Ransomware PROTEZIONE DAL - Sicurezza Zero Trust per i dipendenti di oggi - Cisco
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
PROTEZIONE DAL ransomware Sicurezza Zero Trust per i dipendenti di oggi
PROTEZIONE DAL
ransomware
Sicurezza Zero Trust per i dipendenti di oggi
SOMMARIO
IL R ANSOMWARE NON È UN FENOMENO TR ANSITORIO 1
IL PERIMETRO DELL A RETE SI ESPANDE 5
PHISHING , AT TACCHI MIR ATI E VULNER ABILITÀ 6
COME FUNZIONA UN AT TACCO R ANSOMWARE 7
BLOCCARE IL R ANSOMWARE PRIMA CHE COMPROMET TA I SISTEMI 9
CONCLUSIONE 10
BIBLIOGR AFIA 12
© 2021 Cisco Systems Inc e/o i relativi affiliati. Tutti i diritti sono riservati.
Il ransomware non è un
fenomeno transitorio
La strategia di attacco dei ransomware si è evoluta rapidamente. Un
tempo si trattava di attacchi isolati rivolti a singoli computer, mentre oggi
il problema è molto più esteso. Sempre più spesso, gli hacker prendono
di mira obiettivi geopolitici, infrastrutture e sistemi aziendali critici (la I recenti incidenti di cybersecurity,
cosiddetta caccia grossa) e le violazioni, quando avvengono, riescono a
come il caso di SolarWinds,
creare danni senza precedenti. Oggi il ransomware è una delle più grandi
minacce alla cybersecurity, tanto che gli attacchi sono aumentati del 150% Microsoft Exchange e Colonial
nel 2020, in particolare per il repentino affermarsi del lavoro a distanza.
Pipeline, ci ricordano che le
Il ransomware ormai è considerato terrorismo informatico, e il recente minacce informatiche nel
ordine esecutivo del presidente degli Stati Uniti Joe Biden conferma che
settore pubblico e privato negli
per proteggere i sistemi bisogna agire subito. Contro il ransomware,
la sicurezza Zero Trust è l'approccio di riferimento. Il National Institute Stati Uniti sono sempre più
of Standards and Technology (NIST) afferma che "implementare
numerose e sofisticate, con
un'architettura di sicurezza Zero Trust è ormai imprescindibile per la
cybersecurity e una necessità per tutte le aziende." attacchi provenienti sia da gruppi
organizzati finanziati da altri Paesi
Nella scheda informativa della Casa Bianca si legge: "I recenti incidenti di
cybersecurity, come il caso di SolarWinds, Microsoft Exchange e Colonial sia da criminali informatici."
Pipeline, ci ricordano che le minacce informatiche nel settore pubblico
e privato negli Stati Uniti sono sempre più numerose e sofisticate, con Scheda informativa della Casa Bianca
attacchi provenienti sia da gruppi organizzati finanziati da altri Paesi sia da degli Stati Uniti d'America.
criminali informatici."
1
Cos'è il ransomware?
In parole povere, il ransomware colpisce gli utenti utilizzando diverse tattiche, in
prevalenza tramite infezioni malware che in genere prendono le mosse da e-mail di
phishing, furto di password o un attacco brute-force. Un attacco ransomware potrebbe
criptare file o cartelle, impedire di accedere a un disco rigido e manipolare il record
di avvio principale per interrompere il processo di avvio del sistema. Una volta che il
malware è stato installato e si è diffuso nel sistema, gli hacker possono accedere ai dati
sensibili e di backup e criptarli in modo da tenere in ostaggio le informazioni. L'attacco
può essere immediato, ma talvolta gli hacker impiegano mesi a infiltrarsi nel sistema,
senza che nessuno se ne accorga, per capire come funziona l'infrastruttura di rete.
Il sequestro dei dati ha lo scopo di spaventare e creare un senso di allerta nelle
vittime. Le informazioni restano inaccessibili fino a quando non viene pagato un
riscatto (in genere in Bitcoin), e anche dopo aver pagato non sempre le aziende
vedono restituiti tutti i dati. Esistono diverse varianti di ransomware, ma la più diffusa
è il cryptoransomware. Per il polimorfismo che le caratterizza (i malware mutano
costantemente), molte varianti sono difficili da individuare.
