Lo scenario peggiore: un ransomware può diffondersi con successo in un'azienda e crittografare i dati su PC e unità. Successivamente, sullo schermo viene visualizzata una richiesta di riscatto. In che modo un'azienda dovrebbe prendere decisioni dopo un attacco ransomware? Gli esperti di sicurezza danno consigli. Commenti di Kaspersky, G Data, Sophos, Trend Micro, Bitdefender, AV-TEST, Bitglass, Digital Guardian, Fore Nova, Radar Cyber Security, Barracuda Networks.
Di solito ci vogliono solo pochi secondi: viene aperto un file, a volte viene eseguito uno script, il ransomware viene eseguito e inizia immediatamente a diffondersi nella rete aziendale. In molte aziende ora esiste spesso un protocollo di emergenza per questo scenario peggiore, che avvia le misure appropriate e limita i danni. Questi log inoltre non prevedono il pagamento di un riscatto, il che è un bene.
Tuttavia, molte aziende ritengono di essere ben preparate per un attacco ransomware; ma in realtà non lo è. Perché i sistemi di sicurezza esistenti sono spesso sopravvalutati o non possono essere adeguatamente valutati dal know-how interno. Questo problema riguarda non solo le piccole e medie imprese, ma anche le aziende più grandi. I popolari attacchi ransomware degli ultimi anni dimostrano che è così. Nel maggio 2017, l'intero paese ha potuto assistere a un simile attacco, quando la richiesta di pagamento del ransomware WannaCry è stata visualizzata su quasi tutti i nuovi display della Deutsche Bahn. Elenchiamo gli attacchi più noti più avanti in questo articolo.
La maggior parte degli attacchi, ovviamente, va sotto un pubblico più ristretto. Ma grazie al GDPR e all'obbligo di segnalare un attacco in cui i dati sono probabilmente trapelati, le segnalazioni sono quasi quotidiane.
Ransomware: ora zero
Che sia preparata bene o male: ogni azienda è bersaglio di attacchi ransomware e può esserne vittima. Dopo un attacco riuscito, le aziende continuano a porsi le stesse domande: cosa possiamo fare ora? Paghiamo ora? Al più tardi quando manager ed esperti finanziari si siedono al tavolo accanto agli esperti di sicurezza, la questione del pagamento del riscatto diventa una decisione economica. Questo è ciò che è accaduto, ad esempio, nell'attacco all'operatore statunitense di oleodotti Colonial nel maggio di quest'anno. Molti dei sistemi di controllo dell'oleodotto erano crittografati e dovevano essere chiusi. La dichiarazione ufficiale: non si può valutare il danno al sistema causato. Pertanto, non si può dire con certezza quando il gasdotto potrà essere nuovamente connesso alla rete. Con questo ragionamento, Colonial Pipeline ha pagato il riscatto di 4,4 milioni di dollari in Bitcoin. Lo shock successivo, però, è arrivato subito: gli strumenti di decrittazione forniti dai ricattatori hanno riparato solo in parte il danno. Di conseguenza, l'azienda ha potuto riavviare la pipeline solo in modalità di emergenza e con prestazioni ridotte. Ulteriori costi per la riparazione dei sistemi di controllo erano ancora in sospeso.
Pagare o non pagare?
Come nel caso di Colonial Pipeline, le aziende colpite da ransomware dietro le quinte scelgono di pagare il riscatto, credendo che sia il minore dei due mali. I calcolatori particolarmente audaci nelle aziende spesso calcolano con una matita appuntita il danno che si verifica quando determinati dati vengono persi, devono essere reinseriti o parti dell'attività corrente non possono essere elaborate. La somma del riscatto viene quindi impostata su questo. Alcune aziende – anonime – hanno già dovuto sperimentare dolorosamente che tali calcoli sono per lo più senza senso. Perché nel loro conto hanno dimenticato di aver pagato per riparare un sistema compromesso, solo per scoprire poco dopo che gli aggressori avevano ancora pieno accesso ai sistemi. Inevitabile una riconversione e una nuova struttura dell'intera rete aziendale.
