Perimetro vs contenimento
Perché è necessario mantenere un approccio proattivo nella lotta contro i ransomware
Gli attacchi ransomware stanno diventando sempre più intelligenti e frequenti: solo nell'ultimo anno sono cresciuti del 715%. Il 4% dei dati aziendali non è più recuperabile (fonte: Gartner) ed è il momento di passare all'azione. La trasformazione digitale e le modalità di lavoro più agili e flessibili contribuiscono inoltre ad accrescere le minacce.
Per anni, la difesa dagli attacchi informatici è consistita nel “racchiudere” dati e dispositivi all'interno di un “muro” impenetrabile. Finché le attività online si svolgevano centralmente, questa poteva essere considerata una metodologia efficace.
Oggi però il patrimonio digitale delle aziende non è più centralizzato. Dipendenti e partner delle imprese hanno necessità di accedere alle informazioni da qualsiasi luogo, senza che questo vada a discapito della produttività. Inoltre, i clienti si aspettano esperienze personalizzate su misura per le loro esigenze.
Solo le organizzazioni in grado di adattarsi ai cambiamenti e di competere nel nuovo contesto di mercato riescono a crescere. Ma, se non esiste più una netta distinzione tre "esterno" e "interno" dell’azienda, come puoi proteggere il tuo business mediante una linea di difesa? In questo articolo illustreremo come fronteggiare eventuali attacchi da parte di malintenzionati.
Cosa si intende per difesa perimetrale?
Tradizionalmente, le aziende mantengono i dati e dispositivi all'interno di un perimetro, costituito da una combinazione di firewall, scanner di posta elettronica, soluzioni di web filtering e sistemi per la sicurezza degli endpoint. Questo perimetro tenta di bloccare tutto ciò che entra nella rete, rimuovendo eventuali elementi identificati come dannosi. L'azienda dovrebbe così riuscire a difendersi da malintenzionati e a proteggere informazioni e attività. Con la trasformazione digitale, purtroppo non è più così.
Perché questo non è più sufficiente?
La trasformazione digitale, nonostante tutti gli innegabili vantaggi, richiede cambiamenti importanti in molti ambiti dell'organizzazione. Non da ultimo la sicurezza.
Un'azienda moderna è composta da molteplici endpoint, spesso gestiti da provider cloud pubblici e da dipendenti che accedono all'organizzazione da remoto. Inoltre, attualmente si utilizzano dispositivi e tecnologie mai presi in considerazione nel momento in cui le difese perimetrali furono progettate per la prima volta.
Ciò significa che le attività dannose hanno ora maggiori possibilità di irrompere nell’organizzazione rispetto a quanto avveniva in passato. Se un malware “inganna” il firewall o trova un modo per sfuggire al rilevamento sugli endpoint, riesce con facilità a violare le difese e a infiltrarsi nei sistemi. Inoltre, dal momento che molte delle principali soluzioni software antivirus non sono in grado di rilevare le nuove tipologie di ransomware e che gli attacchi possono danneggiare fino a 7.000 file al minuto, le conseguenze potrebbero essere davvero disastrose.
Cos'è un attacco ransomware?
Si tratta di un software dannoso utilizzato da criminali per attaccare i dati ed estorcere denaro. Il costo medio di un attacco è di 150.000 € (fonte: Gartner).
Quando riesce ad accedere ai sistemi aziendali, il ransomware inizia a crittografare i file in modo che non si possa più accedervi. Questo processo non altera i nomi dei file, pertanto è difficile capire quali sono stati danneggiati e quali no. Una volta criptati i dati, i malintenzionati tengono “in ostaggio” queste informazioni e chiedono un pagamento per la loro restituzione.
Quali sono le possibili conseguenze?
In genere, un'organizzazione può impiegare ore o addirittura giorni per rendersi conto di aver subito un attacco ransomware, tempo durante il quale gran parte della rete potrebbe già essere stata compromessa. Spesso i criminali informatici scelgono di attaccare durante il fine settimana quando il personale non è presente per reagire prontamente.