Gli attacchi cryptoransomware che bloccano i dati sono sempre più sofisticati. Nel 2006
gli attacchi avvenivano con ransomware a 56 bit e crittografia "artigianale". Oggi, per
bloccare i dati, la versione più recente e avanzata del ransomware usa algoritmi AES
simmetrici e crittografia con chiave pubblica RSA o ECC.
2Il ransomware diventa un
vero e proprio business
Sempre più diffuso, oggi il ransomware è diventato una vera un'infrastruttura integrata. Un'altra tattica di ransomware molto
e propria attività a scopo di lucro gestita da organizzazioni diffusa è la diffamazione, così come il modello della "penale", in
criminali (situate soprattutto in Cina, Russia, Corea del Nord ed cui il prezzo da pagare aumenta col passare del tempo.
Europa dell'est), impegnate nell'individuare e colpire obiettivi
di alto valore a cui chiedere pagamenti in denaro in cambio dei Consapevoli di questi attacchi, le aziende sono impegnate a
dati sottratti. A tale scopo, queste organizzazioni hanno persino rafforzare la postura della sicurezza di computer e reti; per
messo in piedi dei call center per gestire le richieste di riscatto questo gli hacker stanno spostando la propria attenzione sui
e i pagamenti in Bitcoin. In alcuni casi, le vittime lasciano dispositivi mobili. I dispositivi mobili hanno schermi molto più
addirittura recensioni positive sul servizio clienti. piccoli e non consentono di visualizzare tutte le informazioni
a un primo sguardo (come nel caso delle e-mail); per questo,
A volte, per incentivare il pagamento, gli hacker forniscono è più facile che le vittime facciano clic sui link malevoli. Anche
un "report di sicurezza"completo e dettagliato che spiega gli attacchi rivolti ai dispositivi IoT (Internet of Things) stanno
le modalità usate per sottrarre i dati. Per mantenere intatta aumentando: infatti, il ransomware e una sicurezza poco
la propria reputazione ai fini dell'attacco successivo, queste affidabile possono trasformare dispositivi e oggetti in punti
bande criminali farebbero bene a decriptare i file una volta di ingresso per questi strumenti del crimine. Nel 2020, negli
ricevuto il pagamento, ma questo non sempre avviene. Stati Uniti gli attacchi ransomware diretti ai dispositivi IoT sono
Secondo il report di Sophos sullo stato del ransomware nel aumentati del 109%.
2021, solo l'8% delle vittime recupera i propri dati e il 29% ne
vede restituita oltre la metà. Talvolta i dati vengono raccolti e Questi fattori, uniti alla presenza di Paesi che agiscono come
scambiati con altri hacker o conservati per eventuali attacchi porto sicuro per gli hacker, hanno determinato un aumento
futuri. degli attacchi ransomware. Nel 2020, ogni 10 secondi un
attacco ransomware è andato a buon fine e, secondo un
Negli ultimi anni, gli hacker hanno creato il RaaS (Ransomware sondaggio di Anomali Harris Poll, un americano su cinque è
as a Service), una soluzione completamente integrata e vittima di attacchi ransomware. Inoltre, Infosecurity Magazine
pronta all'uso che consente a chiunque di sferrare un attacco rileva che il metodo di attacco più diffuso "è il traffico botnet
ransomware senza alcuna nozione di programmazione. (28%), seguito da cryptomining (21%), furto di informazioni
Proprio come i prodotti SaaS (Software as a Service), il RaaS (16%), malware diretto a dispositivi mobili (15%) e strumenti
fornisce accesso a questo tipo di programmi malevoli in modo bancari (14%)."In risposta a queste minacce, le aziende stanno
abbastanza semplice ed economico, e costa meno rispetto investendo molto nella sicurezza (150 miliardi di dollari nel
a dover programmare un attacco in proprio. Solitamente, i 2021, secondo Gartner).