I responsabili del servizio sanitario irlandese HSE hanno mostrato che c'è un altro modo. Dopo il grave attacco hacker del maggio di quest'anno, dati importanti sono stati crittografati, cosicché gli ospedali del paese hanno dovuto annullare numerosi appuntamenti per le cure. Ne è stato colpito anche un sistema di prescrizione elettronica per le farmacie. I responsabili di HSE hanno spento i sistemi e si sono immediatamente messi al lavoro per ripristinare i sistemi ei dati. È stato subito reso pubblico che HSE non pagherà alcun riscatto agli estorsori del ransomware, ma utilizzerà i soldi per ripristinare e ricostruire il sistema. Gli esperti affermano inoltre che questa decisione rende molto meno probabile un altro attacco ransomware. Gli aggressori scelgono principalmente obiettivi per i quali si sa o si sospetta che verrà pagato anche un riscatto.
Appello politico per una strategia a riscatto zero
Nel frattempo, il problema del ransomware è arrivato anche in politica. Si è capito che ogni dollaro, euro o bitcoin pagato finanzia nuovi attacchi. Si aumentano gli attacchi con ransomware e ci si trova in una spirale sempre crescente. Ecco perché i politici chiedono che tutto questo finisca. Il presidente degli Stati Uniti Biden ha recentemente compiuto il primo passo verso una strategia a riscatto zero. È stato stabilito che un attacco ransomware segnalato sarebbe stato equiparato a un attacco terroristico. Questo aumento dell'importanza del crimine consente un maggiore accesso alle risorse di sicurezza nazionale all'interno degli Stati Uniti. Nel caso di Colonial Pipeline, ad esempio, l'FBI e altre istituzioni statunitensi sono intervenute e hanno tracciato i pagamenti in Bitcoin ai ricattatori. È quindi riuscito a recuperare 2,7 dei 4,4 milioni di dollari di riscatto dal gruppo Darkside e distruggere l'infrastruttura dei loro sistemi di pagamento.
Inoltre, i gruppi APT Darkside e REvil/Sodinokibi hanno cercato di prendere le distanze dagli effetti degli attacchi Colonial Pipeline e JBS (lavoratori di carne americani) con dichiarazioni inedite. Secondo lo specialista della sicurezza Avast, l'azione del governo degli Stati Uniti ha persino causato la scomparsa degli annunci di ransomware dai grandi forum clandestini. E: si dice che i cosiddetti partner commerciali abbiano trascinato Darkside davanti al tribunale degli hacker per lamentarsi delle loro perdite, ovunque si incontri questo tribunale degli inferi.
Anche in Gran Bretagna si sentono voci che consigliano una strategia a riscatto zero. I portavoce del centro di sicurezza informatica dei servizi segreti GCHQ chiedono persino un divieto legale di pagamento del riscatto agli hacker. Questo è l'unico modo per distruggere il modello di business dei gruppi APT, dal momento che la criminalità organizzata si finanzia con il riscatto.
In Germania ci sono colloqui politici in tema di cyber defence e ransomware, ma non passi come quelli compiuti dagli USA o pianificati in parte dalla Gran Bretagna. Sarebbe necessario, come mostra l'articolo di quest'anno su Zeit Online: almeno 100 uffici tedeschi, agenzie governative, cliniche statali, amministrazioni cittadine e tribunali sono stati attaccati da bande di ransomware negli ultimi sei anni.
Cosa consigliano gli esperti alle aziende
Abbiamo chiesto a un folto gruppo di esperti di sicurezza come le aziende dovrebbero reagire al meglio in caso di attacco ransomware. Hanno risposto alcuni cosiddetti evangelisti dei produttori di sicurezza, nonché esperti del laboratorio di test AV-TEST. Inoltre, abbiamo raccolto i commenti dei produttori che offrono speciali soluzioni di rilevamento e risposta o la classica protezione di rete. La cosa interessante è che alcuni esperti si rifiutano rigorosamente di pagare in caso di attacco ransomware. Altri sostengono che la redditività può essere il fattore decisivo, ad esempio quando l'esistenza dell'azienda è a rischio. Di seguito i commenti.
