UDITE UDITE ! Comunicati Stampa, Eventi, Lancio Nuovi Prodotti

Gli attacchi cyber stanno diventando sempre più sofisticati e pericolosi, in Italia come a livello globale.

Come evidenziato dall’ultimo rapporto Clusit 2022, nei primi sei mesi del 2022 si sono verificati 1.141 attacchi cyber gravi, con un impatto sistemico su società, politica, economia e geopolitica, segnando un incremento dell’8,4% rispetto al primo semestre 2021.

Anche Unit 42, il team di threat intelligence di Palo Alto Networks, nel report “2022 Unit 42 Incident Response Report”, ha rilevato che ransomware e compromissione delle email aziendali (BEC) rappresentano la principale tipologia di incidenti a cui il team IR ha risposto negli ultimi 15 mesi, con circa il 70% dei casi.

Umberto Pirovano ©

Umberto Pirovano, Senior Manager Systems Engineering di Palo Alto Networks, propone dieci azioni da mettere in campo per definire una strategia di protezione efficace.

Rimanere aggiornati sull’evoluzione delle minacce
Il panorama del ransomware continuerà senza dubbio a evolversi, man mano che i cybercriminali affinano tecniche e strumenti. Tenere informati team di sicurezza e stakeholder sullo stato attuale delle minacce, il loro potenziale impatto sull’azienda e le azioni da intraprendere può aiutare a prevenire gli attacchi.

Analizzare i danni causati dalla perdita di dati critici

Per comprendere l’impatto di un attacco ransomware, è necessario disporre di una visibilità completa su risorse e dati critici, comprendere come vi si accede e come vengono utilizzati all’interno dell’organizzazione. Questo esercizio di mappatura permette di assicurarsi che l’accesso a informazioni sensibili sia basato sulla necessità e di valutare i rischi derivanti dall’impossibilità di accedervi.

Valutare la preparazione interna ed esterna
Il rischio di un attacco ransomware aumenta quando non si dispone di una valutazione adeguata della postura di sicurezza. Pertanto, è fondamentale determinare i rischi più significativi da affrontare in base alla propria combinazione di persone, processi, tecnologia e capacità di governance, senza dimenticare di identificare eventuali rischi di terze parti. A valle di questa analisi è possibile disegnare una roadmap di mitigazione che permetta di raggiungere obiettivi di sicurezza che siano allineati con quelli strategici di business.

Rivedere il piano di risposta agli incidenti
Testare e aggiornare regolarmente il proprio piano di incident response, utilizzando le più recenti informazioni sulle minacce ransomware per esercitazioni e simulazioni. I test misurano la capacità di risposta, valutano le difese, identificano le falle potenziali e analizzano la capacità di contrastare tattiche, tecniche e procedure utilizzate dai gruppi ransomware più comuni.

È raccomandabile coinvolgere tutti i principali stakeholder per avere il loro consenso. Affrontare conversazioni difficili in anticipo farà risparmiare tempo prezioso e garantirà alle organizzazioni la possibilità di concentrarsi su ciò che conta di più in caso di attacco: il mantenimento delle operazioni critiche e il ripristino di uno stato di normalità.

Implementare Zero Trust
Un approccio strategico alla cybersecurity basato su Zero Trust semplifica e unifica la gestione del rischio, rendendo la sicurezza un unico caso d’uso per tutti gli utenti, dispositivi, fonti di connessione o metodi di accesso. Zero Trust elimina la fiducia implicita e convalida continuamente ogni fase dell’interazione digitale.

Identificare le risorse esposte e bloccare gli attacchi ransomware più comuni
Adottare un sistema di registrazione per tracciare ogni asset, sistema e servizio che si trova su Internet, compreso il monitoraggio dei principali cloud service provider e dello spazio affittato dinamicamente da Internet Service Provider (ISP), utilizzando un’indicizzazione completa e comprendendo porte e protocolli comuni e spesso mal configurati.

Prevenire minacce note e sconosciute
L’obiettivo è di trasformare l’ignoto in noto e fornire nuove protezioni a una velocità superiore di quella degli attaccanti. Per prevenire le minacce note è necessario impedire l’accesso alla rete a exploit, malware e traffico command & control aumentando così il costo di esecuzione di un attacco ransomware in misura sufficiente a scoraggiare i cybercriminali. Inoltre, è necessario concentrarsi sull’identificazione di minacce sconosciute, poiché gli aggressori più sofisticati continuano a sviluppare nuovi exploit zero-day e varianti di ransomware.

Automatizzare ovunque sia possibile
Quando si subisce un attacco ransomware, si dedicano molte ore di attività manuale a combinare fonti di informazioni provenienti da strumenti diversi. Il consiglio è quello di implementare soluzioni che supportino la bonifica automatizzata del ransomware utilizzando playbook preconfezionati per la risposta e il ripristino. Soluzioni di orchestrazione, automazione e risposta della sicurezza (SOAR) automatizzano l’intero processo, riducendo al minimo le perdite di dati e limitando l’impatto finanziario.

Proteggere i workload cloud
Assicurarsi che tutte le infrastrutture cloud, Kubernetes e le immagini dei container siano configurati in modo sicuro e che siano state adottate le misure necessarie per ridurre al minimo le vulnerabilità, compresa qualsiasi funzione di sicurezza disattivata by default. Verificare che pacchetti e librerie open source non presentino vulnerabilità che possono essere corrette e identificare e rimuovere diritti IAM troppo permissivi o inutilizzati.

Ridurre i tempi di risposta con il supporto di esperti esterni
Una volta identificata una potenziale violazione è fondamentale agire rapidamente. Con un supporto IR continuo, gli esperti di incident response saranno di fatto un’estensione del team interno, sempre pronti a intervenire quando necessario.