Che il cybercrime non si fermi mai, è cosa ormai nota. Un recente studio di Verizon ha descritto le più recenti dinamiche in tema di minacce informatiche, cercando di individuarne tecniche e tendenze riscontrate sul campo. Secondo lo studio, il ransomware è diventato ormai una delle forme di malware maggiormente presenti, addirittura al quinto posto tra le minacce più diffuse. Si tratta un tipo di minaccia particolarmente insidiosa, perché correla in modo diretto l’incidente informatico – l’impossibilità di accedere ai file, in questo caso – con l’esborso economico, tipicamente richiesto per ripristinare la normalità.
Indice degli argomenti
Il pericolo malware
Si tratta di dati perfettamente in linea con quelli riscontrati qualche mese fa dal nostro Threat Landscape Report. Secondo questo report, il 36% delle organizzazioni ha riscontrato la presenza di ransomware sulle sue reti nel corso dello scorso anno, con una presenza particolarmente significativa di questo malware nel settore della sanità, in cui i dati sono particolarmente sensibili, oltre che come sempre di valore.
E che gli hacker abbiano di fatto trasformato la loro attività in un business economico, abbandonando gli exploit dimostrativi per monetizzare di fatto le loro capacità oscure, è un dato di fatto ormai riconosciuto sul mercato.
Ma come è possibile adattarsi in modo preventivo all’evoluzione del cybercrime? Come ci si può difendere in modo efficace dal ransomware, per evitare di perdere il controllo di dati fondamentali per il business, quando non addirittura considerati sensibili, e quindi degni di ulteriore protezione?
Chi crea malware non si ferma mai, dicevamo. E non cessa mai di creare minacce nuove e potenzialmente distruttive. Bastano poche modifiche al codice, e i sistemi tradizionali di sicurezza – firewall e antivirus – basati su signature cessano di essere utili. Contro il malware più avanzato, gli strumenti puntuali di sicurezza possono poco, soprattutto se vengono utilizzati come soluzioni individuali, ognuno nel suo ambito specifico.
Una nuova sicurezza
Se un attacco è mirato, molto probabilmente avverrà su più fronti, e controllare solo alcuni accessi specifici non può più essere sufficiente. Serve un approccio esteso, che consideri la sicurezza dell’infrastruttura nel suo complesso, raccogliendo dati da ogni possibile punto di accesso, correlandoli tra loro in tempo reale, eventualmente accedendo ad intelligence di terze parti, il tutto abbinato a una gestione centralizzata, che consideri l’aspetto tecnologico, ma lo metta al servizio di una visione di business più ampia. Solo così si può avere una percezione chiara di quali sono i dati e i sistemi davvero cruciali, delle interazioni che hanno, e di conseguenza di come si possono proteggere nel modo più efficace.
I consigli di Fortinet
Al di là delle consuete raccomandazioni di fondo, legate alla scelta di strumenti di sicurezza di livello enterprise ed al loro continuo aggiornamento, come del resto all’update ricorrente di ogni sistema informatico coinvolto – sistema operativo in primis, i consigli che ci sentiamo di dare a un livello meno tecnologico e più di gestione sono legati alla realizzazione di un piano complessivo per la sicurezza della rete, che tenga conto di tutti i vari elementi ed aspetti, possibilmente abbinato a una segmentazione logica della rete stessa, in modo da evitare il propagarsi fuori controllo di un’infezione malauguratamente contratta; il tutto deve accompagnarsi a policy aziendali chiare e ben definite, che distribuiscano i privilegi di accesso a sistemi e documenti sulla base delle priorità effettive di business, e a un piano di backup e disaster recovery, che consenta di poter accedere sempre e comunque ai propri dati. Infine, ma forse è l’elemento più importante, il tutto deve essere ricondotto a un tessuto complessivo di sicurezza, un vero “fabric” che consideri e riconduca ad un’unica vision centralizzata tutti gli elementi in qualche modo legati alla security. Senza correlazione, anche gli strumenti singolarmente più efficaci non possono essere sufficienti a proteggersi in modo adeguato.
Se proteggersi dalle minacce, in particolare dal ransomware, è fondamentale, non si tratta di un compito che può essere demandato solo alla tecnologia. Una vision centralizzata è necessaria, almeno quanto l’uso di strumenti all’avanguardia. E solo in questo modo si può combattere ad armi pari un nemico tanto insidioso come il malware.
di Antonio Madoglio, SE Manager, Fortinet Italia