Kaspersky-Christian Funk
Christian Funk, capo del team di ricerca e analisi nella regione DACH di Kaspersky (Immagine: Kaspersky).
Un commento di Christian Funk, capo del team di ricerca e analisi di Kaspersky. “Secondo Bitkom, il danno causato dal ransomware è più che quadruplicato negli ultimi due anni. Le nostre analisi mostrano che circa 20 criminali informatici prendono di mira in particolare organizzazioni di alto rango e minacciano di pubblicare dati come ulteriore mezzo di pressione dal 2019 se le richieste di riscatto non vengono soddisfatte. Questo è ora inteso come "Big Game Hunting". Tali attacchi mirati sono aumentati del 767% dal 2019 al 2020. La pandemia ha spinto molte aziende a creare ed espandere rapidamente un accesso adeguato per gli uffici domestici. Ciò ha spesso portato a sistemi scarsamente protetti o configurati in modo errato che gli aggressori possono sfruttare come gateway e sono un fattore trainante per il significativo aumento di questa offensiva ransomware.
“Le organizzazioni di alto livello stanno attaccando sempre più in modo mirato”
Le persone colpite non dovrebbero pagare un riscatto. Non vi è alcuna garanzia che i dati crittografati vengano ripristinati, tuttavia, i criminali informatici sono confermati nelle loro attività criminali. Per prevenire potenziali perdite di dati, è necessario eseguire regolari aggiornamenti di sicurezza per eliminare le vulnerabilità il più rapidamente possibile. Un software di sicurezza efficace per tutti i dispositivi finali protegge anche computer e server da ransomware e malware, impedisce l'utilizzo di exploit ed è idealmente compatibile con le soluzioni di sicurezza già installate. Inoltre, i backup dovrebbero sempre essere eseguiti a intervalli ragionevoli. Kaspersky.de
G Data - Tim Berghoff
Tim Berghoff, Security Evangelist presso G DATA CyberDefense (Immagine: G Data).
Un commento di Tim Berghoff, Security Evangelist di G DATA CyberDefense: "Ci sono idee chiare su come le aziende dovrebbero affrontare il ransomware: ripristinare i backup, segnalare il caso all'autorità per la protezione dei dati se necessario, sporgere denuncia e soprattutto: mai pagare un riscatto. E in effetti, senza eccezioni, effettuare un pagamento è la peggiore opzione possibile.
"Effettuare un pagamento è, senza eccezioni, la peggiore opzione possibile"
Tuttavia, ci sono anche motivi che possono parlare a favore di un pagamento in singoli casi. Uno di questi motivi è puramente economico. Quando il costo della produzione persa, delle potenziali multe e del ripristino dei dati supera notevolmente il riscatto, la decisione viene presa rapidamente. Se si è verificato il crollo e non è disponibile alcun backup, l'idea di un pagamento è ovvia. Soprattutto quando l'azienda è minacciata di collasso finanziario. Questo nonostante il fatto che le richieste di riscatto siano aumentate fino al 2020% in media solo tra il 2021 e il 500. Allo stesso tempo, anche il numero di pagamenti effettivamente effettuati è aumentato drasticamente. Inoltre, molte vittime vengono ricattate più volte, con gli autori che crittografano i dati e minacciano di pubblicarli, e lo fanno nonostante il pagamento. Una maggiore resilienza è all'ordine del giorno, soprattutto quando programmi mission-critical come Microsoft Exchange o software di gestione utilizzati da MSP come Kaseya diventano il bersaglio di attacchi, come è avvenuto negli ultimi mesi. GData.de
Sophos-Michael Veit
Michael Veit, esperto di sicurezza di Sophos (Immagine: Sophos).
