A cura di Antonio Madoglio, SE Manager, Fortinet Italia
Nel fine settimana appena passato, un attacco ransomware ha portato il tema della sicurezza IT sotto i riflettori di tutto il mondo, con un attacco che ha colpito organizzazioni di ogni settore e dimensione, andando di fatto a sottrarre loro il bene più prezioso, ovvero i dati.
Causa di tutto, un malware chiamato WannaCry, identificato dai FortiGuard Labs in più varianti, che sfrutta una vulnerabilità Windows già nota. Tanto che già lo scorso marzo, Microsoft aveva rilasciato una patch dedicata. E contemporaneamente, Fortinet ha prodotto una signature IPS per identificarla e risolverla. Nel corso del weekend passato, poi, Fortinet ha rilasciato anche una signature AV legata all’attacco. E test condotti da terze parti mostrano come sia Fortinet Anti-Virus che FortiSandbox siano in grado di bloccare in modo efficace questo malware.
Come spesso accade, il successo dell’attacco non dipende solamente dalla tecnologia. Gli strumenti per renderlo innocuo erano già disponibili, solo non sempre sono stati utilizzati in modo corretto. Il consiglio per gli utenti individuali e le organizzazioni è sempre lo stesso, in questi casi: aggiornare su base regolare i sistemi, sia quelli operativi che gli strumenti di sicurezza, ogni qual volta che patch e upgrade vengano resi disponibili dai vendor.
Più in generale, per mitigare i rischi e garantirsi una continuità operativa anche nel caso di attacchi di questo tipo, le aziende dovrebbero definire un piano complessivo per la sicurezza della rete, che tenga conto di tutti i vari elementi ed aspetti, possibilmente abbinato a una segmentazione logica della rete stessa, in modo da evitare il propagarsi fuori controllo di un’infezione malauguratamente contratta; il tutto deve accompagnarsi a policy aziendali chiare e ben definite, che distribuiscano i privilegi di accesso a sistemi e documenti sulla base delle priorità effettive di business, e a un piano di backup e disaster recovery, che consenta di poter accedere sempre e comunque ai propri dati. Infine, ma forse è l’elemento più importante, il tutto deve essere ricondotto a un tessuto complessivo di sicurezza, un vero “fabric” che consideri e riconduca ad un’unica vision centralizzata tutti gli elementi in qualche modo legati alla security. Senza correlazione, anche gli strumenti singolarmente più efficaci non possono essere sufficienti a proteggersi in modo adeguato.
Proteggersi dalle minacce è fondamentale, e non si tratta di un compito che può essere demandato solo alla tecnologia. Una vision centralizzata è necessaria, almeno quanto l’uso di strumenti all’avanguardia. E solo in questo modo si può combattere ad armi pari un nemico tanto insidioso come il malware.
