Security managementSicurezza

FireEye, i consigli per evitare i ransomware

Nel 1998 inizia la sua esperienza nel mondo IT in Mondadori e partecipa alla nascita di Web Marketing Tools di cui coordina la redazione. Redattore esperto di software per PC Magazine, e caporedattore di ComputerIdea, segue da circa 20 anni l'evoluzione del mondo hardware, software e dei servizi IT in un confronto continuo con le aziende leader del settore

Il ransomware per la sua natura è una tipologia di malware insidiosa, per cui si possono prendere tante cautele ma nessuno è in grado di garantire protezione assoluta e remediation. I consigli di FireEye

Cosa sia un Ransomware oramai è quasi entrato nel sapere collettivo. Nel modo più semplicistico si tratta di un malware in grado di criptare i file contenuti nel proprio pc/device e chiedere un riscatto pecuniario per poterli decifrare e quindi riutilizzare. Negli ultimi mesi è balzato agli onori delle cronache con Wannacry, CryptXXX. Alcuni numeri: secondo l’FBI nel 2016 per il ransomware sono stati sborsati un miliardo di dollari e il 70 percento delle vittime ha pagato.

FireEye individua alcune regole di base per una tipologia di malware che è particolarmente insidiosa, perché difficile da individuare in anticipo, difficile da contenere, e con gravi conseguenze, perché oltre all’esborso e al danno si dovrà rendere conto del controllo perduto sui dati, secondo le normative vigenti. Con l’introduzione del GDPR una violazione dei dati personali che include la “distruzione illegale” dei dati potrebbe portare ad una multa fino al 2 percento del fatturato annuo globale.

Ransomware - Da rivedere tutte le policy di backup. Quello in tempo reale potrebbe semplicemente estendere ulteriormente la superficie di device criptati
Ransomware – Da rivedere tutte le policy di backup. Quello in tempo reale potrebbe semplicemente estendere ulteriormente il numero dei device con i file criptati

Qualcosa comunque si può fare, lo vedremo.
Intanto, il ransomware viene prevalentemente introdotto in un device tramite un’email di phishing, una chiavetta USB o altri supporti con un malware all’interno, oppure si può rimanere vittime di un exploit.

Una volta introdotto su un device, il ransomware si propaga rapidamente su tutte le periferiche (non solo di rete), quindi se avete una chiavetta o un disco rigido collegato, per esempio per il backup, saranno anch’essi immediatamente contaminati. Idem NAS e server. L’unica possibilità di interrompere l’operazione di criptaggio è spegnere tutto. Semplicemente. 

Naturale quindi dover rivedere anche tutte le policy di backup. Il backup in tempo reale è quasi improponibile. Bisognerà mettere in conto la perdita minimamente parziale dei dati, ma tenendo le periferiche di backup collegate sono nel momento del backup, per il periodo del backup, effettivamente si potrebbero limitare i danni.

Arriviamo al momento proattivo.
Prima di tutto si può lavorare sulla formazione, sulla capacità di riconoscere la provenienza di email da parte dei dipendenti, sulle abitudini di navigazione. Prudenza sugli allegati, clic su siti accattivanti ma non già conosciuti rappresentano il minimo della prudenza.

Lato CSO i Chief Security Officer dovranno dare mandato per l’implementazione delle protezioni di secondo livello, su gateway web e email, con la scansione di tutti gli Url e i link non riconosciuti o sospetti. Per quella che è la nostra esperienza anche il lavoro da fare sui filtri antispamming e antiphishing è rilevante e potrà in futuro beneficiare delle nuove capacità dei sistemi machine learning e AI.

Il terzo livello
su cui insiste FireEye è la disponibilità di una tecnologia avanzata installata anche sull’endpoint che monitori il comportamento dei processi: sarà pur possibile distinguere la crittografia di un ransomware che lavora sequenzialmente sui file, da un processo legittimo di protezione dei dati? Vogliamo sperarlo, allo stesso modo però si dovrà essere in grado di provvedere anche sui server.

E sempre sul terzo livello si potranno anche impartire istruzioni all’endpoint affinché vengano eseguite solo le applicazioni che appartengono a una whitelist, escludendo tutte le altre. Bene, ma più difficile come strategia quando il device per esempio viene utilizzato in diversi contesti è c’è necessità che l’utente finale stesso sia amministratore della sua macchina.

Ultimo (quarto livello), FireEye sollecita l’adozione di soluzioni di network security, per rilevare il ransomware prima che venga eseguito e metterlo in quarantena. Anche in questo caso la nostra esperienza dice che comunque qualcosa potrebbe non funzionare.

Infatti siamo certi che tra le tante aziende infettate ve ne siano anche di prudenti, che si erano affidate ai vendor di sicurezza, gli stessi che poi le hanno aiutate a uscire dai guai. Al momento infatti, nessun vendor è in grado e si permette di garantire la protezione da questa tipologia di malware in fase di attacco e nemmeno in fase di remediation.

WHITE PAPER: Sei interessato ad approfondire l’argomento?  Scarica il whitepaper: “Come proteggersi dal ransomware”