Diffusione del ransomware: il punto cieco della sicurezza

6. Gennaio 2022
| Non ci sono commenti

Condividi post

Il nuovo approccio alla protezione dell'identità previene le vulnerabilità critiche causate dal ransomware. Tuttavia, quasi nessuna organizzazione è in grado di impedire in modo proattivo la propagazione automatizzata del payload del ransomware una volta che ha aggirato le difese di consegna ed esecuzione. Un commento di Martin Kulendik, Regional Sales Director DACH di Silverfort.

L'estorsione informatica di ransomware rimane una delle principali minacce alla sicurezza per le aziende. La pratica comune nella sicurezza informatica oggi è proteggere dalle fasi di consegna ed esecuzione di questi attacchi. Tuttavia, quasi nessuna organizzazione è in grado di impedire in modo proattivo la propagazione automatizzata del payload del ransomware una volta che ha aggirato le difese di consegna ed esecuzione. Poiché il ransomware fa una grande differenza tra l'infezione di un singolo endpoint e la crittografia dei dati aziendali in blocco, la mancanza di capacità di prevenire questa è una vulnerabilità di sicurezza critica. Le misure di protezione sono quindi spiegate di seguito per ciascuna fase di un attacco ransomware: dalla consegna, all'esecuzione, alla distribuzione automatizzata.

Misure di protezione contro la distribuzione di ransomware

Nella fase di consegna, gli aggressori posizionano il payload del ransomware sul computer della vittima. I metodi più comuni utilizzati dai criminali informatici includono e-mail di phishing, accesso RDP (Remote Desktop Protocol) compromesso e attacchi watering hole, in cui i criminali informatici infettano i siti Web visitati frequentemente dai dipendenti.

La protezione è fornita da gateway di sicurezza e-mail che scansionano le e-mail per rilevare e rimuovere i contenuti rischiosi prima dell'interazione dell'utente, piattaforme di protezione degli endpoint che impediscono il download di potenziali malware e autenticazione a più fattori (MFA) per le connessioni RDP, impedendo agli aggressori di connettersi con credenziali compromesse.

Misure di protezione dall'esecuzione di ransomware

Nella fase di esecuzione, il payload del ransomware che è stato consegnato con successo alla workstation o al server viene eseguito con l'intenzione di crittografare i file di dati sul computer.

Le aziende si proteggono da questo utilizzando Endpoint Protection Platforms (EPP) sulle loro workstation e server. L'EPP mira a terminare l'esecuzione di qualsiasi processo rilevato come ransomware, prevenendo del tutto la crittografia dannosa.

Protezione contro la distribuzione automatica di ransomware

Nella fase di propagazione, il payload del ransomware viene copiato su molti altri computer nell'ambiente aziendale tramite autenticazione dannosa con credenziali compromesse. Una delle superfici di attacco più vulnerabili sono le cartelle condivise (condivise). In un ambiente aziendale, ogni utente ha accesso ad almeno alcune cartelle. Questo apre la strada alla diffusione del ransomware.

Come spiegato in precedenza, questa è la fase in cui si fanno i danni maggiori. Tuttavia, questa fase è ora un punto cieco nelle difese della sicurezza aziendale. Oggi non esiste alcuna soluzione di sicurezza in grado di impedire la diffusione automatica del ransomware in tempo reale. In pratica, ciò significa che una variante di ransomware che riesce a bypassare le misure di sicurezza per la consegna e l'esecuzione - e una certa percentuale di queste varianti lo fa sempre - può diffondersi all'interno dell'ambiente aziendale e crittografare ogni macchina che raggiunge. E anche se gli EPP migliorano nella protezione da nuovi ceppi di malware, gli attori delle minacce stanno anche sviluppando metodi di evasione migliori e payload (carichi) più furtivi, rendendo tale evasione uno scenario molto probabile.

sfida di protezione

Per comprendere meglio la causa di questa vulnerabilità, ecco uno sguardo a come funziona la proliferazione automatica dei ransomware.

Esiste un endpoint chiamato "paziente zero" in cui originariamente veniva eseguito il payload del ransomware. Per diffondersi ad altri computer nell'area, il malware utilizza credenziali compromesse ed esegue l'autenticazione di base fornendo all'altro computer un nome utente e credenziali validi (ma compromessi). Sebbene questa attività sia dannosa al 100% nel suo contesto, è essenzialmente identica a qualsiasi autenticazione legittima nell'ambiente. Non è possibile per il provider di identità, in questo caso Active Directory, rilevare questo contesto dannoso. Pertanto approverà la connessione.

Quindi qui sta il punto cieco nella protezione contro il ransomware: da un lato, nessun prodotto di sicurezza può bloccare le autenticazioni in tempo reale, e dall'altro, l'unico prodotto che potrebbe renderlo possibile - l'identity provider - non è in grado di distinguere tra autenticazioni legittime e dannose.

Unified Identity Protection previene la diffusione automatica del ransomware

Unified Identity Protection è una tecnologia senza agente che si integra nativamente con i provider di identità nell'ambiente aziendale per eseguire il monitoraggio continuo, l'analisi dei rischi e l'applicazione delle policy di accesso di ogni singolo tentativo di accesso a qualsiasi risorsa on-premise e cloud. In questo modo, la soluzione di protezione unificata dell'identità estende l'autenticazione basata sul rischio e l'autenticazione a più fattori a risorse e interfacce di accesso che in precedenza non potevano essere protette, comprese le interfacce di accesso remoto della riga di comando di Active Directory su cui si basa la propagazione automatica del ransomware.

