Il numero di attacchi ransomware che raggiungono il loro obiettivo continua ad aumentare: è chiaro quindi che nella sfida tra aziende e criminali informatici la vittoria, contro questi ultimi, sia ancora lontana. Sfruttando il malware a scopo di estorsione, i criminali possono paralizzare l’infrastruttura di un’azienda e chiedere il pagamento di un riscatto per ripristinarla. Come possono le aziende eliminare questa minaccia una volta per tutte?
Nel report “State of Encrypted Attacks 2020” (scaricabile qui), realizzato dal laboratorio ThreatLabZ di Zscaler, gli analisti della sicurezza informatica hanno riportato un aumento del 500% degli attacchi ransomware rispetto alle cifre riscontrate l’anno precedente. È inoltre emerso che, anche se i criminali informatici stanno eseguendo attacchi sempre più complessi e mirati, molte delle tecniche utilizzate per diffondere con successo i malware – come le macro infette nei documenti Word – sono in realtà sorprendentemente semplici. Non avendo aggiornato le policy di sicurezza per proteggersi da questi tipi di attacchi, i dipartimenti IT sembrano essere in ritardo rispetto ai criminali informatici.
Dal punto di vista di un criminale informatico, ci sono potenzialmente molti modi per entrare in una rete e crittografare i dati. Attualmente, esfiltrare i dati e tenerli “in ostaggio” è un modo molto efficace per convincere le aziende a pagare, motive per cui gli hacker utilizzano sempre più questa strategia per guadagnare. Il loro compito è reso molto più facile dal fenomeno del Ransomware-as-a-Service. Prendiamo come esempio il malware Dharma: nel marzo 2020, il codice sorgente di questo malware è stato messo in vendita sul dark web con un conseguente aumento del numero di attacchi segnalati.
La pandemia di coronavirus è spesso citata come fattore che ha contribuito all’aumento degli attacchi ransomware. La necessità di abilitare rapidamente il telelavoro per un gran numero di dipendenti ha costretto le aziende ad affrettare l’implementazione delle soluzioni di accesso remoto, con poco tempo a disposizione per considerare adeguatamente le questioni legate alla sicurezza. Ad aggravare il problema, il fatto che i dipendenti, lavorando da soli, non sono in grado di ottenere rapidamente una seconda opinione da un collega se individuano un traffico di dati sospetto: tutto ciò rende quindi più difficile per loro individuare i rischi. Consapevoli di questa situazione, i criminali informatici concentrano i loro sforzi sull’anello più debole della catena della sicurezza: le persone. È essenziale che le aziende continuino a formare i dipendenti su come individuare i rischi legati alla sicurezza e ad adattare e aggiornare le loro soluzioni, se necessario. Tuttavia è indispensabile considerare che le nuove tipologie di attacco possono superare lo stesso questi livelli di protezione senza essere rilevati. Nel momento in cui un qualsiasi dipendente corre il rischio di eseguire involontariamente un malware sul proprio computer o dispositivo mobile fornito dall’azienda, c’è una pericolosa lacuna nell’infrastruttura di sicurezza aziendale.
La strategia di backup di un’azienda è anche indicatore del suo livello di due diligence. Le copie di backup dei file di dati non vengono fatte unicamente per ripristinare i dati se vengono presi in ostaggio dagli hacker: i moderni sviluppatori di ransomware, come Maze, Sodinokibi e Ryuk, non solo criptano i dati, ma aumentano anche la pressione sulle vittime per spingerle a pagare rubando il contenuto dei dati prima che siano resi inaccessibili. Poi minacciano di pubblicare queste informazioni sensibili: questa pratica è ormai nota come doppia estorsione. In questi scenari, un backup esterno aiuta le aziende a determinare cosa è stato criptato e quanto siano sensibili i dati rubati. L’azienda può così prendere una decisione orientata al rischio basata su una prospettiva di analisi dell’impatto reale. Una soluzione Data Loss Prevention è in grado di indicare un’attività malevola in corso e potrebbe prevenire in primo luogo il furto di dati.
Difendersi dal ransomware: protezione attiva
I team IT devono alzare il livello della loro protezione attiva per tenere il passo con la natura mutevole del ransomware, poiché la compiacenza è il più grande nemico nella lotta contro questo tipo di attacchi. È necessario che i team IT conducano revisioni su base regolare per garantire che le misure di sicurezza dell’azienda siano ancora strumenti di difesa sufficientemente adeguati contro i metodi di attacco emergenti. La priorità assoluta è quella di mantenere aggiornate le patch e la gestione delle vulnerabilità. Altre buone pratiche sono le revisioni regolari degli accessi, oltre a prendere in considerazione il principio del minimo privilegio. I team IT devono garantire che il personale possa accedere solo alle applicazioni richieste, senza aprire l’intera rete per loro. Mettere in atto una strategia che eviti il movimento laterale può impedire agli aggressori di muoversi attraverso l’intera rete, nel caso in cui siano riusciti a violare in un sistema.
Oggigiorno, le aziende pubblicano online più informazioni sulla loro infrastruttura di quanto dovrebbero, e spesso sono completamente inconsapevoli di averlo fatto. A volte un server non correttamente configurato può esporre i dati, o un ambiente di sviluppo creato celermente potrebbe trasformarsi in una porta di ingresso a dati sensibili per i criminali informatici. Il report State of Public Cloud Security Analysis segnala che le configurazioni errate sono una delle cause principali degli attacchi di successo alle infrastrutture cloud pubbliche. Il protocollo Remote Desktop, visibile a tutti online, è un obiettivo particolarmente interessante per chi vuole sferrare un attacco informatico. L’analisi ha scoperto che il 20% di tutti i sistemi espongono le loro porte RDP nel cloud. Gruppi di hacker professionisti che perpetrano attacchi attraverso i ransomware come SamSam e Dharma conducono ricerche mirate per identificare eventuali porte di ingresso e poi le usano per lanciare i loro attacchi brute-force.