fornitori di soluzioni RaaS ottengono un margine del 20-30%
dai profitti generati con il pagamento del riscatto. Oggi sono Gli attacchi rivolti a singole persone stanno diminuendo,
disponibili anche modelli di abbonamento e affiliazione che perché gli hacker ora si concentrano in genere su obiettivi
supportano la gestione degli attacchi. Il gruppo di hacker specifici e più remunerativi. I provider di servizi gestiti (MSP)
REvil ha creato un modello di affiliazione tramite il quale una segnalano un aumento dell'85% negli attacchi contro le PMI.
quota dei profitti generati dagli attacchi ransomware riusciti Mai come ora gli attacchi colpiscono grandi imprese, provider
viene condivisa con chi ha contribuito a portarli avanti. Questo di infrastrutture, servizi sanitari, pubbliche amministrazioni e
modello ha causato un aumento esponenziale degli attacchi aziende manifatturiere, con richieste di riscatto per milioni di
ransomware. dollari. Nell'ultimo anno, gli hacker hanno iniziato a sferrare
attacchi ransomware soprattutto contro le aziende più grandi;
Inizialmente attribuito al gruppo criminale Maze, l'attacco con di conseguenza, le dimensioni del problema sono raddoppiate.
doppia estorsione, anche questo molto usato dagli hacker, Anche gli attacchi rivolti a fornitori, collaboratori esterni e
prevede il furto di informazioni e la minaccia di pubblicarle software di terze parti hanno subito un'impennata. Le aziende
sul dark web e/o su Internet se le richieste non vengono hanno dovuto fare affidamento sulla sicurezza di questi
soddisfatte. Secondo il Data Breach Investigation Report 2020 soggetti esterni che hanno accesso ai loro sistemi.
di Verizon, gli hacker gestiscono il dump dei dati utilizzando
3L'ascesa delle Il primo caso noto di ransomware risale
al 1989, quando il dott. Joseph Popp
veniva inviato un pagamento di 189
dollari a una casella postale di Panama.
organizzazioni criminali distribuì in tutto il mondo una serie di I CD esca furono distribuiti durante la
floppy disk che contenevano sondaggi conferenza sull'AIDS dell'Organizzazione
specializzate in sull'AIDS insieme a un malware. I dischi mondiale della sanità. Le procedure
ransomware crittografavano i file nel sistema della di pagamento e spedizione dei CD
vittima, negando l'accesso finché non erano problematiche e costose.
2006
I criminali informatici iniziano a usare una forma di crittografia a chiave pubblica RSA
660 più efficace e più veloce. In questo periodo, i virus più diffusi sono Archiveus
Trojan e GPcode, che sfruttano le e-mail di phising come punto di ingresso.
2008-2009
Compare un nuovo software antivirus che integra al suo interno un malware
ransomware; un finto software di sicurezza usa FileFix Pro per estorcere denaro in
cambio della decrittografia dei dati.
2010
L'arrivo del Bitcoin cambia tutto. Vengono rilevate decine di migliaia di nuove varianti di
ransomware e si registra il primo caso di ransomware che bloccano lo schermo.
2013
Esistono ormai 250.000 campioni di ransomware; Cryptolocker e Bitcoin diventano
presto i metodi di pagamento principali. Il ransomware usa la crittografia RSA a 2048
bit per gestire richieste maggiori, con profitti più elevati per i gruppi organizzati di
criminali informatici.
2015
Compare il trojan ransomware TeslaCrypt; vengono individuate 4 milioni di varianti di
ransomware e viene introdotto il RaaS (Ransomware as a Service).
2016
Si diffondono i ransomware JavaScript e Locky; Locky infetta 90.000 vittime al giorno.
Gli hacker colpiscono soprattutto le organizzazioni più grandi, come ospedali e
istituti accademici. I profitti generati dal ransomware superano il miliardo di dollari. Il
malware Petya causa perdite finanziarie per oltre 10 miliardi di dollari.
2017
Il 2017 è l'anno in cui compare il cryptoworm WannaCry, un virus che si evolve ogni
giorno in diverse varianti e si diffonde rapidamente in 300.000 computer di tutto il
mondo tramite un exploit di Microsoft.
