Wieland Alge, VP e GM EMEA di Barracuda Networks, traccia i retroscena dell’ormai noto attacco WannaCry e ci suggerisce alcune modalità di difesa.
Con l’attacco di WannaCry del maggio scorso è apparso evidente a quali livelli sia arrivata l’epidemia di ransomware. La portata di questo particolare attacco è stata incredibile, avendo colpito centinaia di migliaia di utenti in 150 Paesi. Dal punto di vista della sicurezza, gli attacchi come WannaCry vanno studiati per capire come prevenirli o mitigarli in futuro.
Per minimizzare i danni di un attacco WannaCry è importante proteggere tutto: la trasformazione digitale porta enormi opportunità alle imprese in termini di produttività e di risparmi, ma crea anche nuove superfici esposte agli attacchi e ad attacchi ancora più sofisticati e mirati. La migliore difesa è una difesa proattiva e le organizzazioni devono abbracciare un approccio basato sull’idea di proteggere tuttoper mettersi al riparo da questi moderni attacchi. Per farlo e per proteggersi dalle nuove generazioni di malware “intelligente”, come ad esempio il ransomware, le organizzazioni devono adottare tecniche di ATP (Advanced ThreatProtection) su tutti i possibili vettori di minacce. Un firewall di nuova generazione è indispensabile ma non è sufficiente, esattamente come un gateway per la protezione delle email da solo non è sufficiente. Nel momento in cui le organizzazioni adottano le reti cloud e virtualizzate, è fondamentale garantire la stessa sicurezza e lo stesso livello di controllo degli accessi utilizzati nelle infrastrutture on premise.
Le aziende dovrebbero poi applicare le norme, monitorare ed educare: i comportamenti degli utenti sono spesso l’anello più debole ed è inevitabile che prima o poi qualcuno clicchi dove non dovrebbe. La formazione è una componente critica di una buona strategia di protezione dei dati poiché i malintenzionati sempre di più tentano di sfruttare la “rete umana” nelle loro campagne mirate di phishing e spearphishing.
Inoltre, qualora tutte le altre misure non avessero funzionato, le aziende devono avere un piano per recuperare rapidamente i propri dati. Tipicamente, l’approccio migliore per il ransomware consiste nel definire e implementare un piano di backup e ripristino completo che permetta di recuperare i dati criptati con il minimo sforzo. Una soluzione di sicurezza multilivello e una strategia di protezione dei dati sono componenti critiche dellacybersecurity. Ma mai come ora è importante aiutare colleghi e management a comprendere la natura e i rischi degli attacchi. Tale consapevolezza aiuterà le aziende a proteggersi. Utilizzare sistemi operativi come Windows XP ormai non più supportato, sarebbe complicato in un’azienda consapevole dei rischi.
La sicurezza IT è diventata di estrema importanza per tutte le aziende in tutti i settori. Il crimine organizzato ha già dimostrato di sapere colpire ad ampio spettro e di estorcere denaro a tutte le aziende che ha preso di mira.
Si sa, ad esempio, che ospedali e in generale il mondo della sanità, sono obiettivi molto amati dai cybercriminali, in particolare dai ricattatori. A differenza delle “normali” aziende, non hanno molto tempo a disposizione per decidere se pagare o no, dato che le vite umane non sono negoziabili. I recenti attacchi ransomware saranno probabilmente seguiti da attacchi mirati ai dispositivi medici connessi, rendendo la reazione ancora più difficile. La sicurezza IT è diventata una questione di vita o di morte e gli esperti non esagerano quando dicono che un ospedale moderno dovrebbe avere più firewall che pazienti. Per rimanere protetti nel futuro contro eventuali attacchi ransomware è necessario, prima di tutto,seguire alcuni principi di base: installare gli aggiornamenti, soprattutto per quelle tecnologie che hanno una storia di vulnerabilità. Mantenere attivi gli abbonamenti della soluzione antivirus. Utilizzare i metodi di protezione completa più recenti sui firewall di nuova generazione per evitare le minacce avanzate capaci di eludere i tradizionali scanner antivirus. I sistemi operativi giunti alla fine del loro ciclo dovrebbero essere sostituiti il più presto possibile, mentre quelli non più supportati dovrebbero essere separati o rimossi dalla rete anche se non possono essere immediatamente sostituiti. Non possiamo trascurare l’importanza della vigilanza quando si tratta di email e allegati. L’email è quasi sempre il metodo preferito di attacco. Una persona che apre il messaggio può portare alla contaminazione di tutti i dispositivi vulnerabili presenti sulla rete.
E’ fondamentale inoltre utilizzare un potente gateway per la sicurezza della posta sia on premise sia nel cloud per proteggere gli utenti da questi attacchi, fare quotidianamente il backup di tutti i dati e verificare che il processo di ripristino sia sempre operativo.
