Nel contributo che vi proponiamo qui di seguito, Scott McKinnon, Field CISO, VMware EMEA, spiega come riportare ordine dopo il caos di un attacco ransomware.
Buona lettura.
Immaginiamo un’azienda che ha subìto un attacco ransomware, con i responsabili della sicurezza riuniti per discutere come affrontare l’ultima minaccia alla loro organizzazione. Ogni team o membro del team afferma di sapere come gestire l’intruso nel modo giusto. Ma è fondamentale riportare ordine e farlo in fretta. La notizia di un attacco di alto profilo si diffonde infatti rapidamente. Con il passare dei giorni, alcune violazioni vengono rapidamente dimenticate, mentre altre vengono associate in modo permanente all’organizzazione. Prendiamo ad esempio l’attacco WannaCry all’NHS nel 2017 o l’hack di SolarWinds nel 2020.
Quattro fasi per aiutare i team di sicurezza a rispondere con velocità a un attacco IT
Primo passo: non sottovalutare mai il valore del tempo di pianificazione
I piani di recovery in caso di ransomware spesso mancano di procedure chiare, di prove di un’accurata pianificazione preventiva e di una valutazione dei sistemi veramente critici per l’azienda. Nel campo della sicurezza informatica, la diffusione del ransomware è una realtà: ogni undici secondi si verifica un attacco.
Le organizzazioni che partono dal presupposto che si verificherà una violazione sono in genere le più preparate. È essenziale creare un solido recovery plan in caso di ransomware che anticipi i futuri pain point. Una progettazione di questi piani che tenga conto dello scenario peggiore, ovvero “tutto fermo”, può fare davvero la differenza. In questo modo si anticipano le sfide principali destinate a ritardare il recovery quando il ransomware prende il controllo completo. Avendo già valutato il rischio, un’organizzazione sarà in grado di riprendersi molto più rapidamente.
Ogni membro del team di sicurezza ha un ruolo da svolgere, ma, all’indomani di una violazione, le responsabilità di questi ruoli possono confondersi portando a dannosi errori di comunicazione. Quando si crea un piano nuovo e migliorato, è importante assegnare chiaramente le responsabilità ai team e ai singoli. La capacità di “schierare” le risorse in modo efficiente, sia online che offline, fa risparmiare minuti preziosi in fase di rilevamento e risposta.
Secondo passo: investire nell’automazione per evitare di pagare il riscatto
Quando si trovano di fronte a un riscatto da parte degli hacker, le aziende possono pensare che la via d’uscita più semplice sia quella di effettuare il pagamento per poter tornare a lavorare come sempre. Tuttavia, il pagamento delle richieste può fare più male che bene a lungo termine. L’anno scorso, il 92% delle aziende che hanno pagato un riscatto non ha riacquistato l’accesso completo ai propri dati, a dimostrazione del fatto che il pagamento non equivale quasi mai a una completa business continuity e che le reti potrebbero essere ancora sotto attacco. Inoltre, le aziende che pagano i riscatti potrebbero essere nuovamente bersaglio in futuro.
Le organizzazioni dovrebbero invece investire in tecnologie di recovery automatizzate per lasciare che sia la tecnologia a combattere per loro. I team che possono contare su una tecnologia all’avanguardia non si faranno prendere dal panico e non pagheranno il riscatto. Il ripristino automatizzato che utilizza un flusso di lavoro passo dopo passo è il cuore di un approccio moderno alla risposta agli attacchi ransomware. Una volta compromesso un componente della rete, il ransomware cercherà di diffondersi e i workflow automatizzati alzeranno il ponte levatoio per isolare le reti e impedire il movimento laterale e la reinfezione.
Il recovery automatico riduce anche il rischio di errori umani e di decisioni affrettate che possono causare crisi, come danni duraturi alla reputazione. La reputazione di un’azienda è forte solo quanto la fiducia del pubblico nella sua competenza. In alcuni casi, con un caso particolarmente dannoso e di alto profilo, è importante comunicare pubblicamente i risultati di un’indagine interna. Per gli stakeholder dell’azienda, diretti o indiretti, la trasparenza è fondamentale per mantenere la loro fiducia.
Terzo passo: valutare l’integrità dei dati per riportare ordine e controllo
I dati sono come dinamite e, se esplodono, la perdita può essere disastrosa. Il ransomware cripta i dati in una cassaforte che solo l’hacker può sbloccare. In alcuni casi, il ransomware è stato impiantato da attori malintenzionati e nascosto in bella vista per settimane o addirittura mesi, diffondendosi nei backup dei dati che alla fine diventano inutili.
La maggior parte degli attacchi ransomware oggi utilizza tecniche “fileless”. Per questo motivo, le organizzazioni devono esaminare attentamente i backup dopo un attacco per proteggere i file non compromessi e prevenire una nuova infezione. La combinazione di approcci tradizionali con il moderno rilevamento automatico garantisce una strategia solida che copre tutte le basi per la protezione delle reti e per stare al passo con il panorama degli attacchi.
Quarto passo: riunirsi per riflettere sulle lezioni apprese dopo un ransomware
Il lavoro di squadra è il fondamento del disaster recovery da ransomware. Un attributo chiave di qualsiasi team dalle prestazioni eccellenti è la capacità di analizzare in modo critico e creativo le strategie per imparare dagli errori precedenti e prepararsi al futuro.
Una volta neutralizzata una violazione, è fondamentale sedersi insieme e condividere gli insegnamenti tratti dall’esperienza. Ciò comporta la necessità di riunire i team di tutti i reparti interessati per garantire che il piano di ripristino sia adatto a tutti e che gli apprendimenti vengano recepiti. Queste sessioni dovrebbero essere organizzate con un ordine del giorno concordato per garantire che l’analisi sia efficace e che le procedure di cybersecurity possano essere migliorate di conseguenza, colmando eventuali lacune. Combinando questo sforzo con ambienti di laboratorio e di test per simulare il ripristino, si assicura che i team siano ulteriormente preparati ad affrontare i malintenzionati. Nel caso in cui una compromissione riguardi i dati personali, è essenziale che, ai sensi del GDPR, le organizzazioni facciano rapporto all’Information Commissioners Office e informino le persone interessate entro 72 ore dalla violazione.
L’importanza della pianificazione per uscire dalla battaglia solo con qualche graffio
Gli hacker sembrano essere sempre all’avanguardia e la diffusione del ransomware è un’arma fondamentale del loro arsenale. È facile che le aziende siano disorientate dal lancio di un attacco, poiché la destabilizzazione del business ha un impatto sugli stakeholder di tutta l’organizzazione. Tuttavia, se la pianificazione del recovery viene integrata fin dall’inizio nelle operations, con investimenti nelle più recenti tecnologie di rilevamento e risposta e nelle migliori pratiche di sicurezza, le organizzazioni saranno in grado di affrontare le minacce che si presenteranno. Con un solido programma di ripristino in atto, i team potranno anche uscire dalla battaglia con qualche graffio, ma avranno maggiori probabilità di riuscire a riportare ordine alla propria organizzazione.