Maurizio Tondi, Director Security Strategy di Axitea, analizza il crescente fenomeno del ransomware.
Come comportarsi quando si viene attaccati?
Device bloccati e dati inaccessibili o sottratti; ricatti dietro cui si cela la minaccia della pubblicazione delle informazioni sensibili che sono state trafugate; danni economici e reputazionali potenzialmente fatali: benvenuti nel mondo del ransomware, il terzo tipo di attacco malware più comune e il secondo più dannoso registrato nel 2020, una realtà che riguarda da vicino sempre più aziende.
Solo a livello italiano, si calcola che il 31% delle aziende italiane possano esser state colpite da questo cyberattack negli ultimi 12 mesi ed entro il 2021 si prevede che si verifichi un attacco ransomware ogni 11 secondi.
Il settore manufatturiero è tra i più colpiti
Nel 2020 è divenuto il secondo settore ad essere maggiormente minacciato in tutto il mondo, con tassi di aggressione triplicati rispetto all’anno precedente dove proprio il ransomware ha giocato un ruolo cruciale (61.2% dei casi secondo NTT) e dove l’accanimento è derivato da diversi fattori.
In primis la situazione pandemica, unita alla stessa natura del settore, dove la produzione accelerata di alcuni beni soggetti a grande domanda e il potenziale impatto relativo all’interruzione delle attività, che può influire su tutta la catena di approvvigionamento, hanno tendenzialmente reso questo tipo di aziende più propense a cedere al ricatto; ma anche la tecnologia a volte obsoleta o paradossalmente la modernizzazione degli impianti verso logiche di convergenza OT-IT, dove poca attenzione è stata posta all’aspetto secure by design con il solo risultato di moltiplicare enormemente i punti di vulnerabilità, che non a caso risultano più elevati della media di altri settori.
Naturalmente, ora la percezione del rischio è molto alta e l’enfasi è ricaduta soprattutto sull’aspetto preventivo della difesa, tanto che nel nostro paese il 41% delle imprese si aspetta di poter essere vittima di un attacco in futuro e ha deciso di fare tutto il possibile per scongiurare questa eventualità.
Ma come agire nel momento in cui l’infezione del sistema ha avuto successo?
1. Non cedere al ricatto
L’aspetto più importante da cui partire è non pagare il riscatto chiesto per riottenere i propri dati/device e rimediare alla business disruption.
Nel campione di ricerca globale dell’ultimo rapporto Sophos, le aziende che hanno deciso di pagare il riscatto sono infatti aumentate dal 26% al 32%, ma meno di una su dieci (l’8%), è riuscita a recuperare tutti i suoi dati.
Acconsentire al pagamento, dunque, non è solo una prassi eticamente scorretta eanche economicamente sconveniente.
2. Rispondere con un’azione strutturata
Per rispondere alla criticità dettata da un attacco ransomware, è necessario attivare un vero e proprio processo integrato di Post Incident Management Response, che partendo da un assessment iniziale e da una ricostruzione della kill chain, affianchi la remediation – tecnica ad un iter burocratico, organizzativo e amministrativo che si proietti anche nello scenario successivo all’attacco. All’estirpazione del malware devono necessariamente seguire una fase di integrity check up e di monitoraggio dove penetration test infrastrutturale, Network Vulnerability Assessment e Network Activity Detection & Response non possono assolutamente mancare.
Tutto ciò, tuttavia, non può prescindere dalle persone: in questi casi, se la pressione sull’IT Manager è troppa o manca una figura di riferimento, ricorrere a un team di esperti di assistenza post attacco informatico che attraverso metodologie di settore e tecnologie innovative possono immediatamente prendere in carico la situazione è una scelta obbligata.
3. Implementare le lezioni apprese
A seguito della risoluzione di un attacco ransomware, la prosecuzione naturale è cercare di assicurarci che qualcosa del genere non possa capitarci di nuovo.
Dotarsi di soluzioni e servizi per il mantenimento continuativo di adeguati livelli di protezione e sicurezza attraverso servizi personalizzati e dimensionati sulle proprie esigenze è dunque il primo passo, senza dimenticare l’obiettivo finale: acquisire una capability di Incident Response che consenta tanto di migliorarsi nel tempo, prevenendo la ricorrenza di nuovi attacchi, quanto di gestire al meglio anche le problematiche di natura legale che possono presentarsi durante le fasi di un incidente.