Nonostante i tanti sforzi fatti per prevenire problemi con i ransomware, gli attacchi continuano a colpire le imprese. In Italia, i ransomware colpiscono in maniera superiore rispetto alla media mondiale, in particolare due comparti trainanti come la PA e il settore della Sanità.
Per comprendere meglio il motivo per cui questi attacchi continuano a proliferare, però, è necessario prima esaminare le più comuni tecniche di protezione contro il ransomware.
Gli strumenti anti-ransomware più utilizzati: protezione perimetrale e soluzioni di backup
Le aziende hanno cercato di difendersi dagli attacchi ransomware principalmente in due modi: utilizzando la protezione perimetrale della rete e mantenendo regolari backup, in modo da poter recuperare dati e utenti colpiti. Purtroppo, come dimostrano i numeri, questi meccanismi di difesa tradizionali non sono sufficienti.
1. Protezione perimetrale. Costruire un buon muro difensivo è un'idea antica quanto la civiltà stessa, quindi era logico che il primo passo nella lotta contro il ransomware e i cyberattacchi fosse la protezione perimetrale della rete.
Ma i perimetri della rete hanno punti deboli che possono essere violati. Lo scopo della protezione perimetrale è quello di bloccare tutte le vie di accesso, ma esistono ancora modi per aggirare queste difese. Questo tipo di soluzione, inoltre, risulta inutile contro le minacce che possono trovarsi già all’interno del sistema, in attesa di essere attivate, visto che si concentra sulle intrusioni esterne.
Gli aggressori, quindi, sondano sempre le difese del sistema alla ricerca di vie d’accesso e per questo motivo non è detto che la protezione perimetrale garantisca l’assenza di infezioni ransomware.
2. Soluzioni di backup. Il backup è l'ultima linea di difesa nelle situazioni in cui ci si trova colpiti da un ransomware. Quando si subisce un attacco, e questo riesce a superare la protezione, con i dati che diventano così inaccessibili, una copia di backup aggiornata può consentire il recupero e il ripristino dei sistemi.
Quindi, gli utenti che dispongono di backup sanno che è sufficiente utilizzarli per ripristinare il sistema e riportarlo allo stato operativo. Sfortunatamente, anche chi pianifica gli attacchi ransomware sa che i backup sono il modo migliore per superare il blocco.
Infatti, c'è un punto debole nell'affidarsi a backup come unica difesa anti-ransomware: i metodi di backup non hanno nessuna consapevolezza di ciò che sta accadendo all’interno del sistema. Senza questa capacità di rilevare attività dannose, qualsiasi strategia di backup è destinata a fallire se il ransomware è già operativo all’interno del sistema.
I più recenti programmi ransomware sanno che è fondamentale bloccare i dati di backup oltre a quelli primari. Il vero attacco, infatti, potrebbe non avere luogo finché i backup non sono stati neutralizzati, assicurandosi così che la vittima non abbia altra scelta che pagare: senza consapevolezza delle azioni in corso nel sistema, i dati di backup sono vulnerabili alle infezioni come tutto il resto.
Impostare la strategia di difesa sulla protezione dei dati
Ma l’obiettivo dei cybercriminali sono i dati. È il possesso dei dati che consente di richiedere riscatti, sia per far ripartire le attività, sial sul fronte reputazionale. Per questo è utile un approccio alla protezione contro il ransomware incentrato sui dati, costruito dall'interno del sistema secondo i principi della fiducia zero.
Ciò significa che gli utenti partono dal presupposto che gli aggressori abbiano già violato la rete e che le priorità assolute sono la protezione dei dati, il rilevamento dell'attività dannosa prima che provochi danni e il ripristino in caso di necessità.
L'approccio zero trust di NetApp
NetApp da decenni offre soluzioni di protezione dei dati. Si tratta proprio di un approccio fiducia zero alla sicurezza, che presuppone che il sistema venga infettato, se non lo è già, assicurando che la sicurezza sia costruita dall'interno, a partire dai dati.
Questi strumenti sono pensati per essere utilizzati per:
- Mappare i dati
- Organizzarli per le migliori pratiche di sicurezza
- Individuare le vulnerabilità
- Rilevare comportamenti insoliti che possono indicare un attacco
- Controllare le autorizzazioni
- Eseguire automaticamente il backup