Ransomware in crescita, come difendersi contro le nuove minacce

Gli eventi che hanno caratterizzato gli ultimi tre anni hanno cambiato in maniera definitiva l’approccio all’IT nelle aziende, sia per i grandi gruppi che per le PMI. Innanzitutto, la pandemia di COVID-19, che ha imposto una rapidissima trasformazione nelle aziende per poter far fronte sia alle mutate esigenze di supporto al lavoro da parte dei dipendenti in smart working sia alla creazione di nuovi canali di vendita online per sopperire, laddove possibile, alla riduzione della domanda nei punti vendita fisici.

La maggior parte di queste evoluzioni sono state realizzate grazie al Cloud, acquisendo servizi IT da società italiane o dai grandi Cloud Service Provider come AWS, Google o Microsoft. Molto spesso però, la rapidità con cui si è passati dal modello tradizionale di servizi insourced, ovvero realizzati presso Data Center o Sale Server attrezzate presso le proprie sedi aziendali, non ha tenuto adeguatamente conto della necessità di analizzare le implicazioni da un punto di vista della sicurezza nel passare al cloud, limitandosi spesso a fare dei semplici lift-and-shift di applicazioni aziendali sul cloud. Il passaggio al cloud di molti servizi e applicazioni ha, infatti, ampliato la superficie d’attacco ai sistemi informativi per una PMI e creato di conseguenza problemi alla sicurezza informatica.

Questi fattori, congiuntamente alla recente escalation geopolitica culminata con la guerra in Ucraina, hanno contribuito ad un incremento degli attacchi informatici, dai data breach ai ransomware, come ampliamente documentato dalle notizie di cronaca che hanno visto soccombere prestigiose Istituzioni e Pubbliche Amministrazioni ad attacchi di varia tipologia e gravità.

Come agisce un Ransomware

Tra gli attacchi informatici di più facile realizzazione da parte di cyber criminali vi sono sicuramente i ransomware. Il ransomware, infatti, è uno degli attacchi che si basa sull’inganno o sulla buona fede di un utente finale, che può essere un dipendente o un forniture dell’azienda. Non vi è quindi, dietro un ransomware, un cyber criminale che studia le applicazioni in cerca di vulnerabilità per poi prendere il controllo dei sistemi e esfiltrare dati più o meno sensibili. Il ransomware viaggia normalmente all’interno di file che possono raggiungere l’azienda in vari modi: scaricati tramite download (volontario o meno) da utenti che navigano su siti non sicuri oppure allegati alle mail mascherati da file di tipologia apparentemente sicura, come zip, pdf o immagini con nomi che evocano fatture, comunicazioni o lettere per ingannare l’utente.
Appena viene eseguito il file sul computer il ransomware esegue due azioni: innanzitutto cerca i documenti all’interno del PC o server su cui è stato eseguito, cifrandone il contenuto con una chiave pubblica nascosta all’interno dell’eseguibile, successivamente utilizza la rete a cui è connesso il computer per cercare condivisioni di rete (ad esempio cartelle Sharepoint, o share di rete NFS) e cifrare anche i documenti in esse contenuti.
Successivamente il ransomware mostra un messaggio sul computer infetto invitando a pagare un riscatto entro un tempo determinato, normalmente in bitcoin entro una settimana, al fine di ottenere la chiave privata e quindi poter decifrare e recuperare i propri dati.

Lo Shared Security Model del mondo Cloud

Nel mondo Cloud la maggior parte delle aziende applica lo Shared Security Model nella gestione della sicurezza informatica. Questo implica che il Cloud provider gestisce la sicurezza informatica unicamente fino al sistema operativo escluso (nel caso di servizi IAAS – Infrastructure as a Service) o fino all’applicazione (nel caso di servizi SAAS – Software as a Service). Per fare un esempio, se acquisiamo un servizio di macchina virtuale Windows 2019 (servizio IAAS), normalmente il Cloud Service Provider garantisce la sicurezza del Data Center, dell’accesso fisico al server su cui sono ospitate le macchine virtuali e la sicurezza dell’Hypervisor che gestire le Virtual Machine. Non è inclusa nel servizio la gestione della sicurezza del sistema operativo (patch e upgrade) della componente applicativa (middleware di mercato e software applicativo) e dei dati che viaggiano all’interno della macchina (come file, e-mail, record di database, ecc.).

