Come combattere il ransomware con la visibilità
Il ransomware continua a dilagare. È un crimine che trascende i confini aziendali, governativi e geografici. Ha avuto un impatto devastante sull’industria sanitaria durante la pandemia di Covid come dimostrano le 560 strutture sanitarie colpite da ransomware nel 2020 solo negli Stati Uniti. In particolare, nel settore sanitario ha causato non solo milioni di dollari in attività di recupero, ma anche ritardi nel trattamento dei pazienti fino ad arrivare per alcuni di loro alla morte.
Per difendersi, le organizzazioni stanno iniziando a concentrarsi sugli ulteriori livelli di sicurezza che possono mettere in atto per combattere questo tipo di attacchi. La maggior parte di esse inizia dal mettere in sicurezza le email, implementando gateway di posta elettronica sicuri (SEG), ma un attaccante troverà sempre il modo di inviare un link o un file in grado di evadere questi controlli: occorre quindi considerare i vettori di attacco in modo olistico.
Una maggiore complessità aumenta la superficie di attacco
Il modo in cui si affronta il ransomware sta evolvendo, perché anche gli stessi utenti stanno evolvendo. I dispositivi che utilizziamo ogni giorno sono BYOD e i nostri dati non si trovano più su un server fisico, collocato in un data center on-premise, a cui possiamo accedere fisicamente. Per la maggior parte, si trovano da qualche parte nel mondo, su macchine gestite e mantenute da un’altra società.
Molti team IT hanno abbassato la guardia proprio per questo motivo. Partono dall’assunzione che se il loro cloud pubblico viene crittografato, qualcun altro interverrà in caso di problemi e risolverà magicamente il problema. Se il provider cloud può ripristinare tutti i file a una versione precedente, non sussistono grossi problemi. In alcuni casi, e con alcuni provider, ciò potrebbe anche essere possibile, ma in molti altri casi non lo è.
Quando parliamo di ransomware, i fattori di rischio richiedono un approccio proattivo, sia nella fase di prevenzione che di recovery, nell’eventualità che possa accadere il peggio. Un clic sbagliato di un utente può davvero causare lo spegnimento di un’intera rete.
Da un punto vista dell’attaccante, infatti, è necessario un solo clic per mettere a rischio un’intera azienda. Le persone commetteranno errori, anche persone estremamente preparate, ben istruite ed esperte di sicurezza. Quindi, se non avremo mai ambienti protetti al 100%, come ci comporteremo quando si verificherà quel clic sbagliato?
Ci sono due aspetti da considerare quando si tratta di prepararsi a un attacco ransomware:
- Se i tuoi dati vengono crittografati (o vengono persi o finiscono offline), devi essere in grado di ripristinare i tuoi sistemi il più rapidamente possibile
- Anche dopo che le tue operazioni saranno tornate online, rimane la preoccupazione che un utente malintenzionato possa aver esfiltrato dati sensibili o privati.
L’evoluzione verso i sistemi di ripristino basati su cloud
Il processo di recupero è spesso l’ultimo aspetto a cui si presta attenzione. Il disaster recovery e la business continuity (DRBC) rappresentano probabilmente il passaggio più difficile da risolvere e, spesso, il più ignorato. Ma se la tua organizzazione opera nel settore sanitario o fa parte di infrastrutture critiche come i servizi pubblici, le interruzioni del servizio possono avere conseguenze mortali. Garantire la continuità aziendale implica la possibilità di continuare a lavorare per salvare vite umane, il che significa che il tempo di recupero immediato è molto importante.
In passato, occorreva recuperare i nastri da un archivio fuori sede per ripristinare i sistemi, e ciò poteva richiedere giorni. Fino ad alcuni anni fa, molte aziende disponevano di sistemi di backup all’interno di un data center in hosting, il che consentiva di eseguire il ripristino da un altro server replicando i dati attraverso la catena di sicurezza. Era molto più veloce dei backup su nastro, ma presentava ancora dei limiti. Oggi, le soluzioni ospitate nel cloud rendono le cose molto più semplici perché fanno uno snapshot (“un’instantanea”) in tempo reale dei tuoi dati. Per questo motivo, l’archiviazione nel cloud rende il DRBC molto più veloce delle soluzioni legacy che sono ancora bloccate in server e appliance fisici.
Per stare al passo con i ransomware, le aziende devono passare a una strategia DRBC basata su cloud di prossima generazione. Uno dei motivi principali per cui molte organizzazioni non hanno intrapreso ancora questo passaggio fondamentale è che sono preoccupate per la sicurezza di quegli ambienti cloud.
