Nell’articolo che vi proponiamo qui di seguito, Steve Cottrell, EMEA Chief Technology Officer di Vectra AI, spiega come proteggersi dai ransomware con una serie di consigli utili per identificare gli attacchi con NDR e AI.
Buona lettura!
Il primo Trojan fu inviato su un floppy disk agli istituti di ricerca di tutto il mondo nel 1989. Da allora, gli attacchi software a sfondo estorsivo sono stati (purtroppo) la norma per molte aziende. I software maligni, spesso mascherati da programmi completamente innocui, hanno causato miliardi di danni a utenti privati, aziende e governi.
Mentre Trojan, worm e altri malware causano danni considerevoli a chi li subisce, i ransomware sono ancora più insidiosi per via della loro efficace capacità di “travestimento” e della natura estorsiva. Chiunque sia colpito da un attacco ransomware di regola deve fare i conti con affronta una perdita digitale totale.
Un software basato sull’Intelligenza Artificiale potrebbe essere la soluzione. Ciò che sfugge all’occhio umano può essere rilevato e contrastato dall’AI.
Ma come ci si protegge dal ransomware?
E come può l’AI aiutare a localizzare rapidamente l’intruso digitale in tempo reale per renderlo innocuo?
Ransomware: una corsa contro il tempo
In sostanza, il processo di infiltrazione del ransomware è simile a quello già conosciuto di altri malware: gli aggressori ottengono l’accesso a computer e server sfruttando una debolezza nella rete. Una volta che il ransomware si è stabilito nella rete, inizia una corsa contro il tempo. Le organizzazioni colpite devono contenere il danno il più rapidamente possibile, a meno che non intendano pagare un riscatto per riavere i propri dati. Oggi i creatori di ransomware accettano anche pagamenti in forma di Bitcoin, come ha dimostrato a tutti WannaCry.
L’elemento che crea maggior fastidio e problemi agli amministratori di rete è il danno irreversibile causato da un’infezione ransomware. Per questa ragione, un attacco ransomware è spesso considerato un vero disastro digitale: solo nel 2020, furto di dati, spionaggio e sabotaggio hanno causato oltre 220 miliardi di euro di danni. Nel 2021, il 31% delle aziende italiane è stato colpito da un attacco ransomware. Una protezione efficace è essenziale per ogni azienda e rappresenta al contempo una sfida per il dipartimento IT. Ciò vale anche per ogni individuo, considerando che ultimamente sempre più attacchi ransomware prendono di mira i sistemi privati.
Un fattore chiave che rende così difficile la difesa contro il ransomware è il modo in cui il malware accede al sistema. Non è raro che i programmi si nascondano dietro nomi relativamente innocui o in allegati di e-mail. Muovendosi per infettare file importanti, il ransomware di regola bypassa qualsiasi protezione contro il malware. Incolpare gli utenti di aver aperto un’e-mail e aver cliccato sugli allegati è quindi un atteggiamento piuttosto miope.
I criminali informatici stanno diventando piuttosto abili nel loro mestiere. Oltre alle false e-mail, il ransomware ha oggi a disposizione diversi modi per trovare una via d’accesso alla rete. A prima vista, le tecnologie innovative come l’NFC sembrerebbero un grande passo avanti, ma rappresentano anche un altro punto di ingresso per il malware. Per ora, non esiste un modo veramente efficace per bloccare l’ingresso del ransomware, ma gli utenti hanno il compito di reagire a un’infezione.
Come dovrebbero tenersi aggiornati utenti finali e amministratori? Finora, il contrasto al crimine informatico da parte delle aziende ha seguito uno schema piuttosto coerente: gli aggressori creano un nuovo malware e lo distribuiscono. I team di sicurezza notano un’attività sospetta e isolano i file in questione. In seguito, la divisione di cybersicurezza escogita un antidoto efficace contro il parassita digitale. Il risultato è di solito una nuova regola o politica integrata nel firewall.
Questo gioco del gatto e del topo va avanti da più di tre decenni. Ma cosa succederebbe se i sistemi supportati dall’Intelligenza Artificiale fossero in grado di rilevare questi attacchi in anticipo? E se gli strumenti automatici anti-ransomware potessero smascherare i malware in una fase iniziale e combatterli efficacemente, anche prima che possano causare danni?
La tecnologia NDR può smascherare gli attacchi IT
Questo è l’approccio adottato dalla tecnologia NDR. La Network Detection and Response (NDR) è una soluzione di cybersecurity molto efficace che cerca automaticamente accessi alla rete non autorizzati o sospetti. Per raggiungere questo obiettivo, il programma NDR utilizza il Machine learning: osserva le attività e controlla se corrispondono al modello di comportamento abituale della rete.
I vantaggi per gli operatori di rete e gli amministratori sono evidenti. Meno tempo si deve investire nella ricerca attiva di data leaks e lacune, meglio è. Inoltre, una volta che il danno è fatto, ripararlo non è solo laborioso, ma anche arduo in termini di costi – e di nervi. È proprio questo aspetto del lavoro umano che il software NDR basato sull’AI dovrebbe assumere in futuro, sollevando dal compito i responsabili della sicurezza IT e gli amministratori.
Con la giusta configurazione, la tecnologia NDR può fornire una protezione efficace contro il ransomware. Spesso, gli accessi non autorizzati vengono riconosciuti immediatamente dopo che si sono verificati. A tal fine, il software sfrutta i modelli comportamentali del database: se un’attività appare sospetta, il software NDR osserva i passi successivi con attenzione. Non appena viene rilevato un comportamento potenzialmente dannoso, il software lancia un allarme avvisando l’utente o isolando automaticamente gli ospiti dubbi.
Vectra offre un software innovativo ed efficace che rileva e combatte le minacce digitali in una fase iniziale. Le soluzioni ransomware di Vectra proteggono efficacemente le aziende e i privati da attività fraudolente e avvertono preventivamente gli utenti di accessi sospetti. In questo modo, i vostri dati sono protetti e i ricattatori digitali non hanno alcuna possibilità.