Luca si occupa di sicurezza informatica e compliance al GDPR in N4B, l'azienda partner di Noratech per la soluzione N-ABLE EDR che tratta la prevenzione degli attacchi informatici e del rilevamento delle minacce. Abbiamo fatto qualche domanda a Luca per capire meglio cosa sta succedendo in questo mondo a volte nebuloso e quali sono le azioni da compiere per non cadere vittima di malintenzionati informatici.
Nel 2020 e in questa prima parte del 2021, dal nostro punto di vista il mondo del cybercrime non ha avuto particolari scossoni soprattutto dal punto di vista di nuove tipologie di attacchi, come invece era accaduto in maniera pesante negli anni precedenti (con le novità relative ai ransomware, ai malware polimorfi, i malware file-less o malware zero-day).
Quello che invece è accaduto, data la nuova realtà lavorativa successiva alla pandemia di COVID-19 che prevede lo smart working, è che molte persone si sono ritrovate a lavorare al di fuori della loro rete aziendale, quindi al di fuori delle politiche di protezione offerte dall’azienda ai propri lavoratori.
Ovviamente, le falle nei sistemi di sicurezza sono più probabili in un ambiente di smart working, soprattutto senza un’opportuna sensibilizzazione degli utenti finali. Consideriamo che, secondo alcuni fonti affidabili come “Security Magazine”, il 20% dei lavoratori non ha ricevuto alcuna formazione prima di iniziare a lavorare in modalità “smart”. Questo non rappresenta un rischio solo per i dati degli utenti, ma per l’intera azienda.
Ecco perché diventa ora più che mai fondamentale proteggere tutti i dispositivi, anche quelli che non si trovano più all’interno dei confini delle reti aziendali. Un adeguato approccio alla sicurezza da parte delle imprese non è mai stato più importante.
Certamente. Prenderei a titolo di esempio gli attacchi Ransomware perché sono quelli di maggiore impatto nell’immaginario collettivo. Un Ransomware è un malware progettato dai criminali informatici per prendere in ostaggio il computer o i dati fino al pagamento di un riscatto (“ransom” in inglese).
I vettori che trasmettono Ransomware sono sempre i soliti: quindi le e-mail, internet e i file (in modo particolare pdf). Basta un semplice clic al link sbagliato perché l’infezione si diffonda nell’intera rete.
Sensibilizzazione e formazione degli utenti. Quando riceve un’e-mail insolita l’utente dovrebbe seguire, almeno nella sua mente, questa checklist:
Dotarsi di opportuni strumenti per proteggere la propria infrastruttura IT come soluzioni di backup, antivirus, protezione della posta e soluzioni che facciano da filtro nella navigazione web degli utenti.
Applicare costantemente le patch a ogni dispositivo per garantire gli aggiornamenti sulla sicurezza.
Diciamo che avere un antivirus è una buona base di partenza, ma spesso può non essere sufficiente.
Gli antivirus tradizionali hanno di solito un approccio reattivo al problema. Mi spiego meglio: si dice spesso dagli operatori del settore che gli antivirus tradizionali sono basati su firme. In sostanza, quando un file viene rilevato come malware, viene generato un hash e viene archiviato in un database di firme di virus.
I programmi antivirus tradizionali scansionano i dispositivi per individuare eventuali file corrispondenti alla firma nota di un virus presente nel database e quando lo trovano lo mettono in quarantena. Quali sono i limiti di questo approccio?
Da qualche tempo invece si sente parlare di soluzioni di Endpoint Detection & Response (soluzioni EDR).
Gli EDR hanno un approccio proattivo agli attacchi. Sono basati su motori di machine learning e intelligenza artificiale e questo consente loro di identificare i comportamenti sospetti e chiedersi:
Questo approccio consente all’EDR di agire tempestivamente al presentarsi di un attacco.
Ti permette di vedere la cronologia dell’attacco così da comprendere il ciclo di vita di un attacco, strumento utile per prevenire minacce future
3 misure preventive che interrompono i danni causati dalla minaccia:
ELIMINAZIONE: interrompe l’attacco immediatamente.
QUARANTENA: eventuali eseguibili pericolosi vengono spostati in un’area protetta così da renderli inoffensivi e da impedirne la diffusione nell’endpoint.
DISCONNESSIONE DALLA RETE: si impedisce al malware di diffondersi all’interno della rete provocando danni ancora maggiori.
A queste funzionalità tipicamente presenti in una soluzione EDR, la soluzione proposta da Noratech N-Able EDR aggiunge due ulteriori misure come risposta agli attacchi che ci consentono di ripristinare lo stato dell’endpoint precedente alla minaccia:
APPLICAZIONE DI UN RIMEDIO: consente di eliminare il danno causato dalla minaccia, ma non è un rollback completo che torna indietro a un determinato punto nel tempo.
ROLLBACK: viene ripristinata un’istantanea salvata come copia Shadow del volume (VSS) del dispositivo. Si ripristina lo stato dell’endpoint precedente ai danni causati dall’attacco.
Ecco perché noi operatori del settore chiamiamo questa soluzione LA MACCHINA DEL TEMPO, perché qualunque sia il ransomware o il malware dal quale veniamo attaccati, qualunque sia il suo percorso, anche nel peggiore dei casi… siamo in grado di riportare la macchina indietro nel tempo, allo stato precedente all’attacco.
Luca non poteva essere più chiaro ed esaustivo di così.
Noratech s.r.l.
via dei lavoratori 3, 23010 Buglio in Monte (SO) - SEDE LEGALE: via Erbosta 20, 23017 Morbegno (SO)
Tel. 0342.1590108 - Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. Fax. 0342.1590212 - PEC Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
Numero REA SO-73293 - P.IVA e C.F. 00972950141 Capitale sociale € 10.000 i.v.