Contro il ransomware e non solo una piattaforma completa di difesa, remediation e analisi
«Il giro d’affari del cybercrime è cresciuto negli ultimi anni in maniera quasi esponenziale» afferma Fabio Sammartino, Head of PreSales Kaspersky Italia. «Secondo le ultime stime disponibili – dati del 2022 – vale circa al 30% di tutto il mercato IT, il 50% di quello dell’automotive e l’85% delle TLC. Numeri impressionanti. A fronte di un business estremamente remunerativo». E’ il ransomware, reperibile e utilizzabile senza particolari competenze tecniche, a smuovere questo flusso enorme di denaro. «Per creare una campagna malware non servono nozioni di coding avanzato; basta comprare piattaforme già pronte all’uso vendute come software as a service per 3000/3500 $, appoggiandosi a gruppi di criminali specializzati sul brokeraggio del pagamento in criptovalute». Le barriere tecnologiche se non del tutto rimosse si sono assottigliate. Come peraltro dimostrano i numeri sugli attacchi. Al contrario, i costi per le vittime possono diventare insostenibili. «La maggior parte delle aziende paga il riscatto» afferma Sammartino. Costi che si aggiungono a quelli necessari per il ripristino delle infrastrutture colpite e la remediation, ovvero le contromisure da adottare a valle di un incidente informatico. «Il fatto che la stragrande maggioranza delle vittime paghi il riscatto significa che molte aziende non hanno né gli strumenti né le capacità per fare attività di ripristino senza che il costo dei danni possa essere contenuto al di sotto della soglia del pagamento del riscatto» spiega Sammartino. Un downtime in media dura circa 20 giorni, dipende dalle dimensioni della vittima e dalla profondità dell’attacco. Ma a questi costi vanno aggiunti quelli che derivano dalla perdita di reputazione dell’azienda soprattutto in caso di un attacco a doppia estorsione, con la violazione del perimetro della vittima, la sottrazione dei dati e la minaccia di pubblicarli in rete.
Non cedere al ricatto
Di fronte alle richieste di riscatto, la posizione di Kaspersky è chiara. «Non abbiamo servizi che aiutano le aziende a svolgere questo tipo di attività. Una scelta etica. Il nostro consiglio è di evitare di pagare il riscatto; primo perchè non c’è nessuna garanzia che i dati ritornino a essere accessibili; inoltre, in assenza di mitigazione e analisi dell’incidente, il rischio è di finanziare un secondo attacco, anche magari a discapito di terzi». Spesso la scelta è difficile. Da un lato il rischio di esporsi a un secondo attacco; dall’altro la proprietà che preme per un ritorno all’operatività nel minor tempo possibile. Conciliando se possibile esigenze tecniche di mitigazione, controllo, verifica. Ovvero il rispetto di un piano d’azione o almeno qualche linea guida. «Il primo errore è non avere un piano di risposta» afferma Sammartino. «Che purtroppo secondo la mia esperienza nel 90% dei casi non c’è. Il secondo è quello di prendere delle decisioni affrettate mentre servono delle competenze per decidere cosa ripristinare per primo, come eseguire le attività di controllo, ecc. come quello che noi mettiamo a disposizione». L’indicazione è quella di tenere presente che l’urgenza di tornare operativi non deve portare a sottovalutare il rischio di essere sottoposti a un secondo attacco dopo il primo ripristino, valutando realisticamente cosa ciò comporterebbe.
Una catena articolata
Questo è uno scenario. Ma non è l’unico. «Il ransomware è la minaccia di cui parliamo di più» conferma Sammartino. «Però chi attacca in maniera più silente fa anche altre cose. Come sottrarre le credenziali, guadagnarsi gli accessi alla rete aziendale o implementare spyware che potranno servire in seguito. I ransomware sono il percepito evidente di una catena che però inizia ben prima. Per questo cerchiamo di dire ai nostri clienti di non preoccuparsi solo del ransomware, l’ultimo anello di una catena ben più articolata per la quale servono misure di visibilità, difesa e mitigazione degli attacchi che agiscano in un perimetro più ampio. Intervenendo su diversi domini della cybersecurity».
Tecnologia, formazione, e ancora tecnologia
Il primo è l’estensione della superficie d’attacco. «Che deve essere ridotta; poi c’è bisogno di formazione per i dipendenti fatta in maniera continuativa per tenere alto il livello di attenzione. E infine la disponibilità di strumenti di controllo che aumentino la visibilità su applicazioni ed endpoint e offrano un buon livello di automatismo nelle risposte. Cercando le anomalie e i comportamenti pericolosi. «Spesso, soprattutto nella fase iniziale, gli attacchi di tipo ransomware non vengono veicolati con malware e sono quindi difficilmente identificabili dagli strumenti di protezione» osserva Sammartino. «Soluzioni come EDR Optimum integrano al loro interno un servizio di managed response, con il quale i nostri esperti, attraverso le telemetrie, aumentano le visibilità su quello che sta accadendo. Identificando ad esempio gli attacchi fileless, malwareless e i comportamenti pericolosi in maniera automatizzata. Protezione completata – continua Sammartino – da soluzioni di cyber security awareness, come la piattaforma ASAP in grado altresì di fornire tutte le info necessarie per investigare sugli attacchi attraverso il Threat Intelligence Portal».
I 4 pilastri
Detection e remediation avanzate, soluzioni EDR/MDR (endpoint and managed detection and response) e la formazione del personale costituiscono i quattro elementi principali dell’Optimum security framework Kaspersky. Integrabile, come spiega Sammartino, in una strategia più ampia Zero Trust. «I cui principi, molti dei quali legati al controllo accessi e all’analisi del networking, comprendono visibilità controllo e attribuzione; in quest’ottica soprattutto le soluzioni EDR/MDR e di threat intelliegence si calano benissimo nel framework perchè offrono elementi di visibilità sugli incidenti e di controllo sulle attività svolte e i livelli di privilegio utilizzati».