Inotiziari e le riviste sono pieni di storie sugli attacchi ransomware ai danni di elementi critici della nostra vita quotidiana e delle nostre catene di approvvigionamento. Nessuno, infatti, è al sicuro. Che si tratti di un ente pubblico, o di una società privata, l’impatto può influire negativamente sia sull’azienda che sul privato cittadino. Oggi finalmente si inizia a prendere maggiore conoscenza riguardo al problema. I governi e le forze dell’ordine hanno avviato una serie di attività contro il mondo del ransomware che coinvolgono non solo le amministrazioni locali e gli enti governativi, ma anche le aziende tecnologiche.

È iniziata una collaborazione per combattere le bande di criminali informatici limitando la loro capacità di estorcere denaro e prendendo di mira gli individui e le finanze dei ladri organizzati dietro questi crimini. Gli attacchi ransomware si sono evoluti nel tempo e oggi siamo passati ad attacchi ben più strutturati e “letali” che utilizzano “violare, esplorare, estrarre, crittografare, offrire” come nuova modalità operativa.

Purtroppo è probabile che gli elementi “esplora” e “offerta” possano ulteriormente evolversi in futuro, questo perché i dati che gli aggressori stanno acquisendo sono sempre di più un enorme valore economico, sia per gli estorsori che per le aziende. I dati di produzione, ad esempio, o anche le impostazioni e le misure in atto per controllare i processi in un impianto chimico, sono tutti elementi della proprietà intellettuale di un’azienda e quindi un potenziale obiettivo di valore per i criminali informatici. Questo significa che le aziende e le organizzazioni non devono rilassarsi o abbassare la guardia, ma anzi devono iniziare a reagire e prevenire un potenziale attacco. Secondo diversi studi di settore il più grande problema è la difficoltà a rilevare un potenziale attacco, se non quando ormai il danno è avvenuto.

Cosa devono fare quindi le organizzazioni per proteggersi? Prima di tutto è importante capire e conoscere il valore di quello che si ha, in secondo luogo, bisogna capire dove queste informazioni risiedano per poter infine adottare le giuste misure. Il giusto approccio consiste nell’avere visibilità su quanto accade all’interno della propria infrastruttura e velocità nel reagire nel più breve tempo possibile. Sapere dove si trovano i dati sensibili e critici, e chi fa cosa, dove, come e quando è il primo step da soddisfare.

Una volta ottenuta questa visibilità si può intervenire sul controllo degli utenti applicando il principio del minimo privilegio e proteggendo le loro identità, soprattutto dei cosiddetti amministratori di sistema, le cui credenziali rappresentano uno dei maggiori vettori di attacco sfruttato dai cybercriminali. Solo così possiamo limitare la superficie di attacco per i malintenzionati. Una soluzione di Privileged Activity Management (PAM) può consentire di proteggere e al tempo stesso controllare le attività degli utenti privilegiati, i cosiddetti “passpartout” per accedere a tutte le risorse aziendali. Infine, bisogna reagire nel più breve tempo ogni qualvolta un utente ha un comportamento anomalo e ogni qualvolta un parametro di configurazione di un nostro asset (server, client, apparato di rete…) cambia.

Per quanto riguarda Dati e Utenti ci vengono in soccorso soluzioni di Audit e Data Governance, per l’infrastruttura, invece, è utile una soluzione di File Integrity Monitoring (FIM) e Configuration Management che permettono di accorgersi in real time di qualsiasi cambiamento che potrebbe avvenire alle configurazioni dei nostri sistemi. Le aziende sono in competizione con i criminali informatici come accade in un gran premio di formula 1, per vincere abbiamo bisogno di tecnologia, di strategia, di un buon pilota ma soprattutto ricordandoci che il più veloce se non commette errori alla fine vince sempre!

Info: www.netwrix.it