8 pratiche comprovate per proteggere contro il ransomware

Oggi, il ransomware è la minaccia più diffusa che le organizzazioni di diverse dimensioni e in ogni settore devono affrontare. Infatti, si stima che i danni causati dagli attacchi di ransomware abbiano superato i 20 miliardi di dollari a livello globale nel 2021 e si prevede che questa cifra raggiungerà i 265 miliardi di dollari entro il 2031.

A ransomware infection can lead to data loss, financial and reputational damage or even the complete shutdown of an organization. However, all is not as grim as it seems. There are ways to minimize the chances of a successful attack and, more importantly, to recover smoothly after ransomware when a ransomware infection does hit your systems.

Questo post elenca e spiega le 8 migliori pratiche comprovate che aiutano a garantire la protezione contro le infezioni da ransomware e a ridurre il rischio di violazioni informatiche.

Cosa significa Protezione dal Ransomware?

La protezione dal ransomware di solito copre tutti i passaggi che le organizzazioni intraprendono per prevenire che il ransomware causi danni duraturi alle loro infrastrutture IT e al loro bilancio. Un piano anti-ransomware completo dovrebbe includere misure di protezione, attività di monitoraggio e strategie di recupero.

• Misure di prevenzione del ransomware

Difendersi dal ransomware dovrebbe essere l’obiettivo principale di un’organizzazione. È meglio dissuadere un attacco di ransomware piuttosto che cercare di mitigarne l’impatto o tentare di recuperare i dati infetti. Implementando le pratiche necessarie e utilizzando gli strumenti giusti, è possibile minimizzare le possibilità che il ransomware infiltri i vostri sistemi e le conseguenze di una tale violazione.

• Misure di rilevamento del ransomware

Monitorare il tuo ambiente contro malware e ransomware è essenziale per una scoperta precoce. Più presto identifichi una violazione, più alta è la tua possibilità di fermarla. Ci sono diversi strumenti di rilevamento e le migliori pratiche che puoi implementare per proteggerti dai ransomware.

• Misure di ripristino ransomware

Nel caso in cui un attacco ransomware violi le tue difese, può crittografare o bloccare i tuoi dati e interrompere successivamente le normali operazioni aziendali. Numerose misure di ripristino ransomware ti consentono di ridurre al minimo la perdita di dati e i tempi di inattività con un rapido ripristino dei tuoi carichi di lavoro. Tieni presente che questo processo potrebbe essere difficile e lungo, quindi dovresti applicare le pratiche preventive elencate di seguito.

Pratiche migliori per la protezione ransomware

L’approccio ottimale alla protezione ransomware prevede una strategia multi-livello. Questo modello include la formazione del personale, la protezione degli endpoint, l’implementazione delle tecnologie necessarie, lo sviluppo di un piano completo di risposta agli incidenti e altro ancora.

1. Forma i tuoi dipendenti

Oggi, il 95% dei problemi di sicurezza informatica può essere ricondotto a errori umani e il 43% di tutte le violazioni sono minacce provenienti da all’interno di un’organizzazione, che siano maliziose o accidentali. Un singolo dispositivo può essere il punto di partenza di un attacco su larga scala aziendale.

Detto ciò, si raccomanda di educare i dipendenti sulla cyber igiene non appena li assumete. Inoltre, dovreste condurre sessioni di formazione periodiche per assicurarsi che gli utenti siano continuamente consapevoli delle ultime minacce e che stiano attuando le direttive richieste.

Le seguenti pratiche sono essenziali per fornire protezione contro il ransomware e ridurre gli incidenti causati da errori umani:

• Non aprire email provenienti da fonti sospette o fare clic su allegati dubbi.
• Non fare clic su banner pubblicitari o collegamenti non sicuri trovati su siti web sconosciuti.
• Utilizzare password forti, cambiarle frequentemente e non utilizzare la stessa password per account diversi.
• Abilitare l’autenticazione a due fattori.
• Non condividere le tue informazioni personali o conservarle in un luogo facilmente accessibile.
• Non inserire una chiavetta USB sconosciuta.
• Evitare di utilizzare reti Wi-Fi pubbliche.
• Seguire la politica di sicurezza della tua organizzazione e segnalare rapidamente le attività malevole.
• Fornire ulteriori informazioni ai tuoi dipendenti su soluzioni manuali e software che possono aiutare a sbarazzarsi del malware.

2. Implementare la segmentazione della rete

Il miglior modo per proteggere la tua rete e difendersi dal ransomware è implementare la segmentazione di rete. Questo è particolarmente importante negli ambienti cloud e ibridi. Collegare correttamente diversi subnet e router può limitare la diffusione di un’infezione da malware in tutta l’organizzazione se un dispositivo viene compromesso.

