Sicurezza informatica 
Chi opera nel settore manifatturiero spesso si trova a dover affrontare la gestione di ransomware, attacchi alla catena di fornitura e di social engineering, minacce interne
Pubblicato il Aprile 17, 2023
Comprendere gli attacchi ransomware è il primo passo per poterli prevenire e impedire che colpiscano con successo un’organizzazione. Per prevenire gli attacchi ransomware, le organizzazioni devono adottare solidi protocolli di sicurezza, come l’esecuzione di backup regolari dei sistemi e la formazione dei dipendenti per evitare le truffe di social engineering, oltre ad altre misure.
Continua a leggere per saperne di più sugli attacchi ransomware e su cosa possono fare le aziende per proteggersi da questo tipo di attacchi.
Che cos’è un attacco ransomware?
Il ransomware è un tipo di malware che cripta i file di un dispositivo e blocca gli utenti dal sistema finché non viene pagato un riscatto al criminale informatico. Quando il riscatto viene pagato, il criminale informatico promette che darà alla vittima ciò che le serve per decriptare i suoi file in modo che possa accedervi di nuovo; tuttavia, è importante notare che gli aggressori non sempre mantengono le loro promesse. Alcuni aggressori si spingono fino a pubblicare o vendere i dati sensibili rubati sul dark web, anche dopo il pagamento di un riscatto. Pagare un riscatto non è una garanzia che i dati di un’organizzazione siano al sicuro.
Perché gli attacchi ransomware sono in aumento?
Gli attacchi ransomware sono diventati sempre più comuni per molte ragioni, tra cui le seguenti:
- They require little technical expertise to launch. Less technically sophisticated attackers can even purchase Ransomware-as-a-Service (RaaS) packages on dark web forums.
- A differenza delle violazioni di dati, in cui i criminali informatici devono prima rubare i dati e poi trovare acquirenti disposti a farlo, i pagamenti dei ransomware sono quasi immediati.
- Molte vittime scelgono ancora di pagare il riscatto. Nel 2022, gli aggressori di ransomware hanno estorto alle vittime almeno 456,8 milioni di dollari.
Il costo degli attacchi ransomware
Il costo degli attacchi ransomware è in aumento. In media, il costo di un attacco ransomware è di 4,54 milioni di dollari. Oltre ai costi diretti, come il pagamento del riscatto e la riparazione dei sistemi danneggiati, le organizzazioni devono affrontare costi indiretti significativi dovuti al ridimensionamento delle operazioni o alla chiusura temporanea durante le riparazioni. Il tempo medio di inattività di un attacco ransomware è di 9 giorni, ma alcune organizzazioni non sopravvivono al ransomware e sono costrette a chiudere definitivamente.
Anche se l’assicurazione informatica può coprire alcuni di questi costi, le organizzazioni non possono dipendere dalle polizze informatiche per essere ripagate dopo un attacco ransomware. La tipica polizza di assicurazione informatica non copre le multe previste dalla normativa in caso di violazione dei mandati di conformità come lo standard di sicurezza dei dati PCI (PCI DSS) e il regolamento di sicurezza dei dati PCI (PCI DSS). Health Insurance Portability and Accountability Act (HIPAA); attacchi che coinvolgono insider malintenzionati, tra cui dipendenti scontenti, ex dipendenti e fornitori di terze parti; l’impatto finanziario dei danni alla reputazione; o tutte le perdite di un’organizzazione dovute ai tempi di inattività.
Se un’organizzazione deve chiudere per un periodo di tempo prolungato o se la proprietà intellettuale digitale (IP) viene violata durante l’attacco, le organizzazioni possono subire danni irreversibili.
La minaccia emergente della doppia estorsione
La doppia estorsione, nota anche come “name and shame”, si verifica quando i criminali informatici non si limitano a criptare i dati di una vittima, ma li rubano anche, minacciando poi di renderli pubblici o di venderli sul dark web se non viene pagato il riscatto. La doppia estorsione trasforma efficacemente gli attacchi ransomware in violazioni dei dati.