Gli aggressori potrebbero avere tempo a sufficienza per accedere al datacenter e impossessarsi della proprietà intellettuale, con l’obiettivo di utilizzarla per negoziare il pagamento del riscatto.
Gli attacchi causano un'interruzione massiccia dei servizi e danneggiano la produttività delle persone, poiché i file necessari non sono recuperabili. Inoltre, se il ransomware accede ai dati personali dei clienti, le aziende possono anche andare incontro a problemi legali, oltre a subire perdite economiche e danni alla reputazione. Arrendersi a questa situazione è una decisione poco saggia che incoraggerebbe e finanzierebbe ulteriori attacchi futuri.
La soluzione? Il contenimento.
Se i sistemi della tua azienda sono a rischio di possibili attacchi dall'esterno, allora occorre una soluzione proattiva per difenderli. Il sistema immunitario umano rappresenta una metafora perfetta di questo meccanismo: quando ci ammaliamo, i globuli bianchi combattono l'infezione.
Questo, in generale, è il modo in cui funziona un sistema di difesa aziendale basato sul contenimento: integra la sicurezza del firewall, della rete e degli endpoint identificando e contenendo rapidamente gli attacchi ransomware che hanno superato indisturbati tutti gli altri strumenti, ne impedisce la diffusione ed evidenzia i file interessati per un rapido ripristino.
Gli attacchi ransomware aumentano del 195% di anno in anno, quindi diventa sempre più importante per le organizzazioni pubbliche e private prepararsi per il futuro.
Come funziona il contenimento.
Le soluzioni di contenimento sono progettate per porre la tua azienda sempre un passo avanti, bloccando eventuali ransomware prima che si diffondano nel sistema.
Grazie a script integrati, arrestano i dispositivi compromessi e disabilitano l'utente nell'active directory per contenere eventuali intrusioni, bloccando così tutti i dispositivi che sono stati infettati.
I prodotti più efficaci attualmente sul mercato sono di livello militare - come ad esempio Cyber Security Practice di Ricoh, attualmente utilizzato dai governi degli Stati Uniti e del Regno Unito - e offrono alle imprese il più alto livello di sicurezza contro ransomware e criminalità informatica.
Mantenere un approccio proattivo.
L'approccio proattivo non è solo il modo migliore per difendersi dagli attacchi ransomware, ma è anche semplice da implementare. L'installazione della soluzione di contenimento richiede un massimo di quattro ore e può essere eseguita in loco o da remoto in modo non intrusivo, il che significa un'interruzione minima per gli utenti e per l'azienda.
Proteggere l’azienda e i dipendenti dagli attacchi ransomware.
La capacità di risposta degli attuali sistemi di sicurezza perimetrale basati su endpoint è limitata. Le aziende vittime di attacchi informatici non sono in grado di risalire all'origine del danno e sono molto spesso i dipendenti ad accorgersi del problema, quando ormai è troppo tardi.
Una soluzione di contenimento fornisce una tecnologia automatizzata che reagisce istantaneamente, non appena il ransomware penetra nell’ambiente informatico. In questo modo non più di un dispositivo e un massimo 10-15 file vengono interessati dall’attacco prima che esso venga bloccato.
Garantire la continuità.
Quando le protezioni perimetrali o basate sugli endpoint falliscono, il contenimento entra in azione, consentendo ai team IT di offrire una risposta immediata e completamente automatizzata a qualsiasi attacco.
Questo approccio non solo fornisce alle difese perimetrali e degli endpoint il supporto di cui hanno bisogno, ma garantisce che la rete rimanga attiva e che tutti i processi aziendali possano essere svolti come sempre.
Inoltre, le aziende hanno la certezza di evitare la tempesta mediatica negativa che di solito segue a questi attacchi.
Autore
John Chambers
Director – IT Services, Ricoh EMEA Sales
Come possiamo aiutarti?
Se hai domande o desideri saperne di più sull'approccio proattivo contro i ransomware, contattaci.