Valuta l’utilizzo dello standard IEEE 802.1X con metodi di autenticazione supportati e configurare il controllo degli accessi a una rete. In questo modo, è necessario un certificato firmato e credenziali valide per connettersi a una rete per superare l’autenticazione e stabilire una connessione criptata. Ci sono tre componenti principali nell’architettura: un client, un autenticatore e un server di autenticazione. Un server RADIUS e uno switch compatibile con 802.1X sono necessari per riconoscere un utente per una connessione Ethernet cablata. 802.1X può essere utilizzato per reti cablate e Wi-Fi.

Inoltre, dovresti eseguire test di penetrazione di rete se possibile poiché ti aiuta a rilevare vulnerabilità che possono essere utilizzate per accedere alla tua rete. Risolvi i problemi trovati per proteggerti dal ransomware e prevenire potenziali attacchi.

3. Configura router e impostazioni di porta

I router configurati in modo improprio possono essere utilizzati come vettore d’attacco poiché i criminali informatici scansionano continuamente le reti alla ricerca di una porta aperta che possono sfruttare. Bloccare l’accesso alle porte inutilizzate e cambiare i numeri di porta standard in numeri personalizzati può aiutarti a proteggerti dal ransomware.

Puoi anche configurare il filtraggio degli URL e l’annuncio bloccando su router che forniscono accesso a Internet per gli utenti nella tua organizzazione. Il software moderno può aggiungere automaticamente siti noti per essere malevoli ai filtri di contenuto per mantenere il sistema di filtraggio degli URL aggiornato.

4. Impiega tecnologie di protezione di base e avanzate

La maggior parte dei vari tipi di ransomware sono ben noti e possono essere rilevati utilizzando strumenti di sicurezza di base. Tuttavia, nuovi tipi di malware vengono scoperti regolarmente e le varianti esistenti stanno diventando sempre più sofisticate, motivo per cui dovresti anche impiegare software di sicurezza avanzato.

La lista seguente include numerose tecnologie di protezione che puoi utilizzare per difenderti dagli attacchi di ransomware.

• Protezione firewall. Questa è la tua prima linea di difesa contro le intrusioni informatiche. Il firewall per applicazioni web monitora e filtra il traffico HTTP verso e dalle web services. Puoi anche configurare il firewall sui router per ridurre il rischio di infiltrazione di ransomware.
• Software antivirus. Nel caso venga rilevata un’attività malevola in Windows o macOS, l’antivirus blocca immediatamente i file sospetti e ti informa. Ricorda che dovresti mantenere aggiornato il tuo software antivirus in modo che possa identificare nuove versioni di ransomware. Alcune soluzioni antivirus possono integrarsi con vShield e vSphere per proteggere le macchine virtuali VMware (VM) in esecuzione su host ESXi.
• Scoperta e Risposta agli Endpoint (EDR). Le moderne soluzioni EDR eseguono un’analisi e intelligence sulle minacce in tempo reale per fornire protezione contro gli attacchi ransomware prima e durante una violazione. È possibile automatizzare i processi di risposta e mitigazione per ridurre al minimo i danni.
• Sicurezza email. Una corretta configurazione dei filtri anti-spam e anti-malware sui server email impedisce agli utenti di ricevere messaggi email con link dannosi o allegati di file (o almeno riduce significativamente tale probabilità). Gli attaccanti di solito condividono link a siti web maligni o allegano documenti Word ed Excel con macro per diffondere un’infezione da ransomware.

Le configurazioni dei filtri dovrebbero essere aggiornate regolarmente utilizzando database di fornitori affidabili come Google e Microsoft. A seconda della tua politica di sicurezza, puoi configurare i filtri anti-malware e anti-spam per visualizzare un messaggio di avviso o eliminare un messaggio prima che raggiunga un utente.

• Sandboxing. Il sandboxing offre uno strato aggiuntivo di sicurezza poiché consente di analizzare un codice o un link in un ambiente isolato su una rete parallela. Se un messaggio sospetto passa attraverso i filtri email, può essere ispezionato e testato prima di raggiungere la tua rete.
• Sistema di Rilevamento delle Intrusioni (IDS). Il IDS è uno strumento avanzato che monitora la tua rete e i sistemi alla ricerca di attività dannose o violazioni di politica. Una volta rilevata una minaccia, il Sistema di Rilevamento delle Intrusioni invia automaticamente una segnalazione agli amministratori della sicurezza in modo che possano adottare le misure necessarie e difendersi dai ransomware.
• Tecnologia della frode. Quando tutto il resto fallisce, la tecnologia della frode può aiutarti a salvare i tuoi dati dal furto o dalla cifratura. Utilizzando questa tecnologia, puoi creare un diversivo che imita i tuoi dati e i server effettivi per ingannare i criminali informatici facendoli pensare che il loro attacco sia riuscito. Ciò ti consente anche di rilevare rapidamente una minaccia prima che causi danni o perdite di dati.
• Strumento di monitoraggio IT. Il monitoraggio dell’infrastruttura IT in tempo reale ti consente di identificare rapidamente una violazione basandoti sulle prestazioni di rete. Un carico di processore sospetto, un’attività disco anomala e un consumo di storage elevato sono chiari indicatori di un’infezione da ransomware.