Le PMI e le amministrazioni comunali sono ad alto rischio di ransomware
Quando il ransomware è apparso per la prima volta, le vittime erano di solito imprese molto grandi. Il ragionamento era che queste organizzazioni avevano abbastanza fondi per pagare le richieste di riscatto. Tuttavia, le grandi aziende possono anche permettersi di rafforzare le proprie difese di sicurezza per prevenire attacchi futuri. Ostacolati dalle difese di sicurezza informatica complete delle grandi imprese, i criminali informatici hanno rivolto la loro attenzione alle piccole e medie imprese (PMI), nonché alle amministrazioni statali e comunali che non possono permettersi di mettere in atto lo stesso livello di difese di sicurezza informatica.
Questo non significa che le grandi aziende siano immuni dagli attacchi ransomware. Il primo trimestre del 2023 ha visto una serie di attacchi a grandi aziende, tra cui, ma non solo, Dole Food Company e Dish Network.
Le organizzazioni dovrebbero pagare i riscatti?
Se un’organizzazione debba pagare un riscatto o meno è una questione di grande dibattito, anche tra i professionisti della sicurezza informatica. Gli assicuratori informatici spesso incoraggiano le vittime a pagare il riscatto, poiché la maggior parte delle polizze copre il pagamento del riscatto. Alcuni professionisti della sicurezza sostengono che i costi del riscatto sono generalmente inferiori a quelli del recupero dei dati, soprattutto per le PMI che non possono permettersi tempi di inattività prolungati. Nelle strutture sanitarie e negli enti governativi, i tempi di inattività possono mettere a rischio la salute e le vite umane.
Altri professionisti della sicurezza, così come la maggior parte delle forze dell’ordine, sostengono che il pagamento dei riscatti non fa altro che incoraggiare futuri attacchi e che il pagamento non garantisce il ripristino. Inoltre, nei casi di doppia estorsione, i criminali informatici sono ancora in possesso dei dati rubati. A prescindere dalla promessa di distruggere i dati dopo aver ricevuto un riscatto, potrebbero comunque venderli, pubblicizzarli o usarli come punto di partenza per attacchi futuri, come il Business Email Compromise (BEC).
Con così tanti rischi, la soluzione ottimale è prevenire gli attacchi ransomware.
Come prevenire gli attacchi ransomware
Il software antivirus e la maggior parte dei sistemi di Identity and Access Management (IAM) fanno poco per proteggere le organizzazioni dal ransomware. La difesa dai ransomware richiede un approccio proattivo su più fronti.
Ecco alcune misure che le aziende dovrebbero adottare per prevenire gli attacchi ransomware.
Eseguire backup regolari del sistema
I backup regolari del sistema sono essenziali non solo per recuperare i dati dopo un incidente ransomware o un altro attacco informatico, ma anche dopo interruzioni catastrofiche del sistema e danni all’hardware.
Addestrare i dipendenti ad evitare le truffe di social engineering
Poiché molti tentativi di ransomware vengono trasmessi tramite e-mail di phishing, la formazione dei dipendenti per evitare il phishing e altre truffe di social engineering è un passo fondamentale per prevenire gli attacchi ransomware. Tuttavia, non si tratta di una pallottola d’argento, poiché gli attacchi brute-force hanno superato il phishing diventando il metodo più comune di diffusione del ransomware.
Gli attacchi di forza bruta utilizzano metodi trial-and-error per indovinare le credenziali di accesso e altre informazioni sensibili. Questo tipo di attacco ha ancora più successo se i dipendenti riutilizzano le password su più account, se usano password deboli o se condividono le password in modo insicuro con i colleghi.
Proteggere le password dei dipendenti
Le password deboli e compromesse sono la più grande minaccia per la sicurezza informatica delle organizzazioni, oltre ad alimentare gli attacchi a forza bruta che sono il metodo più comune di diffusione dei ransomware. In effetti, le cattive abitudini dei dipendenti in fatto di password sono alla base della stragrande maggioranza delle violazioni di dati.
