Gli attacchi ransomware stanno diventando talmente comuni che i responsabili della sicurezza e ogni team sostiene di avere la soluzione giusta per affrontare l’intrusione. Ma come ci spiega Scott McKinnon, Field CISO di VMware EMEA, il primo passo è sempre ripristinare rapidamente l’ordine. La notizia di una violazione di alto livello si propaga infatti velocemente, impattando sulla reputazione aziendale. VMware ci spiega quindi quali passi compiere per rispondere dopo un attacco.
Ransomware, VMware spiega come ripartire dopo un attacco
“I piani di recovery in caso di ransomware spesso mancano di procedure chiare, di prove di un’accurata pianificazione preventiva e di una valutazione dei sistemi veramente critici per l’azienda” spiega Scott McKinnon, Field CISO di VMware EMEA.
Il ransomware diventa un problema sempre più presente nei pensieri di si occupa di sicurezza, anche perché colpisce una vittima ogni undici secondi.
NordVPN – 56% di sconto sul piano annuale + 3 mesi gratis. Miglior servizio VPN in Italia.
L’importanza di un piano strategico
Le organizzazioni che si aspettano di subire una violazione sono solitamente le più pronte a fronteggiarla. Per questo motivo, è fondamentale elaborare un efficace recovery plan in caso di ransomware che preveda i possibili “pain point” futuri.
Questi piani devono considerare lo scenario più critico, cioè il “tutto bloccato”, per poter fare la differenza. In questo modo, si possono anticipare le principali difficoltà che rallentano il recovery quando il ransomware prende il sopravvento. Valutando preventivamente il rischio, un’organizzazione potrà ripristinare le sue funzioni molto più velocemente.
Ogni componente del team di sicurezza ha un compito specifico, ma dopo una violazione questi compiti possono diventare ambigui e causare dannose incomprensioni. Quando si sviluppa un piano nuovo e più efficace, è essenziale definire chiaramente le responsabilità dei team e dei singoli individui. La capacità di “mobilitare” le risorse in modo efficiente, sia online che offline, consente di guadagnare minuti preziosi nella fase di detection e response.
Per VMware, l’automazione può aiutare di pagare i riscatti del ransomware
Di fronte alla minaccia di un attacco ransomware da parte di hacker malintenzionati, le imprese potrebbero essere tentate di pagare il riscatto per riprendere il controllo delle proprie attività. Tuttavia, questa soluzione apparentemente facile potrebbe avere conseguenze negative nel lungo periodo. Infatti, l’anno passato, solo l’8% delle imprese che hanno ceduto al ricatto ha recuperato l’accesso totale ai propri dati. Questo dimostra che pagare non garantisce quasi mai una piena continuità operativa e che le reti potrebbero restare vulnerabili. Inoltre, le imprese che si piegano alle richieste degli hacker potrebbero diventare un obiettivo ricorrente in futuro.
Le organizzazioni farebbero invece meglio a investire in tecnologie di ripristino automatiche per affidarsi alla tecnologia per difendersi. I team che dispongono di una tecnologia avanzata non cadranno nel panico e non verseranno il riscatto. Il recupero automatico che si basa su un flusso di lavoro guidato passo dopo passo è il fulcro di un approccio moderno alla risposta agli attacchi ransomware. Una volta compromessa una parte della rete, il ransomware cercherà di propagarsi e i flussi di lavoro automatici alzeranno le barricate per isolare le reti e prevenire la diffusione laterale e la reinfezione.
Il recupero automatico non solo consente di ripristinare i dati in caso di attacco informatico, ma
anche di prevenire errori umani e decisioni precipitose che possono portare a crisi, come danni
irreparabili alla reputazione. La reputazione di un’azienda dipende dalla fiducia che il pubblico
riposa nella sua competenza. In alcuni casi, quando si verifica un incidente particolarmente grave
e di grande rilevanza, è opportuno rendere pubblici i risultati di un’indagine interna. Per gli
stakeholder dell’azienda, diretti o indiretti, la trasparenza è essenziale per conservare la loro
fiducia.
Testare l’integrità dei dati prima di riprendere il controllo
I dati sono come dinamite e, se esplodono, la perdita può essere catastrofica. Il ransomware
blocca i dati in una cassaforte che solo l’hacker può aprire. In alcuni casi, il ransomware è stato
introdotto da attori malintenzionati e nascosto in bella vista per settimane o addirittura mesi,
infiltrandosi nei backup dei dati che alla fine diventano inutili.
Come spiega McKinnon: “La maggior parte degli attacchi ransomware oggi utilizza tecniche “fileless”. Per questo motivo, le organizzazioni devono esaminare attentamente i backup dopo un attacco per proteggere i file non compromessi e prevenire una nuova infezione. La combinazione di approcci tradizionali con il moderno rilevamento automatico garantisce una strategia solida che copre tutte le basi per la protezione delle reti e per stare al passo con il panorama degli attacchi“.
Riflettere sulle lezioni apprese
Il lavoro di squadra è un elemento essenziale per il recupero da un attacco ransomware. Una caratteristica distintiva di un team che raggiunge risultati eccellenti è la capacità di esaminare in modo critico e creativo le strategie per trarre beneficio dagli errori passati e prepararsi al futuro.
Dopo aver contenuto una violazione, è indispensabile riunirsi e condividere le lezioni apprese dall’esperienza. Questo implica la necessità di coinvolgere i team di tutti i dipartimenti per assicurare che il piano di ripristino sia adeguato a tutti e che gli apprendimenti vengano incorporati. Queste sessioni dovrebbero essere pianificate con un’agenda concordata per garantire che l’analisi sia efficace e che le procedure di cybersecurity possano essere ottimizzate di conseguenza. Unendo questo sforzo con ambienti di laboratorio e di test per simulare il ripristino, si garantisce che i team siano ulteriormente pronti a contrastare i malintenzionati.
Nel caso in cui una compromissione riguardi i dati personali, è fondamentale che, in conformità al GDPR, le organizzazioni facciano rapporto all’Information Commissioners Office e informino le persone interessate entro 72 ore dalla violazione.
VMware: l’arma vincente contro il ransomware è la pianificazione
Il ransowmare può avere un impatto enorme sulle aziende. Oltre ai danni per il blocco delle attività, ci sono i rischi reputazionali e a volte persino legali. Per questo, è fondamentale integrare la pianificazione del recovery nelle operations fin dall’inizio, investendo nelle tecnologie più avanzate di rilevamento e risposta e seguendo le migliori pratiche di sicurezza. In questo modo, le organizzazioni potranno affrontare le minacce future con maggiore efficacia. Avere un programma di ripristino solido permetterà ai team di superare la battaglia con qualche graffio, ma con più possibilità di riprendere la normale attività dell’organizzazione.
Trovate maggiori informazioni sul sito di VMware.
- Brando, Giuseppe (Autore)