Considera la configurazione di una trappola (o honey pot) nel caso rilevi comportamenti strani nella tua rete. Una trappola (o trappola) è una tecnologia utilizzata per catturare attività anomale. Si tratta di un insieme di file speciali memorizzati in posizioni non standard su un server. Nel caso in cui questi file vengano accessi, l’amministratore di sistema viene notificato perché ciò non dovrebbe accadere nelle normali operazioni di produzione.

5. Limita le autorizzazioni con la sicurezza del modello a zero fiducia.

Come suggerisce il nome, il modello a zero fiducia significa che dovresti presumere che qualsiasi utente, interno o esterno, che cerca di connettersi alla rete non possa essere considerato attendibile e rappresenti una minaccia potenziale. L’accesso è concesso solo dopo un attento processo di verifica e autenticazione. Questo approccio protegge contro ransomware e violazioni eliminando l’accesso non autorizzato.

Per rafforzare ulteriormente la tua policy di sicurezza, dovresti concedere agli utenti solo i permessi di cui hanno bisogno specificamente per completare il loro lavoro, basandoti sul principio del minor privilegio. Ad esempio, un utente regolare non deve avere le credenziali di un amministratore. È importante notare che devi creare un account dedicato per accedere al repository di backup contenente dati sensibili.

6. Installare patch di sicurezza e mantenere i sistemi aggiornati

Installare patch di sicurezza per sistemi operativi e applicazioni in modo tempestivo riduce le falle e le vulnerabilità che possono essere sfruttate dagli attaccanti. Si consiglia di implementare un programma di gestione delle patch e attivare gli aggiornamenti automatici quando possibile.

7. Elaborare un piano di risposta

È essenziale per ogni organizzazione avere pronto un piano di risposta nel caso in cui l’attacco ransomware abbia avuto successo. Un business continuity and disaster recovery (BCDR) plan non difende contro il ransomware, ma ti aiuta a ridurre i tempi di inattività e a recuperare rapidamente i dati persi.

Assicurati di delineare una serie di azioni che il tuo team dovrebbe eseguire in seguito a una violazione. Queste attività possono includere:

• Disconnettere i dispositivi infetti dalla rete
• Cancellare ransomware e file infetti
• Recuperare i dati utilizzando i backup
• Utilizzare uno strumento di decrittazione se possibile

È importante notare che qualunque cosa tu faccia, non pagare il riscatto! Ogni pagamento incentiva i criminali a lanciare attacchi aggiuntivi e non c’è alcuna garanzia che tu possa recuperare i tuoi dati.

8. Eseguire backup regolari

Se un attacco ransomware infetta la tua rete, puoi comunque recuperare con danni minimi e tempo di inattività utilizzando i backup. Il ripristino dai backup è il metodo più efficace per ripristinare dati e carichi di lavoro corrotti o crittografati.

Ecco alcune delle migliori pratiche che puoi seguire per garantire un ripristino senza intoppi:

• Segui la regola del backup 3-2-1 per eliminare un singolo punto di fallimento e garantire il ripristino dei dati.
• Archivia i backup in uno storage immutabile per proteggerti dalla crittografia e modifica da parte del ransomware.
• Mantieni copie di backup disconnesse dalla rete su nastro e altri dispositivi.
• Esegui la verifica del backup per assicurarti che tutti i dati siano recuperabili.
• Usa un account amministratore dedicato per accedere e gestire i backup.

Conclusione

Il ransomware è una delle minacce più pericolose per le organizzazioni di tutto il mondo. Fortunatamente, le migliori pratiche menzionate in questo post del blog ti permettono di ridurre il rischio di infezione, limitare la perdita di dati e fornire una protezione ottimale contro il ransomware.

Ricorda che in caso di infezione della tua rete, puoi fare affidamento sui tuoi backup per ripristinare i dati crittografati. NAKIVO Backup & Replication offre una completa protezione dei dati da ransomware per vari ambienti. La soluzione include una vasta gamma di strumenti avanzati come backup incrementali, recupero granulare e orchestrazione del recupero di disastro.