In un attacco di forza bruta, i criminali informatici ottengono un elenco di password rubate durante una violazione di dati, quindi tentano di utilizzarle per compromettere server ed endpoint, di solito con l’aiuto di bot. Poiché molte persone utilizzano password deboli, comuni e facilmente indovinabili e riutilizzano le password su più account, questi attacchi hanno molto successo.
Gli attacchi di forza bruta possono essere prevenuti imponendo ai dipendenti di utilizzare password forti e uniche per tutti gli account, di utilizzare l’autenticazione a più fattori (MFA) su tutti gli account che la supportano e di utilizzare un Password Manager. Un Password Manager è uno strumento che può aiutare i dipendenti a generare password e proteggerle in una cassaforte password crittografata. Con una soluzione di gestione delle password, non c’è bisogno di preoccuparsi che i dipendenti riutilizzino le password o utilizzino password deboli.
Investire in una soluzione di monitoraggio del dark web
Anche se un utente è diligente nell’utilizzare password forti e uniche, la sua password può essere compromessa. Le vittime di violazione dei dati sono in genere le ultime a sapere che le loro password sono state rubate. Il “tempo di permanenza” mediano, ovvero il periodo che intercorre tra la violazione iniziale e il momento in cui un’azienda la scopre, è di 11 giorni. Non sono rari i tempi di permanenza che superano di molto questa media.
Per questo motivo, i servizi di monitoraggio del dark web come BreachWatch® sono essenziali per prevenire il ransomware. Questi servizi analizzano i forum sul dark web e informano le organizzazioni in tempo reale se una qualsiasi delle password dei dipendenti è stata messa in vendita, consentendo agli amministratori IT di forzare immediatamente il ripristino delle password.
Come Keeper aiuta le organizzazioni a prevenire gli attacchi ransomware
La piattaforma di sicurezza e gestione delle password zero-knowledge di Keeper Security offre alle aziende una visibilità completa sulle pratiche di utilizzo delle password da parte dei dipendenti, consentendo agli amministratori IT di monitorare l’uso delle password in tutta l’organizzazione e di imporre l’uso di password forti e uniche, l’autenticazione a due fattori (2FA), il controllo degli accessi basato sui ruoli (RBAC) e altre politiche di sicurezza. Keeper supporta anche più standard di conformità, tra cui HIPAA, DPA, FINRA, NCUA e GDPR.
Ogni dipendente riceve una cassaforte digitale privata e crittografata a cui può accedere da qualsiasi dispositivo utilizzando una password principale, l’unica che il dipendente dovrà ricordare. Il Password Manager di Keeper genera password forti e uniche per ogni account e compila automaticamente i campi di login su siti web e nelle app. I dipendenti non hanno più motivo di riutilizzare le password o di usarne di deboli e gli amministratori IT hanno la visibilità necessaria per garantire la conformità.
Gli amministratori IT possono personalizzare completamente le autorizzazioni dei dipendenti attraverso controlli di accesso a grana fine in base ai loro ruoli e responsabilità, oltre a impostare cartelle condivise per singoli reparti, team di progetto o altri gruppi.
Per una protezione avanzata, le organizzazioni possono implementare componenti aggiuntivi preziosi come IArchiviazione dei file sicura di Keeper, che consente ai dipendenti di archiviare e condividere in modo sicuro documenti, immagini, video, certificati digitali e chiavi SSH, e BreachWatch, che analizza i forum sul dark web e avvisa gli amministratori IT se le password dei dipendenti sono state compromesse in una violazione dei dati pubblica.
Keeper richiede pochi minuti per essere implementato, richiede una gestione continua minima e può essere scalato per soddisfare le esigenze di organizzazioni di qualsiasi dimensione. Le soluzioni Keeper per la gestione delle password aziendali e commerciali aiutano migliaia di aziende in tutto il mondo a prevenire gli attacchi informatici legati alle password, a migliorare la produttività e a garantire la conformità.
