole, al servizio dei cyber criminali.

L’attacco a SolarWinds

Non deve sorprendere. È la stessa strategia adottata dall’attacco a SolarWinds alla fine del 2020. Anche in questo caso, l’infiltrazione di un provider SaaS ha trasformato in bersagli un lungo elenco di obiettivi. Quello che è stato identificato come l’autore dell’attacco di Kaseya, il russo REvil, è ritenuto responsabile anche dell’attacco ransomware a JBS, azienda internazionale produttrice di carne, del 30 maggio 2011.

Imparare dagli attacchi andati a segno

Da questi attacchi si possono trarre importanti conclusioni. Innanzitutto, la violazione dei provider SaaS rende redditizio lanciare attacchi massicci contro piccoli obiettivi. Affidarsi alle tradizionali strategie di prevenzione degli attacchi ha portato più volte a sconfitte costose e umilianti. Questo perché il malware penetra regolarmente nei perimetri degli obiettivi senza essere individuato. Le aziende non stanno rivedendo la propria postura di fronte alle minacce informatiche, almeno non con la dovuta prontezza. Le analogie tra gli attacchi di SolarWinds, Colonial Pipeline, JBS e Kaseya sono piuttosto evidenti e dimostrano che c’è ancora tanto da imparare. In generale, non stiamo reagendo come dovremmo alla proliferazione degli attacchi.

Prevenire è meglio che curare, come difendersi dai ransomware

Rimandare fa parte della natura umana. Tuttavia, sarebbe meglio investire nella preparazione piuttosto che nella gestione della crisi a posteriori. Secondo uno studio di Vectra AI, i team di sicurezza hanno un alto livello di fiducia nell’efficacia delle misure di sicurezza della propria azienda. Inoltre riferiscono di avere una visibilità buona o molto buona degli attacchi che eludono le difese perimetrali come i firewall.

Nessuna applicazione è invulnerabile

In realtà, sappiamo che nessuna applicazione, rete o data center è invulnerabile. Se i dirigenti di un’organizzazione nutrono un falso senso di sicurezza sulla propria capacità di difendersi dagli hacker, è probabile che non dispongano degli strumenti necessari per avere successo.

L’attacco a Kaseya

L’attacco a Kaseya ci ricorda che questo atteggiamento può portare a lungo andare a dover pagare un prezzo molto alto. Dato che il rischio di danni non è più limitato alle grandi aziende, che hanno grandi disponibilità di risorse finanziarie, l’incidente dovrebbe far sì che in molti dipartimenti IT si torni a discutere di sicurezza. È necessario un nuovo controllo degli abbonamenti SaaS e delle policy di sicurezza dei fornitori di servizi gestiti. Quando l’azienda si affida a prodotti come Kaseya VSA, la sicurezza è pari a quella del fornitore. Man mano che le aziende si affidano a soluzioni di archiviazione dei dati e soluzioni SaaS in outsourcing nel cloud, le vulnerabilità possono aumentare.

Difendersi da un grave attacco ransomware

Ogni volta che sentiamo parlare di un grave attacco ransomware, sappiamo ormai che ci vorranno mesi per scoprire l’entità del danno. Tuttavia, dovremmo essere ottimisti sul fatto di riuscire a ribaltare la situazione. Per anni abbiamo compreso le virtù di un solido monitoraggio della rete e di un rapido rilevamento delle inevitabili violazioni. I leader aziendali di tutto il mondo ora devono rispondere agli attacchi ransomware accelerando la migrazione verso una strategia di sicurezza informatica più efficace. L’attacco a Kaseya potrebbe un giorno essere ricordato come un punto di svolta che ha finalmente portato a una migliore postura di sicurezza. Se mai dovesse accadere, gli hacker ci avranno fatto un favore inestimabile e involontario.

Dalla prevenzione al rilevamento

Data l’attuale strategia del ransomware, un sistema di protezione moderno deve concentrarsi sulla fase di manifestazione della minaccia, dal rilevamento dei segnali di comando e controllo all’identificazione delle credenziali utilizzate o abusate. È una corsa contro il tempo per trovare ed espellere il ransomware prima che esfiltri i dati e distrugga l’organizzazione.

Come difendersi dai ransomware: prevenire è meglio che curare

I controlli preventivi sono fondamentali, ma da soli non bastano più. Oltre a tenere lontani gli autori di malware, ora è necessario avere una visibilità completa degli ambienti e integrare funzionalità avanzate di rilevamento e risposta per mitigare le minacce che stanno già eludendo i controlli esistenti. Con la giusta configurazione, la tecnologia Network Detection and Response (NDR) può fornire una protezione efficace contro gli attacchi ransomware. Vectra AI offre un software innovativo ed efficace, che rileva e combatte le minacce digitali in una fase precoce. Sfruttando l’apprendimento automatico per individuare comportamenti sospetti, avvisare gli utenti e proteggere efficacemente aziende e privati da attività fraudolente.