Il complemento della sicurezza informatica necessario per coprire quanto non garantito dal Cloud Service Provider può essere gestito attraverso risorse proprie oppure attraverso servizi di outsourcing del Service Provider.

Come una PMI può proteggere i propri dati dai Ransomware

La maggior parte delle PMI, spesso, non dispone di un elevato numero di dipendenti che si occupano dell’IT, e non sempre dispongono delle competenze approfondite in temi di Cybersecurity che sono ad oggi necessarie per garantire la sicurezza dei dati. Un evento di attacco ransomware, infatti, non solo rappresenta un danno per i dati potenzialmente persi da parte dell’azienda, ma anche un danno di immagine verso i clienti ed il mercato.

Tutti i Provider offrono servizi standard di outsourcing, che prevedono l’affidamento dei servizi di gestione della propria infrastruttura IT dal punto di vista sistemistico, applicativo e di sicurezza. I servizi di outsourcing standard, come la parola stessa evidenzia, sono un insieme di risorse, persone e strumenti ingegnerizzati per coprire l’esigenza tipica della PMI.
Il ransomware però ha un meccanismo di funzionamento piuttosto peculiare poiché sfrutta molto i movimenti laterali (infezione tra server e tra PC nella stessa rete) all’interno dell’infrastruttura IT che sono lasciati normalmente trascurati dai metodi standard di sicurezza informatica che tendono a proteggere principalmente il punto di ingresso ai servizi cloud.

Se si vuole passare ad un livello superiore di sicurezza informatica ci si deve affidare ad un approccio strutturato alla sicurezza che privilegi il paradigma dello Zero Trust, ovvero considerare insicuro anche il dialogo tra dispositivi e applicazioni all’interno della propria rete e all’interno dei servizi Cloud. Per studiare e implementare questo tipo di approccio è necessario ricorrere a servizi di outsourcing di tipo taylor made.
Un servizio di outsourcing di tipo taylor made prevede una analisi approfondita ei fattori di rischio presenti all’interno del perimetro IT (Risk Assessment) della PMI attraverso cui il management può valutare: i rischi informatici presenti, il relativo impatto in caso di evento negativo (es. attacco ransomware) e definire congiuntamente le strategie di mitigazione o annullamento del rischio.
Un volta presa coscienza dei rischi di sicurezza e decise le contromisure il servizio di outsourcing taylor made può intervenire puntualmente sulle architetture o sulle singole applicazioni introducendo elementi infrastrutturali come ad esempio firewall, WAF (Web Application Firewall), strumenti di server detection and Response (SDR) e politiche di backup strutturate per i dati oppure consigliare modifiche al workflow dei processi aziendali come ad esempio introdurre autenticazione a due fattori per lo smart working meccanismi di compartimentazione delle share di rete per favorire l’evoluzione verso lo Zero Trust e quindi incrementare la sicurezza aziendale.

Questo tipo di approccio alla sicurezza nell’outsourcing cloud può essere assicurato in solo modalità personalizzata, condividendo le informazioni sui processi, le modalità di lavoro delle persone e i flussi informativi sia interni all’azienda che verso la Supply Chain che spesso può essere veicolo di attacchi trasversali.
Questa approfondita conoscenza, congiuntamente alle competenze di professionisti dell’IT e della sicurezza che possono essere messi a disposizione dal Service Provider nel monitorare le applicazioni e gli eventi di sicurezza, permettono alle aziende di ridurre notevolmente il rischio di attacchi ransomware e di esfiltrazione di dati tramite altri veicoli di attacco.