Un commento di Michael Veit, esperto di sicurezza di Sophos “La questione cruciale dopo un attacco ransomware: pagare o non pagare. Di volta in volta, le aziende sono inclini a pagare ingenti somme di riscatto agli aggressori ransomware in una situazione di emergenza. Ci sono molti esempi in cui i gestori sono stati costretti a conformarsi perché i presunti backup di salvataggio erano crittografati o danneggiati. Vogliono rimettere in funzione la loro infrastruttura IT il più rapidamente possibile o scelgono di pagare perché sembra più economico del costo del ripristino. Un altro motivo comune è impedire che i dati rubati vengano venduti o resi disponibili al pubblico. Colonial Pipeline ha anche citato uno di questi motivi come giustificazione del pagamento.
"Chi paga deve essere consapevole del fatto che non fornisce alcuna garanzia di recupero dei dati"
Tuttavia, il pagamento dei riscatti non dovrebbe essere visto solo in modo critico da un punto di vista legale. Bisogna essere consapevoli del fatto che non fornisce alcuna garanzia di recupero dei dati. Nel rapporto State of Ransomware Report 2021, Sophos ha rilevato che le aziende sono state in grado di recuperare in media solo il 65% dei propri dati dopo aver pagato i riscatti. Solo l'8% delle aziende ha recuperato tutti i propri dati e il 29% è stato in grado di risparmiare meno della metà attraverso il pagamento. Oltre al riscatto, bisogna tener conto dell'elevato danno accompagnatorio e consequenziale. Il costo medio per riprendersi da un attacco ransomware è più che raddoppiato in un solo anno, passando da circa 390.000 euro in Germania a 970.000 euro nel 2021.
La crescente intensità criminale, la creatività e l'intelligenza degli aggressori non possono essere contenute, gli sviluppi degli ultimi anni descrivono il contrario. Tuttavia, ci sono molte e spesso inutilizzate possibilità per ridurre il potenziale di rischio.
Non dovrebbe essere necessario un attacco prima che un'azienda o un'organizzazione prenda una posizione più forte nella sicurezza informatica. Dovresti ora dedicare il tempo e le risorse per valutare la situazione della sicurezza al fine di stabilire immediatamente e con il massimo livello di competenza - sia internamente che con specialisti esterni - una difesa migliore e precoce ove possibile. Sophos.com
Trend Micro – Udo Schneider,
Udo Schneider, IoT Security Evangelist Europe presso Trend Micro (Immagine: Trend Micro).
Un commento di Udo Schneider, IoT Security Evangelist Europe di Trend Micro: "Una protezione efficace dal ransomware dovrebbe iniziare sia a livello di rete che di endpoint e svolgere tre funzioni di base: protezione preventiva contro gli attacchi, rilevamento rapido di incidenti sospetti e funzionamento persistente.
Oltre all'IT, anche l'Internet of Things sta diventando vittima di software di ricatto. Uno studio di Trend Micro mostra che le varianti delle famiglie di malware Ryuk, Nefilim e Sodinokibi sono state responsabili di quasi la metà delle infezioni ransomware del sistema di controllo industriale nel 2020. Pertanto, è fondamentale che i team di sicurezza IT e OT collaborino più strettamente per identificare i sistemi chiave e le dipendenze come la compatibilità del sistema operativo e i requisiti di runtime al fine di sviluppare strategie di sicurezza più efficaci.
" Oltre all'IT, anche l'Internet of Things sta diventando sempre più vittima di software di ricatto."
La correzione immediata delle vulnerabilità è la massima priorità. Se questa opzione non esiste, le aziende dovrebbero utilizzare la segmentazione della rete e il virtual patching. Inoltre, le condivisioni di rete devono essere limitate e devono essere applicate combinazioni complesse di nome utente e password. Ciò impedisce l'accesso non autorizzato mediante la forzatura bruta delle credenziali. Inoltre, le aziende dovrebbero fare affidamento sul principio del privilegio minimo per gli amministratori e gli operatori di rete. Sfortunatamente, non esiste una panacea per gli attacchi ransomware. Ecco perché è fondamentale un concetto di sicurezza che comprenda diversi livelli”. TrendMicro.com
Bitdefender - Daniel Clayton
Daniel Clayton, Vice President of Global Security Operations and Support di Bitdefender (Immagine: Bitdefender).
