Perché gli aggressori hanno ancora successo?
Anche se i criminali informatici stanno arrivando con attacchi sempre più complessi e mirati, i processi imperfetti nelle aziende contribuiscono ancora a rendere l'infrastruttura di sicurezza aggirabile. (...) Ogni componente dell'infrastruttura di sicurezza non deve essere indipendente, ma incorporato in una gestione completa del processo di sicurezza. (...)
Un concetto globale per la sicurezza informatica dovrebbe (...) non solo mirare alla difesa contro o al rilevamento di un'infezione iniziale. Dovrebbe anche rendere i punti deboli quasi nulli attraverso un'ampia varietà di meccanismi stratificati, in modo che lo sforzo per gli attaccanti diventa troppo alto.
I seguenti cinque elementi vanno considerati per combattere gli attacchi ransomware o per limitarne i danni:
1. Contenere il rischio di infezione iniziale attraverso la scansione TLS
Si apre una grande crepa in qualsiasi piano di protezione se il traffico di dati criptati TLS/SSL di un'azienda non è completamente scansionato per il malware. Oggi gli hacker nascondono il loro contenuto dietro la crittografia, sapendo che le aziende ancora non controllano tutti i flussi di dati per il malware. (...) Se non c'è una visione di questi flussi di dati, il team di sicurezza non ha modo di interrompere questo flusso e si apre la prima grande falla nello scudo protettivo.
2. L'analisi comportamentale batte il rilevamento di malware basato sulla firma
(...) Poiché gli aggressori di malware aggiornano continuamente i codici maligni - anche più volte al giorno - il rilevamento delle firme è sempre un passo indietro rispetto alle azioni dei criminali informatici. (...)
Se si utilizza una Sandbox di analisi comportamentale realizzata tramite una piattaforma di sicurezza globale, l'aggiornamento avviene tramite il cloud e non è più neccessario l'aggiornamento manuale, soggetto a errori. Questo consente di chiudere ulteriormente il canale di attacco (...).
3. Identificare e eliminare le superfici di attacco nella rete attraverso Zero Trust
(...) Un approccio di sicurezza basato su Zero Trust sia per l'accesso remoto che per gli ambienti on-premises assicura che l’infrastruttura aziendale non sia più visibile a nessuno. Le aziende dovrebbero quindi essere consapevoli delle loro superfici di attacco e prendere misure per ridurre queste superfici. (...)
4. La micro-segmentazione elimina la penetrazione laterale degli aggressori
I permessi di accesso distribuiti in modo granulare all’interno di data center o negli ambienti cloud pubblici e ibridi hanno un altro effetto collaterale positivo. La rete non è più completamente aperta tramite l'accesso remoto del dipendente. L’accesso avviene (...) al livello della singola applicazione. Se gli aggressori hanno superato gli ostacoli dell'infezione iniziale, non riescono a diffondersi lateralmente nella rete grazie a questa micro-segmentazione. (...)
5. Data Loss Prevent previene la doppia estorsione
(...) Se gli aggressori hanno raggiunto il loro obiettivo perché sono stati in grado di accedere alla rete attraverso una delle lacune esistenti, una soluzione DLP impedisce loro almeno di accedere ai dati. (...) Se gli aggressori non possono catturare i dati per pubblicarli sulle loro piattaforme di leak, almeno il doppio stratagemma di ricatto, che gli aggressori potrebbero usare per enfatizzare una richiesta di riscatto, non porta a nulla.
Conclusione
(...) Il team di sicurezza IT non dovrebbe più concentrarsi solo sulla prevenzione di un attacco iniziale, ma anche sulla limitazione dei danni una volta che gli attaccanti sono penetrati nella rete. (...) Gli attaccanti sono inoltre in contatto. Se le aziende non apportano modifiche fondamentali alla loro infrastruttura dopo un primo attacco riuscito, corrono addirittura il rischio di essere esposte a un secondo attacco (...).
Oggi, non c'è nessun settore che non possa essere preso di mira dagli attaccanti, quindi le aziende dovrebbero adattare i loro meccanismi di difesa all'approccio degli attaccanti. (...)
(Fonte: Security-Insider.de)