Attacchi ransomware, la polizza non basta
25 Agosto 2023
Secondo Edwin Weijdema (Veeam), un’assicurazione informatica può rimborsare i danni provocati dall’operazione criminosa, ma non può annullarne completamente l’effetto. Ecco perché
Per arginare le conseguenze degli attacchi ransomware, una polizza può rivelarsi molto utile. Ma non è sufficiente. Lo afferma, in un intervento, Edwin Weijdema, field cto Emea and lead cybersecurity technologist di Veeam Software.
“L’assicurazione informatica”, afferma, “può pagare i danni causati da un attacco ransomware, ma è importante ricordare che non può mai prevenire o annullare questi danni o l’effetto a catena che crea, come la perdita di clienti e di fiducia”. Conseguenze queste che potrebbero nascondere pericoli per il futuro dell’azienda, e in alcuni casi per la sua stessa sopravvivenza sul mercato.
Le assicurazioni aumentano le clausole
E non è tutto. Con l’incremento delle minacce ransomware, prosegue Weijdema, “sono aumentate anche le clausole dei fornitori di assicurazioni informatiche”. A evidenziare questo trend è stato anche il Veeam Ransomware Trends Report; secondo quanto rilevato dallo studio, infatti, “più del 20% delle organizzazioni ha dichiarato che gli attacchi ransomware non sono coperti dal proprio fornitore di assicurazione informatica e, anche quando lo sono, alcuni di essi stabiliscono che le aziende non possono parlare pubblicamente della violazione. La spiacevole conseguenza è che la realtà degli attacchi ransomware, così comune, rimane nascosta come un segreto”.
E invece, afferma Weijdema, l’atteggiamento da assumere dovrebbe essere l’esatto contrario. Perché parlarne “aiuta a dissipare il mistero che li circonda. Nonostante la frequenza delle conversazioni sui ransomware nei media, molte persone non sanno come questi processi si svolgono: può sembrare che sia sufficiente premere un interruttore o un trucco magico, ma la realtà è molto più complicata e lunga di così. Tenendo presente che quasi tutte le organizzazioni saranno colpite da uno di questi attacchi (molte probabilmente lo sono già state), la conoscenza dell’intero processo è essenziale per la preparazione e il successo del recupero”.
Un processo lungo ed elaborato
E questo deve partire dall’analisi di questi eventi criminosi. Perché, spiega Weijdema, “le conversazioni sul ransomware raramente riconoscono che un attacco è il culmine di una serie di eventi orchestrati da malintenzionati. Non compare, dunque, all’improvviso, ma segue giorni, settimane, mesi o addirittura anni di preparazione”.
Più in particolare, prosegue Weijdema, l’operazione criminosa inizia con una fase di osservazione, nel corso della quale i delinquenti “si limitano a osservare l’obiettivo per raccogliere informazioni su persone, processi e tecnologie per identificare le opportunità. Così come un ladro familiarizza con le entrate e le uscite di un edificio e con chi vi abita, anche i criminali informatici vogliono sapere con chi hanno a che fare”.
E poi c’è la seconda fase, quella che vede i malavitosi provare a penetrare i sistemi, mediante l’invio di “link di phishing o simili, per consentire l’ingresso e la creazione di una base operativa all’interno dell’infrastruttura dell’obiettivo”. Lo fanno rimanendo nascosti, “ma questo consente loro di arrecare danni significativi. In questa fase gli aggressori esfiltrano i dati e possono anche distruggere i back up in modo del tutto inosservato, fino a quando non rendono nota la loro presenza al momento di lanciare la fase finale, l’attacco e la richiesta di riscatto”
I team di sicurezza, dunque, “non devono solo affrontare le minacce visibili, ma anche alcuni nemici sconosciuti e invisibili che potrebbero nascondersi sullo sfondo in qualsiasi momento. Tuttavia, il detto “sapere è potere” si dimostra ancora una volta vero. Le organizzazioni possono utilizzare queste informazioni per sviluppare la strategia di back up e di recupero più solida possibile”.
Tre mosse per proteggersi
Naturalmente, è possibile organizzare una protezione a monte. “In primo luogo”, consiglia Weijdema, “i team di sicurezza devono assicurarsi di avere una copia immutabile dei propri dati, in modo che gli hacker non possano alterarli o nasconderli in alcun modo. Poi, devono criptare le informazioni in modo che, in caso di furto o violazione, gli hacker non possano accedervi o utilizzarle”.
Ma “la fase più importante per sigillare la fortezza è però quella che chiamiamo la regola del back up 3-2-1-1-0. Ciò significa mantenere un minimo di tre copie dei dati, in modo che anche se due dispositivi sono compromessi o si guastano in qualche modo, si ha comunque una versione aggiuntiva. Ed è molto più improbabile che tre dispositivi si guastino. Le organizzazioni dovrebbero inoltre archiviare questi back up su due tipi diversi di supporti. Per esempio una copia su un disco rigido interno e un’altra nel cloud. Una di queste dovrebbe essere sempre conservata in un luogo sicuro fuori sede e una dovrebbe essere tenuta off line (air gapped). Senza alcun collegamento con l’infrastruttura It principale. La fase 0 è forse la più importante di tutte: i back up non devono presentare errori. Questo può essere garantito da test regolari e da un costante monitoraggio e ripristino. Seguendo questi accorgimenti”, conclude Weijdema, “le organizzazioni potranno stare tranquille quando un attacco ransomware inevitabilmente colpirà, perché saranno sicure di aver chiuso le porte agli hacker“.