Per criminali informatici attraverso Internet è inoltre possibile acquisire una conoscenza approfondita dell’infrastruttura di un’azienda, ne consegue che possono eseguire attacchi mirati contro i suoi punti più deboli. Un firewall, per esempio, può dare una visione involontaria della struttura di un’azienda; può fornire informazioni sui nomi di rete e sui domini negli ambienti interni, che, a loro volta, possono essere utilizzati per identificare potenziali superfici di attacco. Pertanto, si raccomanda alle aziende di controllare regolarmente la loro infrastruttura OSINT (Open Source Intelligence) utilizzando strumenti online, e successivamente di chiudere qualsiasi potenziale porta d’accesso a un attacco. Non tutto ciò a cui si può accedere online deve essere necessariamente reso disponibile a tutti, in modo non protetto. Capire come i criminali informatici possono avere accesso alla rete aziendale è imperativo per un’azienda al fine di implementare misure appropriate che possano garantire solo agli utenti autorizzati gli accessi alle applicazioni necessarie.
Le strategie di sicurezza devono essere aggiornate con meccanismi di autenticazione moderni. Le password deboli non reggono agli attacchi brute-force. Troppo spesso, I dipendenti in telelavoro scelgono la via più facile e optano per le password più semplici possibili. Ma con gli attacchi ransomware in aumento, l’autenticazione a più fattori dovrebbe essere una priorità assoluta. Le aziende devono anche adottare una posizione che non accetti compromessi sul tema della sicurezza; non è sufficiente equipaggiare la sede centrale con sistemi di sicurezza all’avanguardia e lasciare le filiali esposte agli attacchi.
Molte aziende sono anche colpevoli di riporre troppa fiducia nel traffico dati criptato SSL/TLS. Più dell’86% del traffico internet è già criptato con HTTPS, come mostra il cloud di Zscaler e secondo il report di Google anche più del 90%. Questi flussi di dati sono anche utilizzati dai criminali informatici che attaccano utilizzando i malware – infatti, se le aziende non stanno tenendo sotto controllo questo tipo di traffico, può essere usato impropriamente per infiltrare codice dannoso attraverso qualsiasi tecnologia di sicurezza che sta proteggendo il resto della rete dell’azienda. Nell’ultimo anno, i servizi di condivisione di file basati sul cloud sono diventati il bersaglio preferito dei criminali informatici. Google Drive, OneDrive, AWS e Dropbox sono sempre più utilizzati come piattaforma per veicolare il malware perché gli utenti ripongono troppa fiducia in questi programmi. Basta un clic veloce e non ponderato da parte di un utente per mettere in moto l’attacco.
Sviluppare un approccio Zero Trust
Diversamente da quelli tradizionali un approccio alla sicurezza Zero Trust Network Access (ZTNA) contribuisce a ridurre significativamente la vulnerabilità di un’azienda agli attacchi e, secondo Gartner, può essere fornito tramite un servizio che crea un confine di accesso logico basato sull’identità e sul contesto intorno alle applicazioni. Le applicazioni sono nascoste, e l’accesso è limitato tramite un intermediario di fiducia a un insieme di entità note. Questo intermediario verifica l’identità, il contesto e le policy dei partecipanti prima di consentire loro l’accesso e quindi proibisce il movimento laterale nella rete. In questo modo le risorse dell’applicazione non sono pubblicamente visibili e la superfice d’attacco si riduce.
Inoltre, ZTNA può garantire che gli utenti abbiano lo stesso livello di protezione quando accedono a Internet e alle applicazioni professionali, non importa dove si trovino o quale dispositivo utilizzino. L’idea alla base di questo approccio è che il traffico è protetto in tutto il suo percorso da un utente a un’applicazione, indipendentemente da dove l’utente si trova o da dove l’applicazione è ubicata. In un modello zero trust, l’azienda conosce l’identità di ogni utente autorizzato, il suo dispositivo e l’applicazione di cui ha bisogno, e vede anche a cosa l’utente sta cercando di accedere. L’approvazione per l’accesso è concessa sulla base di questi fattori. Questo approccio nasconde qualsiasi potenziale punto di ingresso rendendolo invisibile e quindi chiude eventuali possibilità di accesso alla rete ai criminali informatici che, sostanzialmente, non possono attaccare ciò che non possono vedere.
Un ultimo punto per concludere: nessuno degli approcci menzionati qui è una novità. Tuttavia, la necessità di implementare rapidamente il telelavoro su larga scala ha lasciato ai dipartimenti IT poco tempo per considerare pienamente nuove architetture di sicurezza e riflettere sull’attuale panorama delle minacce. Oggi, i dipartimenti IT stanno ottenendo il supporto a livello di gestione di cui hanno bisogno per implementare nuovi modelli di sicurezza, perché le persone si stanno sempre più rendendo conto che l’adozione di un approccio olistico ai requisiti di reti, applicazioni e sicurezza IT aumenta le difese di un’azienda contro le minacce ransomware attuali.
Nicolas Casimir, CISO Zscaler EMEA