Attacchi Ransomware nel cloud: come proteggersi?

di Massimiliano Galvagna - Country Manager Italia di Vectra AI

La minaccia è attuale: i cybercriminali hanno dato prova di riuscire a sferrare attacchi ransomware a ogni tipo di organizzazione per estorcere denaro o dati preziosi. Un numero crescente di imprese, in Italia e all’estero, si è trovato nella scomoda posizione di dover decidere se pagare il riscatto o dire addio ai propri dati. E spesso è solo questione di tempo prima che l’attacco si ripeta. Come proteggersi? Per affrontare i ransomware serve un nuovo modo di pensare. 

Questa tipologia di attacchi non può infatti essere scongiurata con le strategie di sicurezza già adottate dalle imprese. È possibile, però, rilevare eventuali movimenti fuori dall’ordinario e permettere al team incaricato della sicurezza di contenere eventi malevoli. I sistemi di detection si rivelano fondamentali per tenere il team aggiornato su ogni movimento o comportamento sospetto che si verifichi all’interno del perimetro aziendale.

I maggiori rischi cloud

Il report Vision and Visibility: Top 10 Threat Detections for Microsoft Azure AD and Office 365 di Vectra AI analizza, differenziandoli per ciascun settore, i maggiori profili di rischio per la cloud security delle imprese e le possibilità di reazione, mediante detection riconducibili al comportamento dell’attaccante, come nel caso del ransomware o degli attacchi alla supply chain. Per proteggere il perimetro, è fondamentale essere in grado di raccogliere i dati giusti e avere un sistema di intelligenza artificiale focalizzato sulle possibili minacce, che consenta di verificare i dettagli degli attacchi e di concentrarsi sulle violazioni più urgenti da bloccare. 

Sanità

Come ha dimostrato l’attacco che ha paralizzato i sistemi informatici della Regione Lazio, mettendo fuori uso il portale che gestisce le prenotazioni dei vaccini anti covid, le minacce dirette alle strutture sanitarie non solo possono mettere a rischio dati rilevanti, ma possono anche interferire con la qualità dei servizi di prevenzione e cura erogati alle persone. È frequente che la rilevazione di attacchi abbia a oggetto Office 365, particolarmente attrattivo per i criminali informatici perché anche con un accesso base senza particolari privilegi si rivela un formidabile canale di ingresso nel sistema.

Manifatturiero

Votato alla massima operatività e rapidità, il settore manifatturiero è l’obiettivo prediletto dei ransomware. L’arresto repentino della produzione induce, infatti, le imprese a trovare nel pagamento del riscatto una soluzione veloce per limitare le perdite e riprendere le attività. Le industrie manifatturiere, inoltre, si stanno spostando velocemente sul cloud per garantirsi rapidità, scalabilità e maggiore connettività, aggiungendo un altro livello di possibile attacco. In questo settore, due terzi degli attacchi analizzati da Vectra sono legati alla condivisione di attività su Office 365. Ogni condivisione sospetta dovrebbe essere analizzata dagli addetti alla sicurezza informatica per verificarne l’autorizzazione ed evitare progressioni negli attacchi.

Servizi Finanziari

Il Finance è uno dei settori più regolamentati, ma il passaggio al cloud sta offrendo nuove prospettive di attacco. In particolare, Office 365 e Azure AD sono gli ambienti su cui i clienti di Vectra hanno riscontrato le maggiori violazioni.

Scuola

La pandemia ha spinto il mondo dell’istruzione a trovare soluzioni nuove per mantenere produttivi studenti e insegnanti. Anche in questo settore si è fatto ampio affidamento sul cloud e la grande quantità di mail e attività condivise ha aumentato la difficoltà nel rilevamento delle minacce.

Che fare?

È ora di iniziare a capire il comportamento dei vostri account. Qualunque sia il settore di appartenenza, è fondamentale sviluppare una visione chiara di quali siano i comportamenti autorizzati e aumentare la visibilità per monitorare e misurare le deviazioni da questo standard. Senza questi due accorgimenti, individuare le minacce diventa una sfida complessa, perché non è possibile distinguere con certezza azioni autorizzate e movimenti messi in atto dagli attaccanti. 

La versione integrale dell’articolo riporta tabelle, box o figure, per visualizzarle apri il pdf allegato.