Il solo pensiero del ransomware è sufficiente per tenere svegli i CISO e i team di sicurezza di notte. Le vittime sono prese in una terribile scelta tra il pagamento di un riscatto a un criminale che può o meno rilasciare la propria rete e i dati acquisiti, o potenzialmente spendere milioni di dollari per rimuovere il ransomware da solo. Secondo un recente rapporto, il costo di un singolo incidente di ransomware è in media di circa $ 713.000 quando si calcola i costi del pagamento del riscatto insieme a perdite correlate, come i tempi di inattività, il valore di eventuali dati o hardware persi, le spese per migliorare il proprio infrastruttura e il tempo e il denaro necessari per riparare l'immagine del marchio. Questo numero può anche aumentare esponenzialmente più a lungo che i sistemi critici rimangono offline.
In un recente attacco di quest'anno, ad esempio, gli aggressori hanno richiesto un pagamento di 13 Bitcoin (oltre $ 75.000) per ogni computer interessato dall'attacco in modo che gli utenti potessero riguadagnare l'accesso ai propri file - molto al di sopra della normale richiesta di riscatto, che in precedenza era poco meno di $ 13.000.
Ecco quindi 10 passaggi fondamentali che ogni organizzazione deve considerare come parte della propria strategia anti-ransomware:
Mappa la tua superficie di attacco. Non puoi proteggere ciò che non sai che deve essere protetto. Inizia identificando tutti i sistemi, i dispositivi e i servizi nel tuo ambiente su cui ti affidi per condurre gli affari e mantenere un inventario attivo. Questo processo non solo ti aiuta a identificare i tuoi target più vulnerabili, ma dovrebbe anche aiutarti a mappare la linea di base del tuo sistema per il recupero.
Patch e aggiornamento dei dispositivi vulnerabili. Stabilire e mantenere un protocollo di patch e aggiornamento regolare è solo una buona pratica di base. Sfortunatamente, troppe organizzazioni semplicemente non lo fanno. Ovviamente, non tutti i sistemi possono essere messi offline per patch di aggiornamento. In tal caso, devono essere sostituiti (ove possibile) o protetti utilizzando rigorosi controlli di prossimità e una sorta di strategia di isolamento o di fiducia zero.
Aggiorna i tuoi sistemi di sicurezza. Oltre ad aggiornare i tuoi dispositivi di rete, devi anche assicurarti che tutte le tue soluzioni di sicurezza eseguano i loro ultimi aggiornamenti. Ciò è particolarmente cruciale per la soluzione SEG (Secure Email Gateway). La maggior parte dei ransomware entra in un'organizzazione tramite e-mail e una soluzione SEG dovrebbe essere in grado di identificare e rimuovere allegati e collegamenti dannosi prima che vengano consegnati al loro destinatario. Allo stesso modo, un'efficace soluzione di filtro web che sfrutta l'apprendimento automatico dovrebbe essere in grado di bloccare efficacemente gli attacchi di phishing. Inoltre, la tua strategia di sicurezza deve includere elementi come le whitelist delle applicazioni, la mappatura e la limitazione dei privilegi, l'implementazione della fiducia zero tra i sistemi critici, l'applicazione di criteri di password complesse e la richiesta dell'autenticazione a più fattori.
Segmenta la tua rete. La segmentazione della rete garantisce che i sistemi e i malware compromessi siano contenuti in un segmento specifico della rete. Ciò include l'isolamento della proprietà intellettuale e il sequestro delle informazioni di identificazione personale di dipendenti e clienti. Allo stesso modo, mantenere i servizi critici (come i servizi di emergenza o le risorse fisiche come i sistemi HVAC) su una rete separata e separata.
Proteggi la tua rete estesa. Assicurati che le soluzioni di sicurezza implementate sulla tua rete centrale siano replicate nella tua rete estesa - comprese le reti tecnologiche operative (OT), gli ambienti cloud e le filiali - per evitare lacune nella sicurezza. Inoltre, prenditi del tempo per esaminare le connessioni di altre organizzazioni (clienti, partner, fornitori) che toccano la tua rete. Accertarsi che tali connessioni siano rafforzate e che siano presenti la protezione e il filtro appropriati. Successivamente, avvisa quei partner di eventuali problemi che potresti scoprire, in particolare relativi alla possibilità che i contenuti dannosi vengano condivisi o diffusi attraverso tali connessioni.
Isolare i sistemi di recupero e eseguire il backup dei dati. È necessario eseguire regolarmente backup di dati e di sistema e, altrettanto criticamente, archiviare quei backup fuori rete in modo che non vengano compromessi in caso di violazione. Le organizzazioni dovrebbero inoltre eseguire la scansione di tali backup alla ricerca di malware. È inoltre necessario assicurarsi che tutti i sistemi, i dispositivi e i software necessari per un ripristino completo del sistema siano isolati dalla rete in modo che siano completamente disponibili nel caso in cui sia necessario ripristinare un attacco riuscito.
Esegui test di recupero. Esercitazioni periodiche di recupero assicurano che i dati di cui è stato eseguito il backup siano prontamente disponibili, che tutte le risorse necessarie possano essere ripristinate e che tutti i sistemi funzionino come previsto. Assicura inoltre che siano in atto catene di comando e che tutti gli individui e i team comprendano le proprie responsabilità. Eventuali problemi sollevati durante un'esercitazione devono essere risolti e documentati.
Sfrutta esperti esterni. Stabilisci un elenco di esperti e consulenti di fiducia che possono essere contattati in caso di compromesso per assisterti nel processo di recupero. Quando possibile, dovresti anche coinvolgerli nelle tue esercitazioni di recupero. NOTA: le organizzazioni devono inoltre segnalare immediatamente qualsiasi evento ransomware al CISA, a un ufficio locale dell'FBI o a un ufficio dei servizi segret.
Presta attenzione agli eventi ransomware. Tieniti aggiornato sulle ultime notizie sui ransomware iscrivendoti a intelligence sulle minacce e feed di notizie, prendi l'abitudine per il tuo team di imparare come e perché i sistemi sono stati compromessi e quindi applicare tali lezioni al tuo ambiente.
Educare i dipendenti. Invece di essere l'anello più debole della tua catena di sicurezza, i tuoi dipendenti devono essere la tua prima linea di difesa informatica. Poiché il ransomware di solito inizia con una campagna di phishing, è indispensabile educarli alle ultime tattiche che i criminali informatici stanno utilizzando per ingannarli, sia che si rivolgano a dispositivi aziendali, personali o mobili. Oltre al tipo di periodiche revisioni annuali sulla sicurezza, alla maggior parte dei dipendenti è richiesto di partecipare, prendere in considerazione una cadenza regolare di campagne di sensibilizzazione. Aggiornamenti video rapidi da 30 a 60 secondi, giochi di simulazione di phishing, messaggi e-mail dello staff esecutivo e poster informativi aiutano a mantenere la consapevolezza. Inoltre, l'esecuzione di campagne di phishing interne può aiutare a identificare i dipendenti che potrebbero aver bisogno di ulteriore formazione.
Quando si tratta di criminalità informatica, siamo tutti insieme. Assicurati di avere incontri regolari con colleghi del settore, consulenti e partner commerciali, in particolare quelli essenziali per le tue operazioni aziendali, per condividere queste strategie e incoraggiarne l'adozione. Ciò non solo garantirà che non diffondano l'infezione ransomware a monte o a valle, creando responsabilità per loro stessi e per voi, ma aiuterà anche a proteggere la vostra organizzazione, poiché qualsiasi interruzione della loro rete avrà probabilmente un impatto a cascata sulla vostra attività.