SICUREZZA INFORMATICA

Rischio ransomware durante le vacanze: ritardi nel rilevamento e risposta alle minacce

Per far fronte alle minacce ransomware durante le festività, le aziende devono assicurarsi che il loro piano di risposta sia consolidato per evitare pericolosi ritardi nel rilevamento. Ecco alcuni utili consigli pratici

02 Dic 2021
U
William Udovich

Vice presidente regionale, Europa del Sud e Africa, Cybereason

L’incidente che ha bloccato le operazioni di Colonial Pipeline si è verificato durante il fine settimana della festa della mamma. La JBS e Kaseya sono entrambe state attaccate durante due festività negli Stati Uniti, rispettivamente durante il Memorial Day e il fine settimana del 4 Luglio.

Per rimanere nei nostri italici confini, invece, possiamo ricordare l’attacco alla Regione Lazio si è verificato il primo agosto, di domenica.

Guida al ransomware: cos’è, come si prende e come rimuoverlo

Rischio ransomware durante le vacanza: lo scenario

Ad oggi, nel 2021 ci sono stati oltre 200 attacchi ransomware che sono finiti sulle pagine dei giornali, e si tratta solo degli incidenti che sono stati resi pubblici. I giganti della tecnologia Acer e Apple sono stati colpiti con richieste di riscatto da 50 milioni di dollari ciascuno, e gli attacchi Colonial e JBS hanno colpito le catene di approvvigionamento delle infrastrutture critiche negli Stati Uniti e sconvolto l’economia.

dal 14 al 17 giugno 2022
FORUM PA 2022. Polo Strategico Nazionale e Strategia Cloud Italia
Cloud
Datacenter

Per questo motivo, la scorsa settimana, l’FBI e la Cybersecurity and Infrastructure Security Agency (CISA) hanno emesso un avviso che raccomanda alle aziende di stare all’erta e prendere precauzioni contro attacchi ransomware e minacce informatiche durante il periodo festivo.

I cyber criminali, infatti, non solo non prendono ferie, ma sfruttano il fatto che la riduzione del personale durante le festività allunghi le tempistiche di rilevamento e risposta.

È quello che ha riscontrato uno studio condotto da Cybereason, che ha intervistato oltre 1.200 esperti di cyber sicurezza le cui aziende hanno subito un attacco ransomware durante un fine settimana o una festività. Degli intervistati, oltre il 60% ha ammesso che valutare la portata dell’attacco ha richiesto più tempo di quanto non ne avrebbe richiesto in un giorno feriale, e la metà ha dichiarato che anche l’organizzazione di una risposta efficace è stata ritardata. Quasi un ottavo degli intervistati ha inoltre detto che l’attacco ha comportato una perdita di fatturato maggiore di quella che avrebbe causato se fosse avvenuto durante l’orario lavorativo.

Un altro dato interessante emerso dal sondaggio è come sia comune per i professionisti della cyber sicurezza il dover interrompere una vacanza o un’attività del fine settimana per rispondere ad un attacco ransomware – l’86% degli intervistati ha infatti dichiarato di aver dovuto lasciare un evento a causa di un incidente informatico.

In un settore in cui la maggior parte delle aziende fatica a trovare personale qualificato, questo dato può andare ad incidere sulla soddisfazione lavorativa e contribuire al burnout dei security team.

Sorprendente è invece il fatto che l’86% degli intervistati in Italia abbia ammesso di aver risposto ad un attacco ransomware avvenuto nel fine settimana o durante una festività mentre era sotto l’influsso dell’alcool. Questo dato è da tenere in considerazione, specialmente con l’avvicinarsi delle vacanze Natalizie. Se, comprensibilmente, i responsabili della sicurezza abbassano la guardia durante le feste, è importante che ci siano delle misure di sicurezza ulteriori che sopperiscano a questo fattore di rischio.

Il divario tra rischio percepito e preparazione delle imprese

Sintomatico della disconnessione tra il rischio percepito e la preparazione delle imprese è il fatto che il 49% degli esperti della sicurezza intervistati sostenga che l’attacco ransomware subito dalla propria compagnia abbia avuto successo perché non erano presenti le tecnologie giuste per fermarlo.

Solo il 67% delle organizzazioni aveva implementato una soluzione di NextGen Antivirus (NGAV) al momento dell’attacco, il 46% aveva un antivirus (AV) tradizionale basato sulle signature, e solo il 36% aveva una soluzione Endpoint Detection and Response (EDR).

Vendita al dettaglio e trasporti i più esposti durante le festività

Preoccupanti sono i dati relativi ai settori della vendita al dettaglio e dei trasporti, che costituiscono bersagli appetibili per i criminali del ransomware alla ricerca di vittime disposte a pagare il riscatto pur di poter riavere accesso ai propri dati.

Questi due settori, il cui fatturato aumenta durante il periodo Natalizio, potrebbero essere ulteriormente incentivati a cedere all’estorsione di gruppi criminali, e dovrebbero perciò prepararsi al periodo delle feste rinforzando la loro strategia di difesa.

Quasi il 70% degli esperti di cyber sicurezza sia nel settore Retail che dei Trasporti hanno attribuito il successo di un attacco ransomware al fatto che la loro azienda non disponeva delle giuste soluzioni di sicurezza, mentre il 24% ha ammesso che la propria azienda non ha ancora un piano di emergenza specifico per affrontare il rischio di attacchi durante il fine settimana e le vacanze, nonostante ne sia stata vittima in precedenza.

Come mitigare il rischio ransomware

Per far fronte alle minacce ransomware durante le feste, le aziende sono invitate ad assicurarsi che il loro piano di risposta sia consolidato.

Per fare ciò, è necessario effettuare regolarmente esercizi di simulazione ed implementare una policy aziendale che identifichi quali membri del security team siano disponibili a fornire copertura nel caso in cui un attacco abbia luogo in un momento simile.

Un’ulteriore misura di prevenzione sarebbe bloccare tutti gli account critici durante le vacanze e i fine settimana, in modo da rendere più difficile l’accesso a sistemi e database critici.

Una volta criptati i dati, non restano buone opzioni per le aziende colpite da un attacco ransomware.

L’unico modo efficace per combattere questa minaccia è principalmente impedire che si verifichi. La maggior parte delle tecnologie di rilevamento si basa su Indicators of Compromise (IOC), il cui stesso nome implica un incidente non rilevato finché non si è verificata una compromissione.

Per far fronte agli attacchi sofisticati di oggi è necessario anticipare il rilevamento, possibilmente con una piattaforma multilivello che utilizzi indicatori di comportamento (Indicators of Behavior, IOB) per identificare e fermare un attacco – anche uno che utilizza tattiche mai osservate prima – prima che il danno sia fatto.

WHITEPAPER
Cosa fare per migliorare l’analisi dei contenuti abbassando i costi operativi?
Datacenter
Software
@RIPRODUZIONE RISERVATA

Articolo 1 di 2