Attacchi da ransomware: best practice
La domanda che le aziende di oggi devono porsi non è “SE” verranno colpite da un attacco ransomware, ma “QUANDO”. Analizzando l’ultimo periodo, si nota, infatti, il significativo aumento degli attacchi ransomware e quanto si siano registrati ormai ovunque: dalle infrastrutture critiche alle piccole imprese, aziende di tutte le dimensioni stanno cercando il modo per non diventare un bersaglio per i criminali informatici. In questo scenario, ciò che è necessario tenere ben presente è che questo problema non è legato solo alla tecnologia in uso, ma è anche una questione di preparazione. E questa non può prescindere da una corretta comunicazione interna finalizzata ad aumentare i livelli di consapevolezza dei dipendenti sull’argomento.
Secondo il SonicWall Cyber Threat Report 2021, gli attacchi ransomware dal 2019 ad oggi sono aumentati del 158% nel nord America e del 62% a livello globale. Inoltre, sempre in base a quanto rilevato dal report, i criminali informatici sono in grado di mettere in atto strategie sempre più sofisticate per bloccare l’operatività delle aziende, in cambio di una richiesta di “riscatto”. Questo rappresenta una vera e propria preoccupazione per le aziende moderne, che si affidano quasi esclusivamente ai dati per gestire le proprie attività.
Conoscere le fondamentali best practice necessarie per prepararsi al meglio a gestire questo tipo di attacchi, che si basano fondamentalmente sulla presa in “ostaggio” dei dati aziendali, può aiutare a ridurne al minimo, o addirittura a neutralizzarne, l’impatto. Nello specifico, ecco tre best practice da implementare prima che si verifichi un attacco ransomware.
1. Essere consapevoli delle reali capacità della propria azienda di combattere i ransomware.
È di fondamentale importanza capire cosa si può e non si può fare in caso di attacco ransomware. Se l’azienda non ne ha un quadro ben chiaro, i dirigenti potrebbero decidere di pagare il “riscatto” per cercare di recuperare tutti i loro dati, anche quando non si dovrebbe.
Quando i cyber criminali chiedono un riscatto, l’azienda è propensa a pagarlo per riavere indietro i porpri dati, ma accade spesso che il processo di ripristino ad opera degli aggressori sia molto più lento rispetto a quello che si potrebbe innescare attraverso un sistema di recovery o backup dell’azienda stessa. La velocità di ripristino, pertanto, è uno degli elementi chiave da valutare in caso di attacco ransomware, perché il pagamento del riscatto in genere non garantisce un recupero istantaneo.
Quando si parla di attacchi ransomware, inoltre, è bene non tralasciare nemmeno possibili piani di emergenza. Per svilupparne uno adeguato, è fondamentale porsi le seguenti domande: come può l’azienda garantire un ripristino quasi istantaneo se l’attacco ransomware viene ignorato? Come può l’azienda garantire che i dati non siano danneggiati? La consapevolezza e l’elaborazione di valide strategie per affrontare al meglio queste sfide darà alla leadership dell’azienda maggiore fiducia per andare avanti.
2. Stabilire comunicazioni chiare e concise con informazioni veritiere e affidabili.
Nel bel mezzo di un attacco informatico, la comunicazione all’interno di un’azienda può essere facilmente interrotta, frammentata e isolata. È possibile, in questi casi, che affiorino punti deboli all’interno della comunicazione, che portano a una disconnessione tra dirigenti aziendali e responsabili IT. Se i dirigenti hanno informazioni limitate e non hanno un quadro completo e chiaro di ciò che l’azienda può e non può fare, potrebbero essere prese decisioni dettate dall’istinto, non razionali e ponderate, che potrebbero portare a perdite finanziarie, danni alla reputazione e interruzioni del business.
I responsabili IT devono essere in prima linea nella gestione della crisi e devono poter esporre liberamente la situazione reale in tutta onestà e chiarezza, anche a fronte di dirigenti riluttanti ad ascoltare. Un attacco informatico solitamente accresce il nervosismo all’interno dei vertici aziendali, spingendo i dirigenti a voler pagare subito il riscatto per chiudere in fretta la questione.
Un’efficace comunicazione interna, invece, assicura che tutti i decision maker siano coinvolti, consapevoli e a conoscenza del fatto che l’azienda dispone di un sistema di cyber recovery per il rispistino dei dati, escludendo così la necessità di dover negoziare e scendere a patti con i criminali. Anche se in prima battuta questa strategia potrebbe sembrare controintuitiva, grazie a un adeguato sistema di cyber recovery di ultima generazione, dal punto di vista del data storage, è possibile ignorare le richieste di riscatto. È come dire ai cyber criminali di “andare al diavolo”, perché l’azienda è in grado di neutralizzare l’impatto dell’attacco.
3. Mantenere la propria “checklist” continuamente aggiornata in previsione di futuri attacchi ransomware.
Non è solo importante spuntare le voci all’interno della propria “checklist”, ma è fondamentale che le voci in questione siano quelle corrette:
- Completamento simulazione.
- Protezione dei sistemi di backup.
- Cyber recovery ad alta velocità (preferibilmente ripristino quasi istantaneo).
- Immutable Snapshot.
La “checklist” non può rimanere statica, perché rappresenta il parametro con il quale si può giudicare il livello di preparazione dell’azienda in caso di attacchi ransomware. Grazie a questa lista, infatti, è possibile mantenere l’azienda in una modalità costante di preparazione, sottoponendola a stress test attraverso simulazioni controllate. Una “checklist” sviluppata in maniera adeguata permette così di prevenire la compromissione dei dati aziendali.
L’implementazione di Immutable Snapshot, ad esempio, è un perfetto esempio di strategia grazie alla quale i dati non possono essere corrotti o crittografati. Gli Immutable Snapshot, infatti, sono istantanee di tutti i dati aziendali che non possono essere sovrascritte, alterate o cancellate. Consentono, quindi, di tornare al momento desiderato e ripristinare rapidamente qualsiasi dato da un’istantanea, riducendo così gli attacchi ransomware a un semplice “ostacolo” sulla strada della continuità dell’attività aziendale. Quando si utilizzano Immutable Snapshot è garantita la possibilità di recuperare velocemente i propri dati, senza dover pagare nessun riscatto. Questo è il motivo per cui gli Immutable Snapshot sono ormai presenti nella stragrande maggioranza delle “checklist”.
Infine, è fondamentale assicurarsi di controllare tutte le voci inserite sulla lista, seguendo tutte le procedure in maniera adeguata. Capita spesso che i test di disaster recovery vengano visti come una seccatura da dover completare in modo soddisfacente, ma con il minimo sforzo possibile. Bisogna, invece, promuovere un atteggiamento proattivo, volto a scovare eventuali debolezze all’interno del sistema, sfidando il reparto IT a trovare modalità sempre nuove per mettere sotto pressione l’infrastruttura. Questo può portare alla luce problemi inediti, prima che diventino problemi reali. L’obiettivo è quello di non aspettare che l’attacco si verifichi, ma simularlo prima per testare l’efficacia del rispristino dati.
Punti chiave
Per aspettarsi il miglior risultato in una situazione di crisi è necessario prepararsi in anticipo e in maniera intelligente ai peggiori scenari possibili causati dagli attacchi ransomware. In questo modo, l’azienda si troverà nella posizione migliore per neutralizzare gli effetti di un attacco, quando questo si verificherà. Consapevolezza, comunicazione e standardizzazione sono tre componenti chiave per una preparazione efficace.