Come comportarsi in caso di un attacco ransomware: l’analisi di Maurizio Tondi Director Security Strategy

Maurizio Tondi, Director Security Strategy di Axitea, analizza il crescente fenomeno del cybercrime. Come proteggersi in caso di attacco ransomware?

Device bloccati e dati inaccessibili o sottratti, ricatti dietro cui si cela la minaccia della pubblicazione delle informazioni sensibili trafugate. Oppure danni economici e reputazionali potenzialmente fatali. Benvenuti nel mondo del ransomware, il terzo tipo di attacco malware più comune e il secondo più dannoso registrato nel 2020. Una realtà che riguarda da vicino sempre più aziende. Solo a livello italiano, si calcola che il 31% delle aziende italiane possano esser state colpite da questo cyberattack negli ultimi 12 mesi. Entro il 2021 si prevede che si verifichi un attacco ransomware ogni 11 secondi.

Axitea: che fare in caso di attacco ransomware

Ma anche la tecnologia a volte obsoleta o paradossalmente la modernizzazione degli impianti verso logiche di convergenza OT-IT, dove poca attenzione è stata posta all’aspetto secure by design. Con il solo risultato di moltiplicare enormemente i punti di vulnerabilità, che non a caso risultano più elevati della media di altri settori. Naturalmente, ora la percezione del rischio è molto alta. Soprattutto l’enfasi è ricaduta sull’aspetto preventivo della difesa. Tanto che nel nostro Paese il 41% delle imprese si aspetta di poter essere vittima di un attacco in futuro e ha deciso di fare tutto il possibile per scongiurare questa eventualità.

Attacco ransomware, come agire quando l’infezione del sistema ha avuto successo?

1. Non cedere al ricatto. L’aspetto più importante da cui partire è non pagare il riscatto chiesto per riottenere i propri dati/device e rimediare alla business disruption. Nel campione di ricerca globale dell’ultimo rapporto Sophos, le aziende che hanno deciso di pagare il riscatto sono infatti aumentate dal 26% al 32%. Meno di una su dieci (l’8%), è riuscita a recuperare tutti i suoi dati. Acconsentire al pagamento, dunque, non è solo una prassi eticamente scorretta, è anche economicamente sconveniente.
2. Rispondere con un’azione strutturata. Per rispondere alla criticità dettata da un attacco ransomware, è necessario attivare un vero e proprio processo integrato di Post Incident Management Response. Partendo da un assessment iniziale e da una ricostruzione della kill chain, affianchi la remediation – tecnica ad un iter burocratico, organizzativo e amministrativo che si proietti anche nello scenario successivo all’attacco. All’estirpazione del malware devono necessariamente seguire una fase di integrity check up e di monitoraggio dove penetration test infrastrutturale, Network Vulnerability Assessment e Network Activity Detection & Response non possono assolutamente mancare.
3. Implementare le lezioni apprese. A seguito della risoluzione di un attacco ransomware, la prosecuzione naturale è cercare di assicurarci che qualcosa del genere non possa capitarci di nuovo. Dotarsi di soluzioni e servizi per il mantenimento continuativo di adeguati livelli di protezione e sicurezza attraverso servizi personalizzati e dimensionati sulle proprie esigenze è dunque il primo passo. Senza dimenticare l’obiettivo finale. Acquisire una capability di Incident Response che consenta tanto di migliorarsi nel tempo, prevenendo la ricorrenza di nuovi attacchi, quanto di gestire al meglio anche le problematiche di natura legale che possono presentarsi durante le fasi di un incidente.

In questi casi, se la pressione sull’IT Manager è troppa o manca una figura di riferimento, ricorrere a un team di esperti di assistenza post attacco informatico. Il team attraverso metodologie di settore e tecnologie innovative può immediatamente prendere in carico la situazione è una scelta obbligata.

Fonte: Tech FromTheNet