Minacce informatiche: panorama e soluzioni
Luca adami, sales account di n4b, ci racconta cosa succede nel panorama delle minacce informatiche.
Luca si occupa di sicurezza informatica e compliance al GDPR in N4B, l'azienda partner di Noratech per la soluzione N-ABLE EDR che tratta la prevenzione degli attacchi informatici e del rilevamento delle minacce. Abbiamo fatto qualche domanda a Luca per capire meglio cosa sta succedendo in questo mondo a volte nebuloso e quali sono le azioni da compiere per non cadere vittima di malintenzionati informatici.
In che modo il panorama delle minacce informatiche è cambiato negli ultimi anni?
Nel 2020 e in questa prima parte del 2021, dal nostro punto di vista il mondo del cybercrime non ha avuto particolari scossoni soprattutto dal punto di vista di nuove tipologie di attacchi, come invece era accaduto in maniera pesante negli anni precedenti (con le novità relative ai ransomware, ai malware polimorfi, i malware file-less o malware zero-day).
Quello che invece è accaduto, data la nuova realtà lavorativa successiva alla pandemia di COVID-19 che prevede lo smart working, è che molte persone si sono ritrovate a lavorare al di fuori della loro rete aziendale, quindi al di fuori delle politiche di protezione offerte dall’azienda ai propri lavoratori.
Ovviamente, le falle nei sistemi di sicurezza sono più probabili in un ambiente di smart working, soprattutto senza un’opportuna sensibilizzazione degli utenti finali. Consideriamo che, secondo alcuni fonti affidabili come “Security Magazine”, il 20% dei lavoratori non ha ricevuto alcuna formazione prima di iniziare a lavorare in modalità “smart”. Questo non rappresenta un rischio solo per i dati degli utenti, ma per l’intera azienda.
Ecco perché diventa ora più che mai fondamentale proteggere tutti i dispositivi, anche quelli che non si trovano più all’interno dei confini delle reti aziendali. Un adeguato approccio alla sicurezza da parte delle imprese non è mai stato più importante.
Puoi fornirci alcuni dati per darci un’idea dell’impatto che gli attacchi IT stanno avendo sulle aziende?
Certamente. Prenderei a titolo di esempio gli attacchi Ransomware perché sono quelli di maggiore impatto nell’immaginario collettivo. Un Ransomware è un malware progettato dai criminali informatici per prendere in ostaggio il computer o i dati fino al pagamento di un riscatto (“ransom” in inglese).
I vettori che trasmettono Ransomware sono sempre i soliti: quindi le e-mail, internet e i file (in modo particolare pdf). Basta un semplice clic al link sbagliato perché l’infezione si diffonda nell’intera rete.
Cosa comporta quindi un attacco Ransomware?
- Perdita di dati temporanea o permanente
- Accesso ridotto o assente a sistemi e applicazioni
- Interruzione della normale operatività
- Perdite economiche
- Danni alla reputazione dell’organizzazione
Quali best practice può adottare un’azienda per proteggersi?
STEP 1
Sensibilizzazione e formazione degli utenti. Quando riceve un’e-mail insolita l’utente dovrebbe seguire, almeno nella sua mente, questa checklist:
- Conosco il mittente di questa e-mail
- È comprensibile che sia stata inviata a me
- Posso verificare che il link o il file allegato sia sicuro
- L’e-mail non minaccia di chiudere account o cancellare carte di credito se non fornisco informazioni
- Quando passo il mouse su un link (senza cliccare), l’URL corrisponde a quello previsto
STEP 2
Dotarsi di opportuni strumenti per proteggere la propria infrastruttura IT come soluzioni di backup, antivirus, protezione della posta e soluzioni che facciano da filtro nella navigazione web degli utenti.
STEP 3
Applicare costantemente le patch a ogni dispositivo per garantire gli aggiornamenti sulla sicurezza.
Prima parlavi del fatto che oggi è fondamentale proteggere gli utenti in smart working, è sufficiente la protezione offerta da un normale antivirus?
Diciamo che avere un antivirus è una buona base di partenza, ma spesso può non essere sufficiente.
Gli antivirus tradizionali hanno di solito un approccio reattivo al problema. Mi spiego meglio: si dice spesso dagli operatori del settore che gli antivirus tradizionali sono basati su firme. In sostanza, quando un file viene rilevato come malware, viene generato un hash e viene archiviato in un database di firme di virus.
I programmi antivirus tradizionali scansionano i dispositivi per individuare eventuali file corrispondenti alla firma nota di un virus presente nel database e quando lo trovano lo mettono in quarantena. Quali sono i limiti di questo approccio?
- Necessitano di aggiornamenti costanti nelle firme.
- Scarto temporale fra quando viene scoperto il virus e quando i clienti possono considerarsi protetti.
- Le minacce “nuove” possono operare indisturbate, prima che gli utenti ricevano l’aggiornamento.
Da qualche tempo invece si sente parlare di soluzioni di Endpoint Detection & Response (soluzioni EDR).
Gli EDR hanno un approccio proattivo agli attacchi. Sono basati su motori di machine learning e intelligenza artificiale e questo consente loro di identificare i comportamenti sospetti e chiedersi:
- Questo endpoint ha già eseguito questa attività in passato?
- Questo file o comportamento mostra schemi anomali?
- Perché alcuni file messi in sicurezza vengono visualizzati o selezionati?
Questo approccio consente all’EDR di agire tempestivamente al presentarsi di un attacco.
Una volta identificato l’attacco, come reagisce una soluzione EDR?
Ti permette di vedere la cronologia dell’attacco così da comprendere il ciclo di vita di un attacco, strumento utile per prevenire minacce future
3 misure preventive che interrompono i danni causati dalla minaccia:
ELIMINAZIONE: interrompe l’attacco immediatamente.
QUARANTENA: eventuali eseguibili pericolosi vengono spostati in un’area protetta così da renderli inoffensivi e da impedirne la diffusione nell’endpoint.
DISCONNESSIONE DALLA RETE: si impedisce al malware di diffondersi all’interno della rete provocando danni ancora maggiori.
A queste funzionalità tipicamente presenti in una soluzione EDR, la soluzione proposta da Noratech N-Able EDR aggiunge due ulteriori misure come risposta agli attacchi che ci consentono di ripristinare lo stato dell’endpoint precedente alla minaccia:
APPLICAZIONE DI UN RIMEDIO: consente di eliminare il danno causato dalla minaccia, ma non è un rollback completo che torna indietro a un determinato punto nel tempo.
ROLLBACK: viene ripristinata un’istantanea salvata come copia Shadow del volume (VSS) del dispositivo. Si ripristina lo stato dell’endpoint precedente ai danni causati dall’attacco.
Ecco perché noi operatori del settore chiamiamo questa soluzione LA MACCHINA DEL TEMPO, perché qualunque sia il ransomware o il malware dal quale veniamo attaccati, qualunque sia il suo percorso, anche nel peggiore dei casi… siamo in grado di riportare la macchina indietro nel tempo, allo stato precedente all’attacco.
Luca non poteva essere più chiaro ed esaustivo di così.
