La minaccia informatica numero uno di questi anni ha un nome ben preciso: ransomware. Una tipologia di attacco che, come ha anche messo in luce il recentissimo attacco Wannacry, si è rivelata in grado di colpire in profondità anche le grandi organizzazioni, sfruttando vulnerabilità trascurate e punti deboli purtroppo presenti in quasi tutte le aziende. La domanda che tutti si fanno è, naturalmente, in che modo sia possibile proteggersi in maniera efficace da questa insidia. Con una semplice ricerca in rete è possibile reperire tantissimi consigli dei vendor e degli esperti di sicurezza, perlopiù estremamente validi. Forse però ancora più autorevoli sono i consigli che arrivano dalla Polizia più famosa del mondo, l’FBI, che – oltre alle minacce dei criminali reali – ha ormai deciso di occuparsi anche di quelle che arrivano dal mondo virtuale, spiegando cosa occorra fare alle organizzazioni che vogliono proteggersi dal pericolo ransomware.
Indice degli argomenti
Prevenire il ransomware è meglio che curare
Vediamo quali sono: il punto principale su cui insiste il documento della polizia federale americana è quello della prevenzione. Come abbiamo infatti raccontato più volte, gli attacchi possono essere devastanti per le aziende e le operazioni di recupero (qui qualche consiglio per recuperare i file) non sempre vanno a buon fine. Dal momento che i ransomware entrano quasi sempre in azienda tramite i dipendenti, che abboccano ad allegati fasulli su cui è in realtà caricato il virus, occorre innanzitutto migliorare la consapevolezza dei lavoratori, attraverso l’adozione di un preciso programma di sensibilizzazione e formazione (che preveda anche delle simulazioni), in modo da renderli consapevoli della minaccia rappresentata dal ransomware e del suo preciso funzionamento. Oltre alla cosiddetta evangelizzazione, ci sono però una serie di accorgimenti tecnici che le aziende possono implementare in un’ottica di prevenzione proattiva. Quella base, naturalmente è l’adozione di potenti filtri antispam che riducano in maniera netta le email nocive in arrivo nelle caselle di posta aziendali. Un passaggio in più può essere l’autenticazione delle email in entrata utilizzando tecnologie come Sender Policy Framework (SPF), il protocollo DMARC (Domain-based Message Authentication, Reporting and Conformance) e le soluzioni di DomainKeys Identified Mail (DKIM). Non meno importante è la scansione di tutte le email in entrata e in uscita per rilevare le minacce e filtrare i file eseguibili.
La regola del privilegio minimo per bloccare il contagio
Ci sono poi due regole base che andrebbero seguite: la configurazione dei firewall per bloccare l’accesso a indirizzi IP dannosi noti e un adeguato patching di sistemi operativi, software e firmware sui dispositivi (che di per sé sarebbe stato sufficiente a impedire la diffusione di Wannacry), magari adottando un sistema centralizzato di gestione delle patch. Un consiglio molto importante dell’FBI per prevenire gli incidenti causati inconsapevolmente dagli utenti è quello di adottare il principio del “least privilege”, ossia del privilegio minimo: i dipendenti devono detenere il più basso livello di “diritti” possibile che gli permetta di compiere il proprio lavoro, senza dunque avere accesso a programmi, directory, condivisioni di rete o altro, utilizzate magari soltanto di rado. Importante è anche l’utilizzo delle Software Restriction Policies (SRP) di Windows, che permettono di bloccare l’esecuzione dei programmi a partire da alcune cartelle specifiche. Più in generale sarebbe sensato utilizzare il whitelisting delle applicazioni, creando un inventario di applicazioni affidabili e bloccando invece il funzionamento di tutte le altre.
Cosa fare in caso di infezione
In ogni caso anche l’FBI è cosciente che anche tutti questi consigli potrebbero non bastare a garantire la completa invulnerabilità delle aziende dal pericolo ransomware: ecco perché per le aziende è fondamentale essere dotate di un efficace sistema di backup, che rappresenta la soluzione migliore per ottenere il recupero delle informazioni criptate dal cybercrime. Lo stesso backup va però monitorato con estrema attenzione, verificandone regolarmente l’integrità e l’effettiva capacità di ripristino dei dati. Ovviamente il backup stesso, compreso quello su cloud, deve essere messo al sicuro, anche perché il ransomware in diversi casi si è dimostrato capace di attaccare queste soluzioni. L’FBI spiega poi come agire in caso di infezione conclamata: innanzitutto occorre isolare immediatamente il computer infetto, che deve essere rimosso dalla rete il più presto possibile per impedire al ransomware di espandersi attraverso il network interno. Lo stesso va fatto anche per quei dispositivi che siano stati danneggiati soltanto parzialmente. Gli stessi sistemi di backup devono essere messi off line, in modo da ridurre al minimo il rischio contagio. Ovviamente, poi, il consiglio che arriva da una forza di polizia è quello di denunciare l’accaduto alle autorità e, soprattutto, di non pagare mai il riscatto. Il pericolo, infatti, oltre che di non rivedere restituiti i propri dati è quello di essere percepiti dai cybercriminali come un bersaglio “semplice” e, dunque, rischiare di essere sottoposti a un attacco per una seconda volta.