Nonostante se ne parli da anni, la rilevanza degli attacchi ransomware nell’universo della cybersecurity non accenna a diminuire. Secondo un report di Cisco, nella categoria ransomware & extortion rientra circa il 20% di tutti gli incidenti registrati in un anno (2023).
Non ci si può stupire della quantità di attacchi ransomware, considerando che questi abilitano modelli di business piuttosto redditizi per i cyber criminali. Gli attacchi sono relativamente semplici da implementare, poco costosi e possono colpire una vasta platea di vittime (PMI in primis), rendendo particolarmente interessante il rapporto tra i costi e i benefici. Inoltre, la continua evoluzione delle tecniche crittografiche e l'anonimato fornito dalle reti darknet rendono complicata l'identificazione e la persecuzione dei responsabili, cui si aggiunge il terreno fertile generato da una security culture carente in buona parte delle imprese.
Come prevenire e gestire gli attacchi ransomware
L’evoluzione costante dei malware e delle tecniche di attacco rende sempre più complesso affrontare a livello aziendale la tematica del ransomware. Certamente, occorre adottare un approccio sistemico, che vada oltre la singola soluzione e riesca a costruire una solida barriera contro svariate minacce, tra cui proprio gli attacchi ransomware.
I consigli alle imprese sono più o meno i soliti: mantenere tutti i sistemi e software aggiornati con le ultime patch di sicurezza, implementare una strategia di email security, effettuare scansioni regolari delle vulnerabilità, adottare soluzioni di monitoraggio della rete e degli endpoint al fine di identificare elementi e comportamenti sospetti, nonché formare i dipendenti sulle migliori pratiche di sicurezza informatica, compreso il riconoscimento dei tentativi (multicanale) di phishing. Vista la dinamica del ransomware, sfruttare al massimo la crittografia dei dati e poter contare su un robusto piano di backup e ripristino sono requisiti essenziali, anche se non sufficienti.
Attacchi ransomware: perché è importante un SOC
Il Security Operations Center (SOC) è il cuore pulsante dell'arsenale difensivo contro qualsiasi minaccia cyber, attacchi ransomware compresi.
Per prima cosa, esso può contare su tutte le competenze specialistiche necessarie per affrontare una tematica in evoluzione quotidiana come la cybersecurity. Come accennato, infatti, per contrastare i ransomware non basta un antivirus né un backup, poiché il tema evolve e si affina ogni giorno.
Il SOC può contare su un arsenale tecnologico allo stato dell’arte, che gli permette di proteggere l’intero ecosistema aziendale con un approccio olistico di alto livello, comprensivo cioè di capacità preventive e di risposta. L’hub monitora costantemente reti e sistemi, implementa tutte le misure preventive possibili e, grazie all’analisi e alla correlazione dei dati, è in grado di identificare non solo tecniche e minacce note e comuni, ma anche comportamenti sospetti e intrusioni potenziali, così da bloccare all’istante le minacce o minimizzarne le conseguenze.
Come può intervenire un SOC in un attacco ransomware
Un SOC interviene sugli attacchi ransomware in molti modi differenti. Tra questi, si può senz’altro citare la configurazione e la gestione di soluzioni di email security, visto che la posta elettronica rappresenta il principale vettore delle infezioni da ransomware. Oggi, gestire la sicurezza delle email significa andare ben oltre i meccanismi classici di whitelisting e blacklisting adottando avanzate tecniche di filtering con automazione, analisi del contenuto e intelligenza artificiale incorporata (machine learning, per l’esattezza).
Gli specialisti del SOC non hanno semplicemente le competenze giuste, ma anche l’esperienza necessaria per gestire il fenomeno in modo efficace e, soprattutto, sempre aggiornato agli ultimi trend. Per esempio, possono creare delle configurazioni custom nei sistemi XDR e SIEM, come regole di correlazione finalizzate a rilevare accessi insoliti o movimenti laterali che potrebbero indicare l’attività di un ransomware. In questo modo, gli specialisti riducono la quantità di falsi positivi e, soprattutto, possono dare concretezza ed efficacia al monitoraggio real-time degli alert.
Sfruttando le capacità dei moderni sistemi XDR (Extended Detection and Response) unitamente alla gestione ed orchestrazione automatizzata dei processi di enrichment e response operati dal SOAR (Security Operation Automation and Response), essi possono inoltre spezzare la cosiddetta kill chain del ransomware, ovvero il processo multifase attraverso il quale l’attacco persegue lo scopo per cui è stato sferrato: un esempio tipico è l’isolamento automatico degli endpoint o la disabilitazione di un account a fronte di comportamenti sospetti.
Il SOC ha la responsabilità di essere aggiornato e proattivo su tutte queste tematiche. Richiede, dunque, un aggiornamento continuo sui TTP (tecniche, tattiche e procedure) adottati dai cybercriminali, un risultato che si ottiene studiando i report di Threat Intelligence. Il SOC deve essere inoltre in grado di integrare gli IoC (indicatori di compromissione) in tutte le soluzioni che presidiano l’ecosistema aziendale, come SIEM, IDS/IPS e XDR, così da adottare quell’approccio sistemico che, come si è visto, rappresenta l’unica reale strategia di successo.
Fonte: