Da diversi anni i ransomware sono in cima alle classifiche delle principali minacce del Web perché, con relativa semplicità, consentono ai criminali di ottenere non trascurabili guadagni senza troppi sforzi. Le probabilità che un impiegato clicchi sull’allegato di turno, per negligenza o disattenzione, sono molto alte. E come abbiamo in visto in un precedente approfondimento [link Lecito pagare ransomware], ci sono situazioni in cui la vittima è costretta ad assecondare le richieste dei ricattatori.
Secondo i ricercatori di Malwarebyte, i malware sono chiaramente progettati per “avvantaggiarsi dei punti deboli delle infrastrutture, delle problematiche di configurazione e degli utenti inconsapevoli/disattenti”. Affidarsi a strategie IT errate può agevolare il compito degli hacker, il post di oggi cerca di elencare i “passi falsi” più comuni delle aziende in materia di sicurezza online, buona lettura.
Procedure di sicurezza lente ed inaffidabili
Anche il più efficace perimetro di sicurezza può essere violato dagli hacker ed è per questo che le aziende devono essere pronte in ogni momento ad affrontare situazioni d’emergenza. Ciò significa disporre di adeguati piani di disaster recovery e procedure che siano in grado, nel più breve tempo possibile, di ripristinare l’operatività del business e mettere in sicurezza l’ambiente compromesso. L’errore più comune è il non pianificare o il non disporre di efficaci procedure di sicurezza.
Un esempio concreto può essere quello dell’impiegato che apre il classico allegato ransomware spalancando le porte ai malintenzionati: quando è avvenuto l’attacco? Quali sistemi e dati sono stati compromessi? Nella peggiore delle ipotesi ci si accorgerà della falla solo diverse settimane o mesi dopo vanificando qualsiasi contromisura. Se a tutto questo si associano sviste come l’assenza di modalità d’autenticazione a due fattori e svariate porte non protette da firewall, è facile intuire perché gli hacker abbiano vita facile. Agire rapidamente è fondamentale: meno tempo si concede ai criminali e più alte saranno le probabilità di minimizzare i danni.
Rinviare l’installazione delle patch e degli aggiornamenti di sistema
Uno degli errori più frequenti è quello di posticipare l’aggiornamento dei sistemi operativi e dei programmi. Nel caso di Baltimora, colpita lo scorso maggio da un rovinoso attacco ransomware (danni stimati intorno ai 18 milioni di dollari), il reparto IT della città ha aspettato più di due anni prima di installare le patch per neutralizzare Wannacrypt. Un’altra violazione dei dati come quella Equifax poteva essere ugualmente evitata installando regolarmente gli aggiornamenti di sicurezza.
Procedure di disaster recovery mai convalidate e buchi nel piano d’emergenza
Nel post “Cybersecurity: l’importanza delle esercitazioni d’emergenza periodiche” si era parlato di un altra “svista” comune, quella di non testare l’efficacia dei piani di disaster recovery e più in generale la tenuta dell’infrastruttura in caso d’attacco/situazioni critiche. Il ripristino dei dati tramite backup è un passaggio cruciale di ogni piano di disaster recovery: scoprire che qualcosa non funziona proprio nel bel mezzo di un’emergenza è una situazione ricorrente in cui nessuna azienda dovrebbe mai trovarsi. Effettuare periodiche esercitazioni e test di sicurezza è l’unico modo per scongiurare scenari di questo tipo.
Non tenere conto di possibili complicazioni come l’indisponibilità dei principali strumenti di comunicazione (email, rete mobile etc.) è un altro errore correlato ed affiancabile a quanto appena detto. Nel caso di Baltimora lo staff non disponeva di account di posta elettronica aziendali. Google, seguendo una consolidata prassi di sicurezza, ha immediatamente bloccato le richieste di attivazione di account privati inoltrate dai membri dello staff IT – che è rimasto sostanzialmente tagliato fuori. Un adeguato piano d’emergenza avrebbe dovuto considerare tale evenienza e pianificare opportune contromisure.
Mancata segmentazione del network ed inadeguata gestione dei privilegi d’accesso
In chiusura, ma non meno rilevante dei precedenti, l’errore di non isolare adeguatamente le aree “interne” del network aziendale in cui sono archiviati i dati più importanti (backup inclusi). Conferire accesso illimitato a qualsiasi utente che disponga dei privilegi amministrativi è il modo più semplice per compromettere gli asset più importanti dell’azienda – un solo account rubato può spalancare le porte ai criminali.
Fonte: 1.