L'esperto di sicurezza IT ProSoft consiglia due strategie di difesa contro gli attacchi ransomware all'IT aziendale: i filtri DNS della whitelist e i browser remoti hanno successo contro il ransomware.
Il XNUMX% di tutti gli attacchi informatici è ora effettuato da ransomware (fonte Global Threat Intelligence Report di NTT). Gli attacchi corrispondenti sono quindi quadruplicati negli ultimi anni. Anche il danno finanziario causato da un simile attacco sta aumentando rapidamente. Con il filtro DNS e ReCoBs (Remote Controlled Browser System), esperto di sicurezza IT, consulente di fiducia e distributore a valore aggiunto ProSoft mostra due strategie efficaci ma fondamentalmente diverse contro gli attacchi ransomware. Mentre un filtro DNS rileva e blocca i siti Web pericolosi prima che il codice dannoso possa entrare nella propria rete, un ReCoBS, ovvero un browser Web controllato da remoto, protegge la rete interna da Internet e previene preventivamente gli attacchi che sfruttano eventuali falle di sicurezza nei browser Internet. Ma il filtraggio DNS non è solo filtraggio DNS e solo la somma delle misure combinate fornisce una protezione davvero affidabile.
Contromisure combinate contro il ransomware
Chiunque utilizzi il ransomware vuole fare soldi velocemente in modo criminale. Se il malware penetra nell'IT dell'azienda, crittografa i dati business-critical e li rende inaccessibili. Gli aggressori richiedono quindi un considerevole riscatto per la decrittazione. Temendo che i dati aziendali sensibili possano essere pubblicati o venduti, le vittime spesso pagano ingenti riscatti. “È sempre una scommessa se gli aggressori rilasceranno nuovamente i dati dopo aver ricevuto il pagamento. Le aziende e le organizzazioni di medie dimensioni ne sono particolarmente colpite, comprese le autorità e le aziende del settore sanitario*2”, riferisce Robert Korherr, amministratore delegato di ProSoft GmbH. Secondo uno studio sui ransomware*3, il 70% delle aziende tedesche intervistate ha dichiarato che i dati recuperati erano parzialmente o completamente danneggiati. L'80% delle organizzazioni che hanno pagato il riscatto viene attaccato una seconda volta da ransomware.
Il filtraggio DNS non è solo filtraggio DNS
L'insolita attività del DNA è un chiaro indizio di un attacco ransomware. I filtri DNS offrono una tripla protezione: i download drive-by di contenuti attivi da siti Web pericolosi vengono spesso impediti fin dall'inizio. Anche il ricaricamento dei componenti del malware dai server di comando e controllo e la tipica esfiltrazione di dati prima dell'effettiva crittografia dei dati sul server dell'attaccante sono indicazioni concrete di una fase di ransomware attiva. I filtri DNS tradizionali che funzionano secondo il principio della blacklist devono registrare e classificare più di 200.000 nuovi domini Internet ogni giorno. L'IT è vulnerabile per il periodo dal rilevamento all'integrazione degli indirizzi IP di siti Web pericolosi nella lista nera. Il whitelisting, invece, offre vantaggi significativi per i filtri DNS.
Un filtro DNS whitelist, come Blue Shield Umbrella, uno sviluppo del campione nascosto austriaco Blue Shield Security, blocca prima tutti i siti Web sconosciuti e analizza solo quelli a cui si accede effettivamente. Gli algoritmi e le tecnologie supportate dall'intelligenza artificiale utilizzate nello scudo di protezione DNS basato su cloud analizzano, rilevano e bloccano pericoli e anomalie in tempo reale a ogni chiamata. Il dominio viene inserito nella whitelist solo se è qualificato di conseguenza. I domini devono costantemente qualificarsi per rimanere nella whitelist. Per la qualificazione, Blue Shield Umbrella utilizza l'apprendimento automatico dai dati storici, una sandbox appositamente sviluppata e la cooperazione globale con altri produttori e organizzazioni.
Browser Web remoto per un'elevata sicurezza Internet
Un altro strumento per difendersi dagli attacchi ransomware è ReCoBS TightGate-Pro, sviluppato dalla m-privacy GmbH di Berlino, che adotta un approccio diverso e protegge da ransomware che è già stato accidentalmente scaricato. TightGate Pro funziona come segue: Il browser Web non è più in esecuzione sul computer della workstation. Invece, il server TightGate dedicato situato nella zona demilitarizzata (DMZ) esegue il browser. Il computer della workstation riceve solo l'output dello schermo del browser come flusso di dati video tramite un protocollo specifico della funzione. A causa di questa separazione fisica, anche l'accesso a un sito Web compromesso non ha conseguenze per la rete interna.
La somma delle misure combinate offre la massima protezione
Come qualsiasi altro malware, il ransomware entra nelle reti aziendali attraverso i consueti canali come phishing, spoofing, vulnerabilità senza patch, download drive-by e malware nei contenuti Internet attivi. Misure tecniche come software antivirus, gestione dei log e SIEM, firewall, gestione delle patch, Endpoint Detection & Response (EDR), Network Detection & Response (NDR) sono alcuni degli strumenti che si sono dimostrati efficaci contro gli attacchi informatici. Tuttavia, forniranno una protezione affidabile solo se i dati provenienti da fonti diverse sono correlati. Anche le misure organizzative come la formazione sulla sicurezza e i codici di condotta per i dipendenti sono una misura efficace, perché un certo scetticismo è efficace anche contro il malware zero-day.
Altro su ProSoft.de
Informazioni su Prosoft ProSoft è stata fondata nel 1989 come fornitore di soluzioni software complesse nel grande ambiente informatico. Dal 1994, l'azienda si è concentrata sulla gestione della rete e sulle soluzioni di sicurezza IT per infrastrutture Microsoft Windows moderne ed eterogenee, inclusi Mac OS, Linux, nonché ambienti mobili e dispositivi finali. Gli esperti gestiscono software e hardware efficienti per aziende e medie imprese e si sono affermati come specialisti per la sicurezza informatica. Inoltre, in qualità di distributore a valore aggiunto (VAD), ProSoft supporta i produttori con il "go-to-market" e il lancio sul mercato di nuove soluzioni nella parte di lingua tedesca dell'Europa.