2018
Viene introdotto Katsuya. SamSam blocca diversi servizi comunali nella città di Atlanta.
2019
Entra in gioco REvil, un'organizzazione criminale russa privata. Emerge Ryuk, una variante
di ransomware costosa e sofisticata distribuita tramite allegati malevoli ed e-mail di
phishing; il pagamento in questo caso è più elevato rispetto ad altri attacchi simili, e il virus
riesce a mettere fuori uso i sistemi di tutte le principali testate statunitensi.
2020
Emergono i ransomware DarkSide, Egregor e Sodinokibi. Ryuk passa da un caso al
giorno a 19,9 milioni entro settembre, l'equivalente di otto casi al secondo.
2021
I kit REvil/Sodinokibi, Conti e Lockbit colpiscono duramente il settore sanitario.
CryptoLocker obbliga CNA Financial, un'importante compagnia assicurativa, a
sborsare 40 milioni di dollari; si tratta di uno dei riscatti più elevati mai richiesti.
DarkSide attacca con successo la Colonial Pipeline, la più importante violazione
pubblica di un'infrastruttura critica degli Stati Uniti mai resa nota.
4Il perimetro della rete si
espande
Perché il ransomware è così diffuso? Un tempo, il perimetro era un muro chiuso che gestiva applicazioni e dati centralizzati
tramite i firewall della Virtual Private Network (VPN) e soluzioni per la gestione dei dispositivi mobili (MDM), come una specie di
fossato che circonda il castello della rete. Oggi si lavora ovunque e da qualsiasi dispositivo (inclusi i dispositivi mobili personali), e
l'accesso ai dati avviene tramite applicazioni di terze parti nel cloud. Ormai il fossato non esiste più, e i punti di accesso al castello
sono molteplici. Durante la pandemia, il boom del lavoro a distanza ha trasformato il perimetro tradizionale in un "perimetro
definito dal software". L'emergenza ha imposto di passare al lavoro da remoto da un giorno all'altro, e in molti casi la sicurezza è
stata messa in secondo piano; questo ha offerto agli hacker nuove opportunità di perpetrare attacchi ransomware.
Accesso remoto Vincoli della VPN
Il report di Gartner sulle principali tendenze e i rischi per la Il terzo metodo più usato dagli hacker per sferrare attacchi
sicurezza nel 2021 rileva che il 64% del personale ora dispone ransomware prevede l'uso di exploit nelle VPN. Per sferrare
dei mezzi necessari per lavorare da casa, e che due quinti l'attacco che ha messo in ginocchio la Colonial Pipeline,
dei dipendenti hanno effettivamente scelto questa modalità. ad esempio, gli hacker hanno sfruttato una password
Le restrizioni imposte durante l'emergenza sanitaria hanno compromessa di una VPN inutilizzata. Mentre le VPN possono
costretto la maggior parte di noi a lavorare a distanza il 100% limitare l'accesso alle applicazioni on-premise, le incongruenze
del tempo; era quindi necessario poter lavorare dai propri fra le modalità di accesso alle applicazioni cloud contribuiscono
dispositivi e accedere alle applicazioni SaaS nel cloud e a creare vulnerabilità. La compromissione delle VPN consente
on-premise. Molte aziende non avevano l'infrastruttura per l'accesso alla rete tramite backdoor, dove gli hacker possono
supportare questo cambiamento. Oggi, l'accesso remoto è installare malware sui sistemi interni.
la nuova realtà del lavoro. Si prevede che in futuro il modello
ibrido sarà prevalente, con parte del personale che lavora a Secondo una ricerca di Google, un approccio
distanza e parte in ufficio, e le aziende si stanno organizzando alla sicurezza Zero Trust multilivello con VPN,
per rendere possibile questa nuova formula. firewall e MFA previene il 100% degli attacchi
basati su bot automatizzati, il 99% degli attacchi
Peter Firstbrook, VP Analyst di Gartner, ha scritto in un blog
di phishing di massa e il 90% degli attacchi mirati.
che: "Per garantire la sicurezza nella nuova normalità, tutte
le aziende avranno bisogno di una postura difensiva sempre
connessa, ma anche di sapere esattamente quali sono i rischi Endpoint senza protezione
legati alla presenza dei dipendenti remoti."
