Avrete sicuramente avuto notizia di intere aziende bloccate per giorni o addirittura fallite a causa di ransomware, pensando che, a buon ragione, la probabilità che accada proprio nella vostra azienda sia molto bassa. Sarebbe però saggio domandarsi: se dovesse accadere oggi proprio a noi, abbiamo già un piano?
Secondo l’ultimo report ETL, il costo medio sostenuto dalle aziende per risollevarsi da un attacco ransomware è stato, nel 2021, di 1,85 milioni di dollari ed è raddoppiato rispetto all’anno precedente. È facile intuire come cifre del genere possano cambiare le sorti di aziende, specie se di piccole dimensioni che, contrariamente all’intuizione di molti, sembrano in realtà essere le più colpite. L’Italia è addirittura in quarta posizione secondo Ansa nella classifica delle nazioni più colpite da malware.
In aggiunta a profitti mancati e costi vari per risolvere il problema, a complicare le cose ulteriormente vi è il fatto che molti ransomware non si limitano a rendere indisponibili i dati all’azienda stessa ma anche a filtrarli e diffonderli. Tutto ciò può avere pesanti ramificazioni non tecniche, che vanno dai risvolti legali nel caso vi sia stata una fuga di dati sensibili (ad esempio di clienti e fornitori) o riservati di cui si aveva custodia, fino ai danni alla reputazione aziendale che potrebbe impattare il fatturato futuro e il rapporto di fiducia da parte di terze parti.
Da che parti deve essere composto, allora, il nostro piano?
Per un’idea approfondita, esiste materiale informativo, anche da più fonti, che può essere un buon punto di partenza, ma vi sono alcuni elementi in particolare su cui vogliamo focalizzare:
1 – Prevenire. Sembra scontato, ma i dati mostrano il contrario. Non ci stancheremo mai di dire che una rete o un host completamente impenetrabili non esistono, ma la probabilità di avere un problema ransomware è fortemente legata all’efficacia delle misure preventive poste in essere dall’azienda ed è sicuramente possibile minimizzare tale probabilità pur senza azzerarla. Esempi di misure preventive possono essere
- il training di chiunque abbia a che fare con mail e comunicazioni esterne a riconoscere potenziali attacchi di social engineering e a riconoscere eventuali mail sospette sfuggite ai filtri automatici. Anche se, in casi rari, le mail possono contenere exploit zero-day verso il client mail anche se non si apre alcun allegato, è importante instillare una giusta paranoia che consista in non aprire *mai* allegati provenienti da indirizzi sconosciuti. Dato che la maggior parte degli attacchi, nel 2021, è arrivata proprio tramite mail, essa rimane ancora un punto di interesse su cui vale la pena investire del tempo.
- la chiusura di ogni vulnerabilità ragionevolmente patchabile per tutti gli endpoint, che siano esposti o meno a Internet, anche se si tratta di semplici stampanti.
- la restrizione di permessi e accessibilità di modo che, ad esempio, non vengano assegnati poteri di amministratore a utenti e host il cui compito non li richiede, o che non vi sia visibilità di rete tra risorse che non hanno una reale necessità di comunicare tra di loro. Vi è da dire che un ransomware potrebbe non aver bisogno di permessi di root per far danni, dal momento che riuscirebbe comunque a criptare tutto ciò che è normalmente accessibile dall’utente non privilegiato, ma tali permessi potrebbero essere richiesti per sfruttare alcuni tipi di vulnerabilità e, senza di essi, potrebbero salvarsi interi volumi e intere gerarchie di cartelle.
2 – Conoscere i propri asset. Un primo importante elemento è avere un inventario di tutti gli asset aziendali, mappati anche nelle loro connessioni, per avere un quadro accurato di cosa è custodito e dove. Avere ben chiaro cosa gira su una determinata macchina e a quali altre macchine ha accesso riveste un’importanza strategica, dal momento che le azioni in risposta all’incident dipendono spesso da quali sistemi sono stati impattati, da cosa ci gira sopra e da quali interconnessioni sono in essere, e tale tempo di reazione può cambiare drasticamente l’entità del danno finale.
