Il nuovo approccio alla protezione dell'identità previene le vulnerabilità critiche causate dal ransomware. Tuttavia, quasi nessuna organizzazione è in grado di impedire in modo proattivo la propagazione automatizzata del payload del ransomware una volta che ha aggirato le difese di consegna ed esecuzione. Un commento di Martin Kulendik, Regional Sales Director DACH di Silverfort.
L'estorsione informatica di ransomware rimane una delle principali minacce alla sicurezza per le aziende. La pratica comune nella sicurezza informatica oggi è proteggere dalle fasi di consegna ed esecuzione di questi attacchi. Tuttavia, quasi nessuna organizzazione è in grado di impedire in modo proattivo la propagazione automatizzata del payload del ransomware una volta che ha aggirato le difese di consegna ed esecuzione. Poiché il ransomware fa una grande differenza tra l'infezione di un singolo endpoint e la crittografia dei dati aziendali in blocco, la mancanza di capacità di prevenire questa è una vulnerabilità di sicurezza critica. Le misure di protezione sono quindi spiegate di seguito per ciascuna fase di un attacco ransomware: dalla consegna, all'esecuzione, alla distribuzione automatizzata.
Misure di protezione contro la distribuzione di ransomware
Nella fase di consegna, gli aggressori posizionano il payload del ransomware sul computer della vittima. I metodi più comuni utilizzati dai criminali informatici includono e-mail di phishing, accesso RDP (Remote Desktop Protocol) compromesso e attacchi watering hole, in cui i criminali informatici infettano i siti Web visitati frequentemente dai dipendenti.
La protezione è fornita da gateway di sicurezza e-mail che scansionano le e-mail per rilevare e rimuovere i contenuti rischiosi prima dell'interazione dell'utente, piattaforme di protezione degli endpoint che impediscono il download di potenziali malware e autenticazione a più fattori (MFA) per le connessioni RDP, impedendo agli aggressori di connettersi con credenziali compromesse.
Misure di protezione dall'esecuzione di ransomware
Nella fase di esecuzione, il payload del ransomware che è stato consegnato con successo alla workstation o al server viene eseguito con l'intenzione di crittografare i file di dati sul computer.
Le aziende si proteggono da questo utilizzando Endpoint Protection Platforms (EPP) sulle loro workstation e server. L'EPP mira a terminare l'esecuzione di qualsiasi processo rilevato come ransomware, prevenendo del tutto la crittografia dannosa.
Protezione contro la distribuzione automatica di ransomware
Nella fase di propagazione, il payload del ransomware viene copiato su molti altri computer nell'ambiente aziendale tramite autenticazione dannosa con credenziali compromesse. Una delle superfici di attacco più vulnerabili sono le cartelle condivise (condivise). In un ambiente aziendale, ogni utente ha accesso ad almeno alcune cartelle. Questo apre la strada alla diffusione del ransomware.
Come spiegato in precedenza, questa è la fase in cui si fanno i danni maggiori. Tuttavia, questa fase è ora un punto cieco nelle difese della sicurezza aziendale. Oggi non esiste alcuna soluzione di sicurezza in grado di impedire la diffusione automatica del ransomware in tempo reale. In pratica, ciò significa che una variante di ransomware che riesce a bypassare le misure di sicurezza per la consegna e l'esecuzione - e una certa percentuale di queste varianti lo fa sempre - può diffondersi all'interno dell'ambiente aziendale e crittografare ogni macchina che raggiunge. E anche se gli EPP migliorano nella protezione da nuovi ceppi di malware, gli attori delle minacce stanno anche sviluppando metodi di evasione migliori e payload (carichi) più furtivi, rendendo tale evasione uno scenario molto probabile.
sfida di protezione
Per comprendere meglio la causa di questa vulnerabilità, ecco uno sguardo a come funziona la proliferazione automatica dei ransomware.
Esiste un endpoint chiamato "paziente zero" in cui originariamente veniva eseguito il payload del ransomware. Per diffondersi ad altri computer nell'area, il malware utilizza credenziali compromesse ed esegue l'autenticazione di base fornendo all'altro computer un nome utente e credenziali validi (ma compromessi). Sebbene questa attività sia dannosa al 100% nel suo contesto, è essenzialmente identica a qualsiasi autenticazione legittima nell'ambiente. Non è possibile per il provider di identità, in questo caso Active Directory, rilevare questo contesto dannoso. Pertanto approverà la connessione.
