Lezioni dal lato oscuro: prevenzione degli attacchi ransomware
Ogni conversazione che ho con un CISO sulle preoccupazioni e le priorità del CISO menziona sempre una cosa. RansomwareQuesto è uno scenario da incubo CISO. Eventi di sicurezza che compromettono la capacità operativa contemporaneamente all’emorragia dei dati, e tutto è racchiuso in un cartellino del prezzo elevato.
Circa l’autore
Andrew Rose è il CISO residente in EMEA. punto di prova..
Secondo un recente sondaggio, il 44% delle aziende è stato colpito da ransomware nel 2020. Data l’entità del potenziale impatto, si tratta di un numero orribilmente alto. Di queste organizzazioni, il 34% ha deciso di pagare il riscatto per riconquistare la propria posizione.
È interessante notare che il 98% delle aziende paganti è stato in grado di recuperare i propri dati. Quella cifra era solo del 78% nell’anno precedente, ma gli aggressori sono più specializzati perché riconoscono che l’aumento dei tassi di pagamento richiede la certezza che i pagamenti portino effettivamente al recupero dei dati. Dimostra che lo è.
Un esempio di questa elevata professionalità è stato mostrato nei recenti attacchi ai marchi di moda. In questo caso particolare, l’attaccante ha indagato sui dati rubati per saperne di più sulla politica di responsabilità informatica dell’organizzazione e ha stabilito un riscatto per quel particolare numero. L’aggressore ha negoziato tale importo con la vittima sulla base di una valutazione della posizione finanziaria dell’organizzazione fino a quando non ha ricevuto finalmente il pagamento concordato.
Questo tipo di professionalità è “l’impegno del cliente”. Spesso vediamo un certo livello di supporto tecnico fornito attraverso una piattaforma di messaggistica istantanea anonima. Questo per aiutare le vittime a riprendersi dopo aver pagato. Ciò che ha reso questo particolare attacco interessante è che, dopo la negoziazione, l’attaccante ha fornito all’organizzazione solidi consigli per prevenire il ripetersi dell’attacco ransomware. Per questa danza criminale dolorosa, costosa. Il consiglio includeva quanto segue:
1. Implementa il filtraggio della posta elettronica
Il consiglio principale è stato quello di implementare il filtraggio della posta elettronica. Questa è una vera e propria “manichetta antincendio” di rischio diretto per l’organizzazione, poiché le statistiche mostrano che circa il 94% degli attacchi informatici viene avviato tramite e-mail. Gli attacchi ransomware sono stati lanciati utilizzando cose come la porta Remote Desktop Protocol (RDP), ma la ricerca mostra che sono basati sulla posta elettronica. Phishing Ciò è in netto contrasto con l’anno medio in cui gli hacker utilizzavano principalmente i downloader come primo carico utile.
2. Conduci phishing e test di penetrazione dei dipendenti
Oltre il 99% degli attacchi consegnati via e-mail richiede all’utente di intraprendere alcune azioni per compromettersi, come l’esecuzione di una macro, la fornitura di credenziali o semplicemente il pagamento di una fattura falsa. .. dipendente È una superficie di attacco importante per qualsiasi azienda ed è imperativo essere istruiti e formati su come riconoscere e rispondere alle minacce.
Dovrebbe anche essere eseguito il backup con test di penetrazione regolari per rilevare e correggere configurazioni errate perimetrali e dispositivi perimetrali senza patch prima che vengano sfruttati.
3. Controlla la politica della password di Active Directory
Il terzo consiglio fornito dai criminali informatici è la password. La politica era abbastanza solida. Questo inizia con l’utilizzo dell’autenticazione a più fattori (MFA) per l’accesso esterno. Ciò si estende anche alla politica delle password interna. Parte della kill chain del ransomware consiste nell’estendere le autorizzazioni per consentire a un utente malintenzionato di accedere ed eliminare grandi quantità di dati critici prima di forzare la crittografia. Ciò può essere ottenuto identificando una password interna debole o semplicemente sfruttando un file XLS in cui l’amministratore del database può elencare tutte le password primarie nel dominio.
4. Investire in una migliore tecnologia di rilevamento e risposta degli endpoint (EDR)
Sta diventando sempre più comune per i criminali informatici effettuare attacchi creativi. Una delle tendenze recenti è che gli aggressori utilizzino strumenti installati legittimamente come PowerShell per raggiungere i propri obiettivi. In un attacco ransomware, un utente malintenzionato ha utilizzato BitLocker per crittografare il dispositivo. La lezione qui è che il rilevamento del malware basato sulla firma non è più sufficiente. Protezione degli endpoint più intelligente, la capacità di monitorare continuamente attività sospette e abilitare il ripristino è essenziale.
5. Rafforzare la protezione della rete interna e isolare i sistemi critici
Le reti grandi e piatte possono essere più facili da gestire, ma rendono più facile per gli aggressori raggiungere i propri obiettivi. Un ulteriore livello concentrico di segmentazione della rete e controllo avvolto su sistemi e dati critici significa che è improbabile che una singola infezione da malware influisca sui servizi critici. I sistemi IT aziendali sono i più rischiosi perché inviano e ricevono costantemente e-mail, quindi devono essere segmentati dall’infrastruttura e dai dati di proprietà dell’organizzazione.
6. Implementare l’archiviazione offline e il backup su nastro
Il concetto di backup è quasi scomparso dall’argomento, ma questa è una brutta cosa. I backup automatici online di oggi sono semplici, convenienti e automatizzati, ma sfortunatamente vulnerabili agli attacchi. Se un utente malintenzionato potesse rubare le credenziali dell’amministratore, l’intero backup aziendale potrebbe essere eliminato o danneggiato, lasciando l’azienda fuori posizione per il ripristino. L’era dei nastri e dei furgoni potrebbe essere finita, ma è imperativo che ci sia un modello chiaro che esegua i backup su un vero spazio di archiviazione offline e li tenga lontani dagli attori malintenzionati all’esterno.
Sei importanti raccomandazioni dalla tastiera gangster ransomware multimilionaria. Lavora su questo consiglio di base per assicurarti che la tua organizzazione riduca la possibilità di infezione. Tieni presente che molti di questi attacchi sono opportunistici. Le aziende non devono garantire una sicurezza perfetta. Basta che un attaccante capisca che il suo rischio/rendimento è meglio offerto altrove. Può essere egoista, ma il vecchio adagio “Non devi superare il leone…” ha un elemento di verità.
Best Robot Vacuum 2021: Roomba non è la tua unica scelta Cannabis: le strisce reattive per la saliva mostrano l’uso di droghe nelle ultime 12 ore Tesla in anticipo sui tempi con 1,6 miliardi di dollari di profitto nel terzo trimestre TechCrunch Windows 11 finalmente ottiene un’app Android nativa, ma solo per alcuni utenti La GPU AMD Ryzen 6000 RDNA 2i distrugge Iris Xe DG1, GeForce MX350 con un nuovo benchmark Ultime notizie tecnologiche
- Best Robot Vacuum 2021: Roomba non è la tua unica scelta Cannabis: le strisce reattive per la saliva mostrano l’uso di droghe nelle ultime 12 ore Tesla in anticipo sui tempi con 1,6 miliardi di dollari di profitto nel terzo trimestre TechCrunch Windows 11 finalmente ottiene un’app Android nativa, ma solo per alcuni utenti La GPU AMD Ryzen 6000 RDNA 2i distrugge Iris Xe DG1, GeForce MX350 con un nuovo benchmark
