Come ridurre le possibilità di subire un attacco Ransomware

Pubblicato da frtg il

Con l’esperienza specialistica maturata nel settore della Cybersecurity abbiamo identificato alcuni aspetti spesso sottovalutati che, se trattati e gestiti correttamente, permetterebbero alle aziende di ridurre sensibilmente il rischio di attacchi Ransomware.

1. Falso mito “Nessuno interessato ad attaccarmi!”

All’interno delle Aziende si crede erroneamente di non essere appetibili dal punto di vista dei cyber-criminali, si sente ripetere “chi vuole attaccarci? per quale interesse?”.
Questa mentalità porta ad una falsa percezione di sicurezza dei sistemi aziendali.

La maggior parte degli attacchi informatici sono di tipo “opportunistico”. I cyber-criminali utilizzano nuovi malware e vulnerabilità per compromettere il più ampio numero di sistemi informatici, valutando solo al momento del riscatto la reale entità e dimensioni dell’Azienda target.

Intervento:

Promuovere una cultura della sicurezza con un approccio preventivo, evitando di dover gestire situazioni di crisi che possano mettere in difficoltà l’operatività dell’Azienda.

2. Server esposti

Quando si espone un servizio (SSH, SMB, RDP, VPN, ecc..) su rete pubblica è necessario assicurarsi che questo sia sempre aggiornato e che le eventuali vulnerabilità associate vengano risolte immediatamente. L’esecuzione di Vulnerability Assessment periodici permette di individuare nuove vulnerabilità.
Uno dei casi più eclatanti di mancato aggiornamento di sicurezza è relativo alla vulnerabilità del servizio SMBv1 che ha permesso al Ransomware WannaCry di diffondersi e propagarsi su rete pubblica senza alcun controllo.

Intervento:

Mantenere aggiornato il sistema operativo e i servizi esposti, è possibile farlo con l’esecuzione di Vulnerability Assessment schedulati. L’utilizzo di porte non standard potrebbe mettere al riparo il server da eventuali attacchi massivi e automatizzati che mirano allo sfruttamento di una specifica vulnerabilità.
Segregare i sistemi e monitorare il traffico di rete fra ciò che è esposto su rete pubblica e LAN interne.

3. Policy di sicurezza del Mail Server

Seppur il numero di sistemi vulnerabili su rete pubblica sia enorme, i cyber-criminali preferiscono spesso l’utilizzo delle e-mail come vettore di compromissione iniziale.
Questo si traduce nell’invio massivo di e-mail malevole nei confronti delle aziende di tutto il mondo.

Intervento:

Rivedere le policy di sicurezza applicate dal sistema di posta (Office365, Exchance, ecc..) per impedire che file con estensione potenzialmente sospette (“.ace”, “.exe”, “.iso”, ecc..) possano arrivare alla casella di posta degli utenti.

4. Segmentazione

Uno degli obiettivi di chi si occupa di sicurezza è quello di non permettere che un singolo anello della catena possa impattare sulla sicurezza di tutto il sistema. Per questo motivo avere una LAN aziendale segmentata permette di ridurre gli impatti derivanti dalla compromissione di un singolo sistema.

Intervento:

Utilizzare un approccio Zero-Trust per ridurre gli accessi dei sistemi al resto delle reti aziendali, monitorando e gestendo eventuali anomalie di sicurezza.