Quindi qui sta il punto cieco nella protezione contro il ransomware: da un lato, nessun prodotto di sicurezza può bloccare le autenticazioni in tempo reale, e dall'altro, l'unico prodotto che potrebbe renderlo possibile - l'identity provider - non è in grado di distinguere tra autenticazioni legittime e dannose.
Unified Identity Protection previene la diffusione automatica del ransomware
Unified Identity Protection è una tecnologia senza agente che si integra nativamente con i provider di identità nell'ambiente aziendale per eseguire il monitoraggio continuo, l'analisi dei rischi e l'applicazione delle policy di accesso di ogni singolo tentativo di accesso a qualsiasi risorsa on-premise e cloud. In questo modo, la soluzione di protezione unificata dell'identità estende l'autenticazione basata sul rischio e l'autenticazione a più fattori a risorse e interfacce di accesso che in precedenza non potevano essere protette, comprese le interfacce di accesso remoto della riga di comando di Active Directory su cui si basa la propagazione automatica del ransomware.
Previeni in modo proattivo gli attacchi
Ciò può prevenire in modo proattivo gli attacchi che utilizzano in modo improprio le credenziali compromesse per accedere alle risorse aziendali, inclusa la distribuzione automatizzata di ransomware. Questo perché il malware utilizza l'autenticazione delle credenziali compromesse per diffondersi nell'ambiente di destinazione, con una predilezione particolare per le cartelle condivise.
Per applicare la protezione in tempo reale contro la distribuzione automatizzata di ransomware, Unified Identity Protection intraprende le seguenti azioni:
1. Monitoraggio continuo
Unified Identity Protection analizza continuamente le autenticazioni degli account utente ei tentativi di accesso, creando un profilo comportamentale altamente accurato della normale attività dell'utente e della macchina.
2. Analisi dei rischi
Nel caso della distribuzione automatizzata di ransomware, ci sono più tentativi di accesso simultanei originati da un singolo computer e account utente. Il motore di rischio di Unified Identity Protection Platform rileva immediatamente questo comportamento anomalo e aumenta il punteggio di rischio sia dell'account utente che del computer.
3. Applicazione dei criteri di accesso
Unified Identity Protection consente agli utenti di creare criteri di accesso che utilizzano la valutazione del rischio in tempo reale per attivare una misura protettiva, come l'autenticazione rafforzata con MFA o persino il blocco completo dell'accesso. La policy contro la distribuzione automatizzata di ransomware richiede l'AMF ogni volta che la valutazione del rischio di un account utente è "Alta" o "Critica" e si applica a tutte le interfacce di accesso: Powershell, CMD e CIFS, il protocollo speciale (dedicato) per l'accesso condiviso alla cartella di rete.
Se questo criterio è abilitato, qualsiasi tentativo da parte del ransomware di diffondersi su un altro computer non consentirà la connessione a meno che non sia stata eseguita la verifica MFA sugli utenti effettivi le cui credenziali sono state compromesse. Ciò significa che la diffusione è prevenuta e l'attacco è limitato al singolo endpoint "paziente zero" inizialmente infetto.
Questo speciale approccio alla protezione dell'identità può quindi prevenire la componente più fatale degli attacchi ransomware: la diffusione automatizzata. Con una soluzione unificata di protezione dell'identità, le aziende possono finalmente coprire questo punto cieco critico nella difesa e quindi aumentare significativamente la loro resilienza contro i tentativi di attacchi ransomware.
Altro su Silverfort.com
A proposito di Silverfort Silverfort fornisce la prima piattaforma unificata di protezione dell'identità che consolida i controlli di sicurezza IAM nelle reti aziendali e negli ambienti cloud per mitigare gli attacchi basati sull'identità. Utilizzando l'innovativa tecnologia agentless e proxyless, Silverfort si integra perfettamente con tutte le soluzioni IAM, unificando l'analisi dei rischi e i controlli di sicurezza ed estendendo la copertura ad asset che in precedenza non potevano essere protetti, come applicazioni interne e legacy, infrastruttura IT, file system, riga di comando strumenti, accesso da macchina a macchina e altro ancora.