Il passaggio massiccio al lavoro a distanza ha modificato la modalità con cui le aziende stanno ripensando i loro modelli di business. Mentre i dirigenti d’azienda stabiliscono nuove policy per permettere ai dipendenti di lavorare a distanza ben oltre la durata inizialmente prevista, sta emergendo una nuova era, quella della forza lavoro ibrida, in gran parte suddivisa tra ufficio e ambienti di lavoro a distanza.
Se da un lato questa transizione porta numerose opportunità per le aziende e i dipendenti, dall’altro fornisce nuove occasioni ai criminali informatici per approfittare dei reparti IT in difficoltà e che si sono assunti ulteriori responsabilità per garantire la sicurezza dei dati sensibili, sia all’interno che all’esterno della rete aziendale.
Sebbene le minacce ai dati aziendali variano nella modalità di attacco, il ransomware continua a essere l’attacco più importante e conosciuto dalle aziende di tutto il mondo, registrando un aumento del 41% nel solo 2019. È importante che le aziende siano in grado di riconoscere questa minaccia così come di adottare strategie per prepararsi, difendersi e porre rimedio agli incidenti, e ciò deve avvenire prima di passare a una modalità di lavoro ibrida.
Questo processo eviterà alle organizzazioni di cadere vittime di attacchi in cui la perdita di dati o il pagamento di un riscatto sono le uniche opzioni. Per vincere la guerra contro il ransomware, le aziende devono prevedere un piano specifico per i reparti IT che garantisca loro la resilienza necessaria per superare qualsiasi attacco. Vediamo più nel dettaglio tre passaggi chiave che ci possono aiutare in questo.
Parola d’ordine formazione
La formazione, che inizia dopo l’identificazione dei criminali informatici responsabili delle minacce – dovrebbe essere il primo passo verso la resilienza. Per non essere colti alla sprovvista e poter reagire solo a fatto accaduto, è importante comprendere i tre principali meccanismi di ingresso: RDP connessi a Internet o altri accessi remoti, attacchi di phishing e vulnerabilità del software. Una volta che le aziende sanno dove si nascondono le minacce, possono fare formazione con specifiche strategie per perfezionare la sicurezza dell’IT e degli utenti, mettendo in atto nuove tattiche di preparazione.
L’identificazione dei tre meccanismi principali può aiutare i responsabili IT a isolare i server RDP con componenti di backup, integrare strumenti per valutare la minaccia degli attacchi di phishing affinché siano individuate e risolte correttamente, e comunicare agli utenti gli aggiornamenti ricorrenti da effettuare a determinate categorie critiche di risorse IT, come ad esempio i sistemi operativi, le applicazioni, i database e i firmware dei dispositivi.
Inoltre, sapere come utilizzare gli strumenti per contrastare un attacco ransomware permetterà di familiarizzare con i diversi scenari di ripristino. Che si tratti di un processo di ripristino sicuro che si interromperà quando verrà rilevato il malware o di un software in grado di rilevare il ransomware prima del ripristino di un sistema, la capacità di saper affrontare diversi scenari di ripristino sarà un aspetto inestimabile per le aziende. Quando si verifica un attacco, sapranno riconoscere, comprendere e avere fiducia nel processo di ripristino. Seguendo questi pochi passi, le aziende possono ridurre i rischi legati a un ransomware, i costi e la pressione che si accumula nel far fronte ad un attacco senza essere preparati.
Adottare soluzioni di backup che garantiscono continuità del business
Una parte importante per contrastare la resilienza del ransomware è l’implementazione dell’infrastruttura di backup per creare e mantenere una solida continuità di business. Le aziende devono disporre di un sistema affidabile che protegga i server e che impedisca loro di dover pagare per riavere i dati. Considerate la possibilità di mantenere il server di backup isolato da internet e di limitare gli account condivisi che garantiscono l’accesso a tutti gli utenti. Assegnate invece compiti specifici all’interno del server che siano rilevanti per gli utenti e che richiedano un’autenticazione a due fattori per l’accesso al desktop remoto. Inoltre, i backup con una copia air-gapped, offline o inalterabile dei dati abbinati all’approccio del 3-2-1, forniranno una delle difese più decisive contro il ransomware, le minacce da parte del personale e l’eliminazione accidentale.
Inoltre, il rilevamento tempestivo di un ransomware offre ai reparti IT un vantaggio significativo. Ciò richiede l’utilizzo di strumenti in grado di segnalare possibili attività sospette. Per i dispositivi endpoint in remoto, i repository di backup creati per identificare i pericoli forniranno all’IT ulteriori informazioni sulla vasta area da analizzare da cui possono arrivare le minacce.
Se le implementazioni non dovessero impedire gli attacchi, un’altra opzione praticabile è la crittografia dei backup, laddove possibile, per un ulteriore livello di protezione – i criminali informatici che chiedono un riscatto per riavere i dati non vogliono doverli decodificare. Quando si tratta di un ransomware, non esiste un unico modo per recuperare i dati, ma ci sono molte altre opzioni oltre a queste che le aziende possono intraprendere.
La cosa importante da ricordare è che la resilienza si baserà su come vengono implementate le soluzioni di backup, sul comportamento della minaccia e su come vi verrà posto rimedio. Prendetevi del tempo per ricercare le opzioni disponibili e assicuratevi che le soluzioni siano correttamente implementate per proteggere la vostra azienda.
Prepararsi in anticipo per porre rimedio a un attacco
Anche quando sono in atto misure che fanno leva sulla formazione e sulle tecniche di implementazione per combattere il ransomware prima che un attacco colpisca, le aziende dovrebbero comunque essere pronte a porre rimedio a una minaccia.
I livelli di difesa contro gli attacchi sono preziosissimi, ma le aziende devono anche aver ben chiaro cosa fare quando una minaccia viene scoperta. Se si verifica un attacco ransomware, bisogna disporre di un adeguato supporto per guidare il processo di ripristino in modo che i backup non siano messi a rischio. La comunicazione è fondamentale, disporre di un elenco di contatti per la sicurezza, per rispondere agli attacchi e per la gestione delle identità, all’interno all’esterno dell’azienda, contribuirà a facilitare il processo di ripristino.
A questo punto, predisponete un processo decisionale pre-approvato. Quando arriva il momento di prendere decisioni, come ad esempio se ripristinare o meno i dati aziendali in caso di attacco, bisogna sapere a chi rivolgersi.
Se le circostanze permettono il ripristino, l’IT deve conoscere le opzioni di ripristino attuabili in base alle circostanze. Prima di rimettere i sistemi in rete occorre effettuare ulteriori controlli di sicurezza- come una scansione antivirus prima del completamento del ripristino – e assicurarsi che sia in corso il giusto processo. Una volta completato il processo, implementate un cambiamento forzato delle password per ridurre il riemergere della minaccia.
Il ransomware è una minaccia reale per piccole e grandi aziende. Sebbene nessuno sia in grado di prevedere quando o come avverrà un attacco, i reparti IT che dispongono di una solida difesa e di una strategia multistrato hanno maggiori possibilità di recupero. Con la giusta preparazione, le procedure che abbiamo delineato possono migliorare la resilienza di qualsiasi azienda – sia in ufficio, sia in remoto o una combinazione delle due – per contrastare un attacco ransomware ed evitare la perdita di dati e finanziaria, così come danni alla reputazione aziendale o altro ancora.