Un commento di Daniel Clayton, Vice President of Global Security Operations and Support di Bitdefender: “Guardando i titoli, sembra che gli attacchi ransomware siano all'ordine del giorno. I dati di telemetria di Bitdefender analizzati nel nostro Consumer Threat Report di metà aprile 2021 lo dimostrano: nel 2020, il numero di attacchi con malware di estorsione è aumentato del 2019% rispetto al 715. I criminali minacciano sempre più non solo di crittografare i dati, ma anche di venderli e divulgarli. Quest'ultima è una minaccia efficace semplicemente a causa dell'obbligo di segnalazione in base al GDPR e ad altri regolamenti. I responsabili IT dovrebbero quindi essere consapevoli del fatto che prima o poi la loro azienda può cadere vittima di un attacco estorsivo. Gli attacchi ransomware possono essere di natura abbastanza semplice, ma sono spesso complessi. In quest'ultimo caso, c'è un alto rischio che gli hacker si siano già inseriti nella rete dopo aver pagato un riscatto e si stiano effettivamente preparando per il prossimo attacco.
"Pagare un riscatto fa sì che un attacco abbia successo e che nuovi attacchi siano più probabili"
Dovresti pagare il riscatto? La risposta chiara è: no. Perché il pagamento di un riscatto rende tale attacco riuscito e nuovi attacchi più probabili. Finché le aziende continueranno a pagare i riscatti, gli hacker inizieranno nuove estorsioni. Ecco perché la prevenzione, l'MDR e la riduzione al minimo dei danni potenziali attraverso il backup e il ripristino sono fondamentali. Inoltre, gli hacker ricordano le aziende che hanno pagato una volta come buoni bersagli per il futuro. La probabilità di recidiva è significativamente inferiore per una vittima non pagante. Bitdefender.com
AV TEST – Maik Morgenstern
Maik Morgenstern, CTO AV-TEST GmbH (Immagine: AV-TEST).
Un commento di Maik Morgenstern, CTO AV-TEST GmbH: AV-TEST registra ogni giorno più di 400.000 nuovi campioni di malware e ogni azienda lo sa per esperienza personale: vengono costantemente attaccati. Il ransomware è da diversi anni uno dei modelli di business "di maggior successo" per i criminali. Per prima cosa, gli attacchi sono relativamente facili da eseguire. Gli aggressori acquistano il ransomware finito come servizio, utilizzano fornitori di servizi di spam e attaccano molte aziende in un colpo solo senza alcuno sforzo.
"La necessità di prevenzione non può essere sopravvalutata"
Inoltre, c'è l'alto livello di sofferenza subito dalle vittime e la conversione diretta di un'infezione riuscita in valore nominale. Anche se viene ripetutamente consigliato di non pagare, alcune aziende non hanno scelta. Pertanto, la necessità di prevenzione non può essere qui sopravvalutata. Oltre alle misure comuni come backup regolari e completi e prodotti di protezione sempre aggiornati su client e gateway, è necessario considerare anche il fattore di ingegneria sociale. Tutti gli utenti dovrebbero essere preparati a regolari corsi di formazione sul tipo di attacchi e sulla corretta reazione a potenziali e-mail di spam e malware. AV-TEST.org
Bitglass: Anurag Kahol
Anurag Kahol, CTO Bitglass (Immagine: Bitglass).
Un commento di Anurag Kahol, CTO Bitglass: “Nelle loro difese contro il ransomware, le organizzazioni si concentrano principalmente sulla chiusura di qualsiasi vettore di attacco. Per fare ciò, utilizzano soluzioni di sicurezza intelligenti che contrassegnano e bloccano le e-mail sospette, proteggono il malware sugli endpoint e nel cloud e proteggono l'accesso non autorizzato alle risorse aziendali. Per una strategia globale contro il ransomware, tuttavia, prevenire un'infestazione è solo una faccia della medaglia: raramente esiste un piano d'azione per il livello di escalation successivo, un attacco riuscito.
