Dovresti pagare gli aggressori Ransomware? Microsoft dice di no

Il ransomware colpisce utenti di PC grandi e piccoli, con un certo numero di comuni recentemente gravemente colpiti e paralizzati per settimane da un software che crittografa i loro dati e richiede il pagamento per far funzionare di nuovo l'infrastruttura informatica. Il ransomware spesso prende di mira anche i sistemi di backup, rendendo impossibile il ripristino su un backup noto.

Di fronte a una richiesta di riscatto e con infrastrutture critiche e la funzione amministrativa di centinaia di migliaia di persone inabili, molte città sono state tentate di pagare il riscatto e alcune hanno infatti ceduto.

Microsoft è tuttavia chiara nel consiglio di non cedere mai ai terroristi:

Non incoraggiamo mai una vittima di un ransomware a pagare alcuna forma di richiesta di riscatto. Pagare un riscatto è spesso costoso, pericoloso e rifornisce solo la capacità degli aggressori di continuare le loro operazioni; In conclusione, questo equivale a una proverbiale pacca sulla spalla per gli attaccanti. La cosa più importante da notare è che il pagamento di criminali informatici per ottenere una chiave di decrittazione del ransomware non fornisce alcuna garanzia che i dati crittografati verranno ripristinati.

Microsoft, purtroppo, non si espande invece su cosa fare, suggerendo piuttosto che prevenire è meglio che curare, dicendo:

... ogni organizzazione dovrebbe trattare un incidente di sicurezza informatica in base a quando accadrà e non se accadrà. Avere questa mentalità aiuta un'organizzazione a reagire in modo rapido ed efficace a tali incidenti quando si verificano.

Microsoft consiglia la seguente strategia:

1. Utilizzare una soluzione di filtraggio e-mail efficace

Secondo il Volume 24 del rapporto Microsoft Security Intelligence del 2018, spam e e-mail di phishing sono ancora il metodo di consegna più comune per le infezioni ransomware. Per fermare efficacemente il ransomware al suo punto di ingresso, ogni organizzazione deve adottare un servizio di sicurezza della posta elettronica che garantisca che tutti i contenuti e le intestazioni delle e-mail in entrata e in uscita dall'organizzazione vengano scansionati alla ricerca di spam, virus e altre minacce malware avanzate. Adottando una soluzione di protezione della posta elettronica di livello aziendale, la maggior parte delle minacce alla sicurezza informatica contro un'organizzazione verranno bloccate in ingresso e in uscita.

2. Patching periodico dei sistemi hardware e software e gestione efficace delle vulnerabilità

Molte organizzazioni continuano a non adottare una delle raccomandazioni secolari sulla sicurezza informatica e le importanti difese contro gli attacchi alla sicurezza informatica:applicare aggiornamenti e patch di sicurezza non appena i fornitori di software li rilasciano. Un esempio lampante di questo fallimento sono stati gli eventi ransomware WannaCry nel 2017, uno dei più grandi attacchi di sicurezza informatica globali nella storia di Internet, che ha utilizzato una vulnerabilità trapelata nel protocollo SMB (Server Message Block) di rete di Windows, per il quale Microsoft aveva rilasciato un patch quasi due mesi prima del primo incidente pubblicizzato. L'applicazione di patch regolari e un efficace programma di gestione delle vulnerabilità sono misure importanti per difendersi da ransomware e altre forme di malware e sono passi nella giusta direzione per garantire che ogni organizzazione non diventi vittima di ransomware.

3. Utilizzare un antivirus aggiornato e una soluzione di rilevamento e risposta degli endpoint (EDR).

Sebbene possedere una soluzione antivirus da sola non garantisca una protezione adeguata contro virus e altre minacce informatiche avanzate, è molto importante garantire che le soluzioni antivirus siano mantenute aggiornate con i fornitori di software. Gli aggressori investono molto nella creazione di nuovi virus ed exploit, mentre i fornitori sono lasciati al passo con il rilascio di aggiornamenti giornalieri ai motori di database antivirus. Complementare al possesso e all'aggiornamento di una soluzione antivirus è l'uso di soluzioni EDR che raccolgono e archiviano grandi volumi di dati dagli endpoint e forniscono monitoraggio e visibilità ai sistemi in tempo reale a livello di file e basati su host. I set di dati e gli avvisi generati da questa soluzione possono aiutare a fermare le minacce avanzate e sono spesso sfruttati per rispondere agli incidenti di sicurezza.

4. Separare le credenziali amministrative e privilegiate dalle credenziali standard

Lavorando come consulente per la sicurezza informatica, uno dei primi consigli che di solito fornisco ai clienti è di separare i loro account amministrativi di sistema dagli account utente standard e di garantire che tali account amministrativi non siano utilizzabili su più sistemi. La separazione di questi account privilegiati non solo impone il controllo degli accessi adeguato, ma garantisce anche che la compromissione di un singolo account non comporti la compromissione dell'intera infrastruttura IT. Inoltre, l'utilizzo delle soluzioni Multi-Factor Authentication (MFA), Privileged Identity Management (PIM) e Privileged Access Management (PAM) sono modi per combattere efficacemente l'abuso di account privilegiati e un modo strategico per ridurre la superficie di attacco delle credenziali.

5. Implementare un efficace programma di whitelist delle applicazioni

È molto importante nell'ambito di una strategia di prevenzione del ransomware limitare le applicazioni che possono essere eseguite all'interno di un'infrastruttura IT. La whitelist delle applicazioni garantisce che solo le applicazioni che sono state testate e approvate da un'organizzazione possano essere eseguite sui sistemi all'interno dell'infrastruttura. Sebbene ciò possa essere noioso e presenti diverse sfide amministrative IT, questa strategia si è dimostrata efficace.

6. Eseguire regolarmente il backup di sistemi e file critici

La capacità di ripristinare un buono stato noto è la strategia più critica di qualsiasi piano per incidenti di sicurezza delle informazioni, in particolare il ransomware. Pertanto, per garantire il successo di questo processo, un'organizzazione deve convalidare che tutti i suoi sistemi, applicazioni e file critici vengano sottoposti a backup regolarmente e che tali backup siano regolarmente testati per assicurarne il ripristino. È noto che il ransomware crittografa o distrugge qualsiasi file che incontra e spesso può renderli irrecuperabili; di conseguenza, è della massima importanza che tutti i file interessati possano essere facilmente recuperati da un buon backup archiviato in una posizione secondaria non interessata dall'attacco ransomware.

Microsoft offre anche strumenti per simulare un attacco ransomware.  Microsoft Secure Score aiuta le organizzazioni a determinare quali controlli abilitare per proteggere utenti, dati e dispositivi. Consentirà inoltre alle organizzazioni di confrontare il proprio punteggio con profili simili utilizzando l'apprendimento automatico integrato Simulatore di attacco consente ai team di sicurezza aziendale di eseguire attacchi simulati, inclusi falsi ransomware e campagne di phishing. Questo li aiuterà ad apprendere le risposte dei loro dipendenti e a ottimizzare le impostazioni di sicurezza di conseguenza.

Ovviamente Microsoft offre anche strumenti di backup su cloud progettati per rilevare la manipolazione di massa dei dati degli utenti e bloccarla.

Per saperne di più Blog del team di rilevamento e risposta di Microsoft qui.