Previeni in modo proattivo gli attacchi

Ciò può prevenire in modo proattivo gli attacchi che utilizzano in modo improprio le credenziali compromesse per accedere alle risorse aziendali, inclusa la distribuzione automatizzata di ransomware. Questo perché il malware utilizza l'autenticazione delle credenziali compromesse per diffondersi nell'ambiente di destinazione, con una predilezione particolare per le cartelle condivise.

Per applicare la protezione in tempo reale contro la distribuzione automatizzata di ransomware, Unified Identity Protection intraprende le seguenti azioni:

1. Monitoraggio continuo

Unified Identity Protection analizza continuamente le autenticazioni degli account utente ei tentativi di accesso, creando un profilo comportamentale altamente accurato della normale attività dell'utente e della macchina.

2. Analisi dei rischi

Nel caso della distribuzione automatizzata di ransomware, ci sono più tentativi di accesso simultanei originati da un singolo computer e account utente. Il motore di rischio di Unified Identity Protection Platform rileva immediatamente questo comportamento anomalo e aumenta il punteggio di rischio sia dell'account utente che del computer.

3. Applicazione dei criteri di accesso

Unified Identity Protection consente agli utenti di creare criteri di accesso che utilizzano la valutazione del rischio in tempo reale per attivare una misura protettiva, come l'autenticazione rafforzata con MFA o persino il blocco completo dell'accesso. La policy contro la distribuzione automatizzata di ransomware richiede l'AMF ogni volta che la valutazione del rischio di un account utente è "Alta" o "Critica" e si applica a tutte le interfacce di accesso: Powershell, CMD e CIFS, il protocollo speciale (dedicato) per l'accesso condiviso alla cartella di rete.

Se questo criterio è abilitato, qualsiasi tentativo da parte del ransomware di diffondersi su un altro computer non consentirà la connessione a meno che non sia stata eseguita la verifica MFA sugli utenti effettivi le cui credenziali sono state compromesse. Ciò significa che la diffusione è prevenuta e l'attacco è limitato al singolo endpoint "paziente zero" inizialmente infetto.

Questo speciale approccio alla protezione dell'identità può quindi prevenire la componente più fatale degli attacchi ransomware: la diffusione automatizzata. Con una soluzione unificata di protezione dell'identità, le aziende possono finalmente coprire questo punto cieco critico nella difesa e quindi aumentare significativamente la loro resilienza contro i tentativi di attacchi ransomware.

Altro su Silverfort.com

 

A proposito di Silverfort

Silverfort fornisce la prima piattaforma unificata di protezione dell'identità che consolida i controlli di sicurezza IAM nelle reti aziendali e negli ambienti cloud per mitigare gli attacchi basati sull'identità. Utilizzando l'innovativa tecnologia agentless e proxyless, Silverfort si integra perfettamente con tutte le soluzioni IAM, unificando l'analisi dei rischi e i controlli di sicurezza ed estendendo la copertura ad asset che in precedenza non potevano essere protetti, come applicazioni interne e legacy, infrastruttura IT, file system, riga di comando strumenti, accesso da macchina a macchina e altro ancora.

 

Articoli relativi all'argomento

Piattaforma di sicurezza informatica con protezione per ambienti 5G

Lo specialista della sicurezza informatica Trend Micro svela il suo approccio basato su piattaforma per proteggere la superficie di attacco in continua espansione delle organizzazioni, inclusa la sicurezza ➡ Leggi di più

Sicurezza IT: NIS-2 ne fa una priorità assoluta

Solo in un quarto delle aziende tedesche il management si assume la responsabilità della sicurezza informatica. Soprattutto nelle aziende più piccole ➡ Leggi di più

Gli attacchi informatici aumenteranno del 104% nel 2023

Una società di sicurezza informatica ha dato uno sguardo al panorama delle minacce dello scorso anno. I risultati forniscono informazioni cruciali su ➡ Leggi di più

Sicurezza informatica: base per LockBit 4.0 disinnescata

Trend Micro, in collaborazione con la National Crime Agency (NCA) del Regno Unito, ha analizzato la versione inedita che era in fase di sviluppo ➡ Leggi di più

MDR e XDR tramite Google Workspace

Che si tratti di un bar, di un terminal aeroportuale o di un ufficio a casa, i dipendenti lavorano in molti luoghi. Tuttavia, questo sviluppo comporta anche delle sfide ➡ Leggi di più

Lo spyware mobile rappresenta una minaccia per le aziende

Sempre più persone utilizzano i dispositivi mobili sia nella vita di tutti i giorni che in azienda. Ciò riduce anche il rischio di “mobile ➡ Leggi di più

La sicurezza in crowdsourcing individua molte vulnerabilità

La sicurezza in crowdsourcing è aumentata in modo significativo nell’ultimo anno. Nel settore pubblico sono state segnalate il 151% in più di vulnerabilità rispetto all’anno precedente. ➡ Leggi di più

L'intelligenza artificiale su Enterprise Storage combatte il ransomware in tempo reale

NetApp è uno dei primi a integrare l'intelligenza artificiale (AI) e il machine learning (ML) direttamente nello storage primario per combattere il ransomware ➡ Leggi di più

racconti
, , , , ,