3 – Essere in grado di contenere e isolare rapidamente, automaticamente. Dal momento in cui un ransomware entra in azione, infatti, la sua propagazione avviene in modo estremamente rapido, specie se non vi è in essere un sistema di Endpoint Detection and Response o una qualsiasi altra forma di automazione simile che isoli l’host interessato dalla rete in cui si trova e lo sospenda, già nei primi secondi dal sorgere di comportamenti sospetti.
Questi sistemi offrono un livello di protezione decisamente maggiore al tradizionale antivirus basato su un database di virus conosciuti, dal momento che essi monitorano continuamente ogni host protetto alla ricerca di qualsiasi deviazione da ciò che è il comportamento atteso in termini di processi in esecuzione, porte aperte, attività I\O e tanto altro. Un approccio fortemente euristico, quindi, in alcuni casi con veri e propri algoritmi di machine learning che imparano i normali pattern di utilizzo dell’host.
Che succede, però, se anche i migliori tool non rilevano l’attacco iniziale?
Un ransomware relativamente nuovo potrebbe non solo essere completamente sconosciuto ad antivirus e suite di sicurezza di vario genere, ma sfuggire anche ai criteri euristici sopra descritti che, giocoforza, non possono essere troppo aggressivi o finirebbero per interferire con il normale funzionamento aziendale inondando il personale di falsi allarmi e ostacolando la stessa attività produttiva.
Ebbene, se l’infezione iniziale dovesse sfuggire ai “radar” dei controlli automatizzati, un ritardo nell’azione che doveva verificarsi (che, verosimilmente, avrebbe incluso l’isolare l’host compromesso dalla rete e\o la sospensione dell’esecuzione) può portare a una propagazione completa nel giro di pochissime ore.
4 – Il post-incident. E se il peggio è accaduto? A questo punto, a fare la differenza sia come tempo di ritorno alla normalità e sia come effettiva capacità di ritornarvi, è un’efficace politica di backup, i quali ricordiamo che, oltre a seguire la ben nota regola del 3-2-1, devono essere testati regolarmente, diversificati e effettuati con una cadenza non troppo sparsa. Un backup non testato, infatti, non è così diverso da non averlo e non vorreste mai dover scoprire un problema di restore proprio il giorno che l’esistenza dell’azienda può dipendere dalla sua riuscita.
Che succede, verrebbe da chiedersi, se si pagasse semplicemente il ‘riscatto’, usualmente chiesto in criptovalute? Oltre all’ovvio esborso economico, non vi è alcuna garanzia che si ottengano poi le chiavi per decrittare i propri dati, o che tali dati non siano già stati esfiltrati, o che l’infrastruttura non rimanga compromessa in modo silente, per non parlare, anche qui, di eventuali risvolti legali ed etici del finanziare chi ci ha appena attaccato.
E voi, siete pronti? Forse, adesso, leggermente più di prima. Nel caso vi fossero ancora dubbi sulla resilienza della vostra azienda, ricordiamo che esistono aziende specializzate nel simulare in tutto e per tutto un attacco reale.
Appassionato di Linux e della cultura open-source da vent’anni, continuo a fare del mio meglio per diffondere tale filosofia e soprattutto condividere la conoscenza.
C’è sempre qualcuno da qualche parte nel mondo che sta avendo un problema che tu hai già risolto e, condividendo la soluzione, puoi fare la differenza.
Se quel qualcuno sei tu, chiedi pure alla community. La trovi ovunque, ad esempio su reddit.com/r/italyinformatica, reddit.com/r/fedora, reddit.com/r/debian, reddit.com/r/ubuntu, reddit.com/r/archlinux, reddit.com/r/linux, sui forum specifici delle distro oppure sulle loro wiki.
Perchè nessun problema andrebbe risolto più di una volta.
[https://it.linkedin.com/in/john-toscano]
Lascia un commento