"Raramente c'è un piano d'azione per il prossimo livello di escalation: un attacco riuscito"
Le priorità per questo sono ovvie: prima di tutto, si tratta di mantenere le operazioni aziendali o riprenderle il più rapidamente possibile. Per prepararsi a questo, le aziende devono valutare la rilevanza dei singoli componenti dei loro sistemi IT per le operazioni aziendali, affrontare vari scenari di guasto e adottare le opportune precauzioni per le operazioni di emergenza. Anche la protezione dei dati aziendali sensibili è importante, perché esiste il rischio che i criminali informatici li rubino e ne facciano un uso improprio per i propri scopi. Le aziende possono prevenire questo scenario crittografando continuamente i dati sensibili. Quando tutti i livelli di misure lavorano insieme - difesa dalle infezioni ransomware, salvaguardia della continuità aziendale e protezione costante dei dati aziendali più preziosi - le aziende possono aumentare significativamente la loro resilienza contro gli attacchi ransomware". Bitglass.com
Guardiano Digitale—Tim Bandos
Tim Bandos, Chief Information Security Officer presso Digital Guardian (Immagine: Digital Guardian).
Un commento di Tim Bandos, Chief Information Security Officer presso Digital Guardian: "Ogni anno, gli operatori e gli sviluppatori di ransomware evolvono il loro mestiere e la loro tecnologia. Il gruppo DarkSide dietro l'hack di Colonial Pipeline ha un modello di business professionale che lo chiarisce: i criminali forniscono supporto tecnico alle loro vittime, adottano un approccio "etico" alla selezione del bersaglio, rubano dati a scopo di estorsione e altro ancora.
"Esistono diverse soluzioni che possono aiutare a prevenire le infezioni da ransomware"
Esistono diverse soluzioni che possono aiutare a prevenire le infezioni da ransomware. Il software antivirus e i firewall possono almeno aiutare a bloccare ceppi di malware noti e prevalenti. Per una maggiore protezione, le organizzazioni dovrebbero prendere in considerazione le soluzioni Advanced Threat Protection (ATP) e Endpoint Detection and Response (EDR) per semplificare il rilevamento e il blocco dei ransomware. Managed Detection and Response (MDR) può anche essere una buona alternativa per le aziende che hanno difficoltà a implementare EDR da sole a causa delle risorse interne limitate.
Le soluzioni di whitelisting delle applicazioni dovrebbero essere utilizzate anche per impedire l'esecuzione di codice dannoso. Dovresti anche prestare attenzione al corretto monitoraggio delle autorizzazioni. Qualsiasi dipendente che ottiene l'accesso ai sistemi crea una potenziale vulnerabilità per il ransomware. Con un approccio alla sicurezza a più livelli composto da formazione dei dipendenti, pratiche di aggiornamento e backup continue e tecnologie di sicurezza, il rischio di un attacco ransomware può essere notevolmente ridotto. DigitalGuardian.com
ForeNova-Paul Smit
Paul Smit, direttore dei servizi professionali di ForeNova (Immagine: ForeNova).
Un commento di Paul Smit, direttore dei servizi professionali di ForeNova: “Non si tratta più di fermare gli attacchi individuali, si tratta di combattere le bande organizzate. Il ransomware è diventato criminalità organizzata. Ciò richiede una difesa corrispondente. Di fronte alle minacce ransomware, la prevenzione è essenziale.
"Non si tratta più di respingere gli attacchi individuali, ma di combattere le bande organizzate"
I backup proteggono i dati e possono prevenire la perdita di dati, ma non la divulgazione e la vendita di informazioni. Per la difesa è fondamentale riconoscere un attacco il prima possibile. Per fare ciò, tuttavia, è necessario osservare l'intero traffico di dati all'interno della rete e dall'interno e verso l'esterno. Si possono notare modelli di comportamento supportati dall'intelligenza artificiale come movimenti laterali sospetti, attacchi a falle di sicurezza o installazioni di malware, nonché intrusioni dannose, una cospicua perdita di dati o la preparazione immediata della crittografia. I sistemi interessati possono essere bloccati e gli attacchi contenuti rapidamente prima che causino danni.
