Security managementSicurezza

Attacco ransomware? I consigli ‘sempreverdi’

Nel 1998 inizia la sua esperienza nel mondo IT in Mondadori e partecipa alla nascita di Web Marketing Tools di cui coordina la redazione. Redattore esperto di software per PC Magazine, e caporedattore di ComputerIdea, segue da circa 20 anni l'evoluzione del mondo hardware, software e dei servizi IT in un confronto continuo con le aziende leader del settore

Sapere cosa fare in caso di un attacco ransomware è già parte della soluzione. Cinque azioni per reagire subito e nove consigli per stare più tranquilli e prepararsi alle prossime emergenze

Wannacry ha colpito complessivamente 150 Paesi, reso indisponibili circa 200 mila sistemi, eppure tutti gli esperti di sicurezza hanno la sensazione che ‘comunque’ non sia andata nemmeno poi così male. Ci dovremo attendere conseguenze molto più importanti, soprattutto in comparti molto critici. Il bilancio sulla coda dell’attacco, anche considerati gli obiettivi degli ospedali inglesi allarma, ma non è stato tragico. Con la guida di EY cerchiamo però di mettere a fuoco quali sono i comportamenti da adottare immediatamente, quando ci si rende conto che l’attacco è in corso e sul medio termine.

Sono cinque le azioni immediate da compiere:
1.    Disconnettete immediatamente tutte le connessioni di rete e gli storage esterni. Forse non è stato ancora messo ben in evidenza che i ransomware non solo si propagano comodamente sulle periferiche connesse via USB, ma anche su quelle di rete. Potete fare anche decine di backup, ma se avete adottato (tante volta consigliata) la tecnica della sincronizzazione simultanea, per evitare l’infezione avete solo la possibilità di anticipare la propagazione. E se non scollegate subito le periferiche per conservare le copie di backup precedenti (sempre che le conserviate) non potrete fare nulla con i vostri dieci backup.
2.    Spegnete il pc ed informate il team IT, se non l’avete e il vostro team  IT siete voi, prima di tutto mantenete il sangue freddo e agite con calma, senza affrettare comportamenti di cui potreste pentirvi. 
3.    Chiedete il supporto di un team esperto in cybercrime investigation
4.   Non pagate nessun riscatto agli hacker, in modo da non alimentare l’ecosistema illegale, inoltre non c’è nessuna garanzia di riavere accesso ai dati cifrati. Con WannaCry (ma capita anche con altri ransomware) anche chi ha pagato probabilmente non è riuscito a decriptare i dati, non è la prima volta che capita. Non solo: chi paga una volta, forse pagherà anche la seconda. Il meccanismo è lo stesso di sempre. 
5.    Proteggete e mantenete i backup pronti per permettere agli esperti di poter fornire assistenza.

Wannacry - La schermata oramai famosa della richiesta di riscatto di Wannacry
Wannacry – La schermata oramai famosa della richiesta di riscatto di Wannacry

EY strategia a medio termine anti-ransomware

EY approfondisce poi l’approccio a medio termine e consiglia la seguente strategia su nove punti.

►   Implementare e verificare la robustezza dei sistemi di vulnerability e patch management
►   Sviluppare e verificare lo stato di adeguatezza dei sistemi e dei processi di risposta agli incidenti
►  Sviluppare piani di business continuity efficaci ed aggiornati rispetto all’attuale scenario di minaccia Cyber. Se non si è simulato in azienda almeno una volta un attacco serio non si potrà mai essere sicuri di avere un piano adeguato di business continuity
►   Implementare programmi di backup per tutti i dati critici in funzione del tasso di generazione e aggiornamento degli stessi. Che siano backup non necessariamente di sincronizzazione, ma anche schedulati e non solo di tipo incrementale.
►   Supportare lo sviluppo di soluzioni di monitoraggio e security operations (SOC, endpoint monitoring) che aiutano a intercettare tempestivamente e ridurre gli effetti di questi attacchi
►   Sviluppare sistemi di protezione specifici per i sistemi aziendali più critici ed eventualmente identificare sistemi e dati che non hanno necessità di essere connessi ad internet
►   Formare il personale a rispondere a questo tipo di incidenti e in generale creare consapevolezza nei dipendenti anche attraverso attività di attacco simulato. Sapere non solo cosa fare ma anche come reagire al momento dell’attacco informatico è già parte della soluzione.
►   Assicurare verifiche tecniche periodiche delle misure di sicurezza tramite vulnerability assessment e penetration test
  Implementare un sistema di governo proattivo per l’intero ecosistema aziendale.

In linea di massima l’approccio di EY è condiviso dalla maggior parte dei vendor che conosciamo. Solo pochi giorni fa si è tenuto, a Milano, CPX 2017, il momento di confronto organizzato da CheckPoint. Per saperne di più su Wannacry e sulla roadmap strategica dei ransomware rimandiamo a quell’articolo. 

WHITE PAPER: Sei interessato ad approfondire l’argomento?  Scarica il whitepaper  “Il business case per la sicurezza a più livelli”