Alle aziende che hanno subito un attacco ransomware Cristian Meloni, Country Manager di Rubri , propone un approccio olistico elencando alcuni step per ripartire.
Tra le più temute minacce informatiche c’è sicuramente il ransomware. Perdere i propri dati o trovarsi con i dispositivi bloccati rappresenta un incubo per tutte le aziende. Nessuna organizzazione, grande o piccola, può sottovalutare questa minaccia e deve impegnarsi per proteggere al meglio i propri dati. Un approccio olistico alla sicurezza parte dal presupposto peggiore, ossia che si verrà sicuramente attaccati e che è quindi necessario avere un piano per recuperare il più velocemente possibile la situazione.
Fase 1: Prepararsi e prevenire
- Proteggere i dati sensibili: è fondamentale evitare di tenere i dati più preziosi in luoghi facilmente attaccabili. Meno i dati sono esposti e più sarà difficile per gli hacker attaccarli e potenzialmente rubarli.
- Non si può proteggere ciò che non si vede. Esistono applicazioni, anche in modalità SaaS, che applicano il machine learning alla classificazione automatica dei dati sensibili, PII (Personally Identifiable Information), PHI (Product Health Information) e PCI. I dati classificati possono essere utilizzati per proteggere le informazioni sensibili.
- Creare un team di risposta rapida con skill diverse e un approccio olistico. È necessario un esperto per ogni ambito specifico: Network, Storage, Sicurezza, Business Continuity, Management e PR. È importante sottolineare che ogni business è unico e il team di risposta deve adattarsi ad esso e alle diverse esigenze.
- Prevedere corsi di formazione per il team di risposta rapida. Eseguire frequentemente simulazioni e verificare il loro grado di preparazione in vista di possibili breach.
- Rubrik ha elaborato un “tabletop” che rappresenta un buon punto di partenza, e in cui è possibile simulare diversi scenari d’attacco.
- In molte aziende sono obbligatori dei test annuali, ma possono anche essere previsti dei test più informali ogni trimestre in modo da mantenere il team aggiornato.
Fase 2: Recuperare i dati dopo l’attacco
- Niente panico! La calma è la virtù dei forti. La formazione e il team di risposta rapida servono proprio per questi momenti.
- Avvisare le parti interessate e attivare il team di risposta rapida.
- Una lettura consigliata è quella di “The No More Ramsom Project”, un progetto cross-vendor dove vengono pubblicati gli strumenti di decodifica per attacchi ransomware.
- Indagare come gli hacker siano entrati nel sistema (phishing, hacking, vulnerabilità su internet, ecc.), e successivamente mettere al sicuro la breccia che è stata utilizzata.
- Rubrik Polaris Radar identifica rapidamente quali file sono stati colpiti e dove si trovano, attraverso visualizzazioni semplici e intuitive. Utilizzando l’interfaccia utente, è possibile sfogliare l’intera gerarchia di cartelle tramite funzionalità drill-down per indagare su ciò che è stato aggiunto, cancellato o modificato a livello di file.
- Con le informazioni dell’attacco individuate da Radar, il team di risposta deve comprendere come gli hacker siano entrati nel sistema e trovare l’entry point.
- Ingaggiare un team investigativo (molte organizzazioni si affidano a managed service provider esterni con capacità forensi).
- Una volta che la breccia è stata chiusa, la priorità numero uno è quella di far funzionare il business come succedeva prima dell’attacco. Poter contare su backup immutabili, che non possono essere attaccati né corrotti, rappresenta una solida base di partenza.
- Ripristinare i file con un solo click per minimizzare il downtime del business. È importante, per accelerare la ripresa dei lavori, non ripristinare l’intero sistema, ma solo i file compromessi.
- Segnalare l’attacco alle forze dell’ordine, ai clienti, o eventualmente alle autorità preposte a ciò – che possono variare in base al settore in cui si opera.
Fase 3: Rimettere al sicuro l’ambiente
- Una volta che si è stati attaccati, c’è un’alta probabilità che l’organizzazione venga presa nuovamente di mira da cybercriminali con obiettivi simili.
- Imparare dalle lezioni apprese dalle indagini forensi e interne.
- Assicurare che gli hacker non rientrino. Chiudere le vulnerabilità della soluzione di sicurezza.
- Sfruttare le informazioni rilevate nel corso delle analisi – quali file sono stati attaccati, con che risultato, come sono stati ripristinati e in che modo – per identificare e proteggere i dati più preziosi senza compromettere il business.