Conviene pagare per gli attacchi ransomware? Niente parla per pagare un riscatto. Perché nessuno ha la garanzia che i dati vengano nuovamente decifrati. Restano comunque i danni causati dai tempi di inattività fino a quando gli impianti non saranno nuovamente operativi. Le informazioni che sono trapelate possono ancora essere vendute o sottratte a scopo di lucro. E la porta sul retro per il prossimo attacco potrebbe già essere di nuovo aperta. ForeNova.com
Sicurezza informatica radar – Ali Carl Gülerman
Ali Carl Gülerman, CEO e direttore generale di Radar Cyber Security (Immagine: Radar Cyber Security).
Un commento di Ali Carl Gülerman, CEO e General Manager di Radar Cyber Security: “Le aziende oggi sono in una battaglia costante contro le infiltrazioni. La sicurezza informatica deve quindi uscire dall'ombra dell'IT e diventare un modello decisionale strategico per il consiglio di amministrazione, simile alle risorse umane o alla ricerca e sviluppo. La sicurezza informatica è diventata da tempo parte della catena del valore.
“Le aziende oggi sono in una costante battaglia contro le infiltrazioni”
Per una prevenzione completa contro gli attacchi informatici, incluso il ransomware, le aziende dovrebbero considerare il proprio Cyber Defense Center o CDC as a Service, in quanto ciò può rafforzare notevolmente la loro resilienza informatica. Aiuta le organizzazioni ad analizzare l'enorme numero di avvisi, nuove minacce e anomalie identificate dall'infrastruttura di sicurezza tecnica.
Un Cyber Defense Center - noto anche come Security Operations Center (SOC) - collega esperti, processi e tecnologie di sicurezza IT. Presso il CDC, professionisti qualificati esaminano continuamente il traffico Internet, le reti, i desktop, i server, i dispositivi finali, i database, le applicazioni e altri sistemi IT alla ricerca di segnali di un incidente di sicurezza. In qualità di centro di comando della sicurezza di un'azienda, il CDC è responsabile del monitoraggio continuo della situazione della sicurezza al fine di prevenire attacchi e avviare contromisure appropriate in caso di violazione della sicurezza". RadarCS.com
Barracuda Networks—Klaus Gheri
Klaus Gheri, General Manager Network Security presso Barracuda Networks (Immagine: Barracuda).
Un commento di Klaus Gheri, General Manager Network Security di Barracuda Networks: “Pagare il riscatto o non pagare? La risposta politicamente corretta è non pagare, perché ciò riduce la tua desiderabilità come futuro obiettivo ripetuto. In pratica, ovviamente, il caso è diverso. Quando i dati essenziali non sono più accessibili o recuperabili con uno sforzo ragionevole, a un'azienda rimangono poche opzioni. Questa è quindi meno una decisione morale che una decisione commerciale. Naturalmente, il pagamento non ti esonera dalla necessità di un'indagine forense e successiva pulizia oltre a nuove misure protettive da adottare per proteggerti dal ripetersi. È tanto più consigliabile investire nella prevenzione finché è ancora possibile.
"Una volta che un attacco ransomware ha successo, solo una cura radicale di solito aiuta"
Se un attacco ransomware ha successo, l'unica cosa che di solito può aiutare è una cura radicale: spegnere i sistemi, reinstallarli e importare un backup, sempre con la speranza che il pacchetto ransomware non facesse già parte di un backup. Ma prima che il backup possa essere nuovamente importato, il gateway deve essere noto e la rete deve essere stata ripulita con getti di vapore digitali. Il modo più semplice e veloce per farlo è con un piano di emergenza già pronto. Sfortunatamente, il nocciolo della questione è che tali piani di emergenza spesso non esistono perché la necessità e il rischio per i propri sistemi non sono stati riconosciuti o sottovalutati. Spesso un problema viene risolto in fretta e ne sorgono due nuovi. La strategia non può che essere: azione rapida ma coordinata. Anche se un'organizzazione decide di pagare, la pulizia deve ancora essere eseguita, altrimenti tornerai nello stesso posto poco tempo dopo. barracuda.com