Cinque passaggi per fermare un attacco ransomware quando ogni minuto è decisivo – Parte 2
Il ransomware colpisce rapidamente, lasciando alle vittime solo pochi minuti per contenere la minaccia prima di subire gravi danni. Fortunatamente, è possibile intraprendere fin da subito alcune azioni per prepararsi e ridurre al minimo i danni di un attacco.
Nella prima parte, abbiamo spiegato come prepararsi a un attacco ransomware scoprendo e isolando prima i dati esposti dell’azienda, poi aumentando la visibilità e la comprensione dell’infrastruttura on-premise e cloud. Concludiamo con due passaggi per proteggere i dati aziendali dagli aggressori.
Passaggio 4 – Osservare i segni di movimento laterale
Il movimento di un attore di minacce all’interno di un sistema alla ricerca di risorse preziose da sottrarre, modificare o eliminare è un chiaro segno di attacco. Gli aggressori possono spostarsi nella rete per trovare il punto in cui l’infezione causerà più interruzioni. Per individuare questa attività, un’organizzazione deve sapere come si comportano tutti gli account della propria rete, in modo che ogni attività insolita faccia scattare un’allerta.
Occorre identificare tutti gli account della rete e registrare la loro attività abituale. Tali informazioni possono includere il computer da cui si accede solitamente all’account, l’orario usuale di attività e i file a cui normalmente l’utente ha accesso. Con questi dati, i team di sicurezza possono rispondere a qualsiasi evento insolito.
Passaggio 5 – Usa difesa a più livelli
Gli attori di minacce utilizzano metodi più sofisticati per evitare il rilevamento standard. Spesso sanno quali organizzazioni vogliono attaccare e adottano un approccio in più fasi per garantire che il loro attacco abbia le migliori possibilità di successo.
Gli aggressori possono inserire un codice semplice e non rilevabile in un sistema IT per eseguire il riconoscimento. Queste informazioni vengono inviate al centro di comando e controllo dell’aggressore, che invia lo script al sistema della vittima per disattivare le misure di sicurezza.
L’antivirus può impedire solo attacchi noti, quindi gli aggressori sviluppano un nuovo codice per evitare il rilevamento. Le aziende devono creare difese a più livelli, in grado di rilevare quei comportamenti anomali all’interno della rete che potrebbero indicare la presenza di malware. L’apprendimento automatico può calcolare i cambiamenti del comportamento e arrestare rapidamente l’attività.
Una volta rilevato il ransomware, è necessario impedirne la diffusione. Se il ransomware è attualmente limitato a un computer, si deve rimuovere il computer infetto dalla rete. Dopo che il computer è stato isolato, un team di sicurezza può rimuovere il malware.
Il vecchio detto “chi non si prepara, si prepara a fallire” non è mai stato così vero nel caso del ransomware. Spesso, si tratta di stabilire se si dispone della tecnologia e dei processi adeguati.