Un recente studio, Cloud Security Alliance (CSA), ha mostrato che la sicurezza rimane una delle principali preoccupazioni quando si tratta di adozione del cloud per il 58% degli intervistati. Ma a questa preoccupazione si affianca il rischio dovuto all’impossibilità di un ripristino rapido della continuità delle operazioni a seguito di un’interruzione del servizio, sia essa causata da un ransomware, un disastro naturale o qualsiasi altro motivo.
Rispetto a molti dei vecchi approcci basati su storage secondario, il cloud può offrire visibilità e controllo dei dati migliori rispetto ai server in un data center fisico. Il tuo tempo di ripristino può essere molto più rapido e il tempo di ritorno alla normale operatività migliore.
Garantire la visibilità dei dati
Nel settore sanitario non si tratta solo di recuperare l’accesso ai dati, ma anche di capire cos’altro sia successo durante il processo di crittografia. Gli attaccanti hanno danneggiato i dati? È stata violata anche la privacy dei pazienti nel corso dell’attacco? Un recente avviso di sicurezza informatica del governo degli Stati Uniti ha messo in guardia in modo specifico sull’aumento dell’attività ransomware mirata al settore sanitario, in particolare specificando le minacce che provocano sia l’interruzione dei servizi che il furto di dati.
Oltre a una strategia DRBC basata su cloud, il secondo aspetto della preparazione a un attacco ransomware riguarda la creazione di una visibilità completa dei dati, attraverso la classificazione. Devi essere in grado di inventariare tutti i tuoi dati, etichettandoli in base al tipo, alla sensibilità e alla posizione. La visibilità ci aiuta a mettere in atto policy per garantire che le informazioni riservate non lascino mai l’organizzazione e aiuta anche a bloccare l’ingresso di file che violano le policy (come il ransomware) in base alla loro classificazione.
Con il ransomware, non si sa mai se un collegamento o un file ha in qualche modo superato i controlli di sicurezza con mezzi intelligenti per indurre qualcuno ad aprirlo. L’esempio perfetto si ha quando un utente si candida per una posizione lavorativa. Un potenziale “candidato” potrebbe inviare un collegamento Dropbox, Google Drive o OneDrive al proprio curriculum o ad alcuni esempi dei lavori fatti, in risposta a un post delle risorse umane, ma quello che si cela è un ransomware, diretto alla tua organizzazione dalla piattaforma cloud. Il vettore di attacco si è evoluto dal file che deve entrare fisicamente nella rete, all’essere distribuito dall’edge di accesso.
Quando parliamo di ransomware, occorre pensare a come gli utenti aziendali interagiscono con altri utenti esterni o anche interni. Le comunicazioni di lavoro sono andate oltre l’e-mail e si sono evolute verso strumenti di collaborazione dedicati: a volte i dipendenti li usano anche solo per chattare e socializzare. Di conseguenza, questi strumenti sono sempre più spesso utilizzati come vettori di attacco.
Se un utente malintenzionato ritiene che un’organizzazione abbia un’ottima sicurezza della posta elettronica e che tutti i suoi utenti siano ben addestrati per evitare attacchi di phishing basati su e-mail, allora perché non sfruttare un collegamento a una cartella Google Drive o Dropbox in cui si trova il payload e che non deve necessariamente arrivare tramite una e-mail? Può infatti arrivare tramite Slack o WebEx Teams. L’attaccante deve solo essere in grado di ottenere un solo clic su un collegamento per lanciare il proprio malware e avviare il processo di crittografia. Avere una visibilità trasparente e controlli basati su policy in atto può aiutare a prevenire che tutto ciò accada.
SASE e oltre – Zero Trust
Con un’architettura SASE (Secure Access Service Edge) e funzionalità di prevenzione della perdita di dati (DLP), posso proteggere gli utenti all’interno di ciò che conosco: OneDrive o Google Drive o il canale Slack aziendale. Il problema è che non so cosa non conosco.
La maggiore mobilità, le policy BYOD, le applicazioni SaaS e il picco del lavoro remoto hanno reso la protezione dei dati e delle infrastrutture una problematica ancora più complicata, soprattutto negli ultimi 18 mesi. Oggi servono visibilità e controlli basati su policy per evitare che file malevoli vengano scaricati su qualsiasi dispositivo autorizzato a contenere i nostri dati.
Questo è anche il motivo per cui lo Zero Trust, o la fiducia adattiva continua (continuous adaptive trust), diventano un elemento fondamentale. Dobbiamo espandere la visibilità completa della sicurezza oltre i soli dati per avere anche una visione completa di utenti, dispositivi e applicazioni. Questo ci garantisce una maggiore capacità di applicare controlli granulari basati sui ruoli e di ridurre le opportunità per le minacce (incluso il ransomware) di penetrare nella rete. Più conosciamo i nostri ambienti di rete estesi, meglio possiamo proteggere i nostri utenti, dispositivi, applicazioni e dati dalle interruzioni.
A cura di Damian Chung, Business Information Security Officer di Netskope