Uno studio sui ransomware pubblicato da Sophos ha dimostrato che più della metà delle aziende di medie dimensioni intervistate in Germania sono state vittime di ransomware negli ultimi dodici mesi e che queste aziende hanno subito in media oltre 400.000 euro di danni a causa del fallimento o restrizione delle attività commerciali. Un commento di Michael Veit, Technology Evangelist di Sophos.
Un attacco informatico non è quindi più l'eccezione, come lo era nei decenni precedenti. Ora è la norma e interessa organizzazioni di tutte le dimensioni. I titoli quasi quotidiani sui nuovi attacchi ransomware a grandi aziende, ospedali o università sono chiari segnali che la situazione delle minacce è cambiata negli ultimi anni e mesi.
Sicurezza in transizione
Solo tre o quattro anni fa, ai tempi del ransomware Locky, gli attacchi erano molto diffusi. Pagando un riscatto relativamente modesto da 300 a 500 euro, le vittime hanno ricevuto il codice di decrittazione per tornare alla raccolta privata di foto, ma anche ai dati sul file server aziendale crittografato. Ma poi i criminali informatici hanno iniziato a concentrarsi sugli obiettivi veramente redditizi, sulle aziende e su altre grandi organizzazioni.
Uno studio sui ransomware pubblicato da Sophos ha dimostrato che più della metà delle aziende di medie dimensioni intervistate in Germania sono state vittime di ransomware negli ultimi dodici mesi e che queste aziende hanno subito in media oltre 400.000 euro di danni a causa del fallimento o restrizione delle attività commerciali.
I criminali informatici stanno cambiando le loro tattiche sul ransomware
Inoltre, i criminali informatici hanno cambiato tattica. Dopo un'infezione riuscita, i dati non vengono immediatamente crittografati. Invece, gli intrusi ora stanno solo lentamente e con cautela spiando le reti aziendali per identificare dati aziendali promettenti e annidarsi su quanti più sistemi possibile all'interno della rete. E prima che gli hacker crittografino effettivamente i dati con ransomware, rendano inutilizzabili i backup e paralizzino parzialmente o completamente l'azienda, gli hacker rubano prima segreti commerciali e dati personali. Perché se gli hacker attaccano e crittografano computer e dati con ransomware, hanno i dati che sono già stati rubati come ulteriore mezzo di pressione e minacciano di pubblicarli se l'azienda interessata non vuole pagare il riscatto del ransomware, ad esempio a causa di un buon concetto di backup. Con la pubblicazione dei dati rubati, l'azienda è minacciata di perdita di reputazione, danni derivanti dalla divulgazione di segreti commerciali e, ultimo ma non meno importante, sanzioni ai sensi del GDPR se i dati personali vengono pubblicati. Non per niente l'Ufficio federale di polizia criminale nella sua Cybercrime Bundeslagebild 2020 pubblicata nel settembre 2019 definisce il ransomware "la principale minaccia esistenziale per le aziende".
Le misure tradizionali non offrono più protezione
Sorge la domanda su cosa possono (e devono) fare le organizzazioni e le aziende per evitare di diventare la prossima vittima. Non c'è dubbio che le tradizionali misure di protezione come firewall e antivirus non offrano più una protezione sufficiente contro gli aggressori professionisti. Il Bundesverband IT-Sicherheit eV (TeleTrusT), che, tra l'altro, ha un'influenza significativa sulle valutazioni delle compagnie di assicurazione contro i rischi informatici, definisce lo "stato dell'arte" nel 2020 come endpoint detection and response – in breve EDR. EDR è un approccio olistico all'endpoint e al server che, oltre alle moderne tecnologie di protezione come la protezione da exploit e ransomware, include anche il rilevamento dell'attività degli hacker a livello aziendale e il contenimento delle minacce. Con EDR, le fasi preliminari degli attacchi e delle attività degli hacker possono essere rilevate nella fase in cui un utente malintenzionato si sta guardando intorno alla rete e si sta diffondendo.
EDR e MDR come nuove misure
Tuttavia, per far funzionare l'EDR in modo efficace, è necessario personale specializzato, XNUMX ore su XNUMX, nei fine settimana e nei giorni festivi. Per questo motivo, sempre più produttori e fornitori di servizi offrono servizi di Managed Detection and Response (MDR), che monitorano continuamente le proprie reti alla ricerca di minacce per conto delle aziende da proteggere. Nella maggior parte dei casi, questo servizio è più economico ed efficace che se le aziende istituissero a tale scopo il proprio Security Operations Center (SOC) e lo dotassero di propri specialisti.
Quando si sceglie una soluzione EDR, le aziende dovrebbero assicurarsi che la soluzione non solo rilevi gli attacchi in un secondo momento, ma li prevenga anche dall'inizio con ampie funzioni di protezione degli endpoint NextGen. E se un'azienda decide di utilizzare l'MDR, il fornitore dell'MDR non solo dovrebbe essere in grado di rilevare un attacco, ma anche di fermarlo autonomamente previa consultazione con l'azienda interessata.
Sicurezza informatica all'avanguardia per le aziende
In sintesi, oggi le aziende devono investire molto più impegno nell'area della sicurezza informatica per proteggersi da aggressori altamente professionali e proteggersi dai danni. I tradizionali meccanismi di protezione da soli non sono più efficaci, ma poiché questa costellazione è ancora presente in molte aziende, i moderni attacchi informatici hanno attualmente così tanto successo e trovano nuove vittime ogni giorno. Il GDPR e l'assicurazione contro il rischio informatico richiedono lo "stato dell'arte", definito oggi dalle soluzioni di rilevamento e risposta degli endpoint, comprese le operazioni professionali. Ecco perché le organizzazioni hanno bisogno di servizi di rilevamento e risposta gestiti de facto per consentire al management e all'IT di soddisfare le richieste. Perché la sicurezza IT non deve più essere vista come un fattore di costo come lo era in passato: oggi consente niente di meno che la sopravvivenza delle aziende che utilizzano i sistemi IT in qualche modo.
Ulteriori informazioni su Sophos.com
A proposito di Sophos Sophos gode della fiducia di oltre 100 milioni di utenti in 150 paesi. Offriamo la migliore protezione contro le minacce informatiche complesse e la perdita di dati. Le nostre soluzioni di sicurezza complete sono facili da implementare, utilizzare e gestire. Offrono il costo totale di proprietà più basso del settore. Sophos offre soluzioni di crittografia pluripremiate, soluzioni di sicurezza per endpoint, reti, dispositivi mobili, e-mail e web. C'è anche il supporto dei SophosLabs, la nostra rete globale di centri di analisi proprietari. Le sedi di Sophos sono a Boston, USA e Oxford, UK.