Con l'aumento dei dispositivi connessi alle reti aziendali,
Se le aziende non rafforzano la propria postura della sicurezza aumenta anche il numero di dispositivi personali e dispositivi
o non sensibilizzano i dipendenti sull'argomento in vista di shadow che potrebbero non essere monitorati o aggiornati;
questo cambiamento, gli hacker avranno gioco facile. Gartner il rischio che potenziali violazioni degli endpoint principali
rileva che il 57% delle violazioni è causata dalla negligenza di passino inosservate non è da sottovalutare. Gli hacker sono
dipendenti o terze parti. Secondo ZDNet, il primo veicolo usato sempre in cerca di nuovi modi per violare una rete; per questo
dagli hacker per ottenere l'accesso ai computer Windows motivo, la presenza di endpoint non protetti unita alla mancanza
e installare ransomware e altro malware è il protocollo RDP di informazioni su chi e che cosa si connette alla rete o sullo
(Remote Desktop Protocol), seguito dalle e-mail di phishing e stato del dispositivo facilitano le intrusioni.
dagli exploit dei bug della VPN.
5Phishing, attacchi mirati
e vulnerabilità
Quali tecniche usano gli hacker per sferrare attacchi ransomware? Si tratta di un processo a
più fasi che può essere relativamente breve, oppure richiedere mesi per accedere e criptare i
dati più importanti, la cui perdita causa i danni maggiori. CSOonline.com rileva che il 94% del
malware viene distribuito tramite e-mail, e gli attacchi di phishing rappresentano oltre l'80%
degli incidenti di sicurezza. Anche gli aggiornamenti effettuati senza applicare le patch e le
vulnerabilità zero day sono possibili punti di ingresso. Quasi tutti questi attacchi iniziano dal furto
di credenziali.
Tecniche di ransomware
Sparare nel mucchio, o Attacchi brute-force
phishing ad ampio spettro In un sondaggio di LastPass, il 91% dei rispondenti ha dichiarato
di riutilizzare più volte le stesse password. Gli hacker lo sanno
Gli hacker ottengono gli elenchi di indirizzi e-mail sul mercato
bene, e se le procurano tramite i dump delle credenziali o sul
nero, quindi analizzano le credenziali e distribuiscono e-mail
dark web. Quindi, usano strumenti automatici per testarle
di phishing. Per riuscire in un attacco basta sottrarre poche
in diversi siti; questo tipo di attacco è chiamato credential
credenziali, spesso tramite allegati malevoli alle e-mail, siti web
stuffing o brute-force. Una volta dentro il sistema, l'hacker può
fraudolenti che sembrano legittimi o usare una falsa identità per
attaccare.
colpire dipendenti di alto profilo.
Sfruttare le vulnerabilità note
Spear phishing
Per mantenere un profilo di sicurezza elevato, oltre a
Si tratta di un attacco coordinato e mirato a uno specifico
sapere quali dispositivi si connettono alla rete è importante
gruppo di utenti, nel quale vengono inviati messaggi
conoscere anche lo stato di salute del dispositivo e lo stato
personalizzati creati con tattiche di social engineering per
di aggiornamenti e patch. Security Boulevard ha dichiarato: "I
suscitare curiosità, paura o simulare l'offerta di un premio da
componenti open source obsoleti e inutilizzati sono ovunque.
parte di una fonte apparentemente attendibile. Le e-mail e i
E il 91% dei codebase conteneva componenti vecchi di oltre
siti web contengono malware usato per rubare le credenziali.
quattro anni oppure che non erano stati sviluppati negli ultimi
Il malware può essere diffuso anche tramite i social media e le
due anni."
applicazioni di messaggistica istantanea.
6Come funziona un attacco ransomware Criptare il ransomware Un attacco coordinato Spostamento verticale In genere gli attacchi ransomware A questo punto, gli hacker si informano Nella fase di infiltrazione e infezione, criptano i dati sui sistemi target, bene sulle aziende che intendono per spostamento verticale si intende il rendendoli inaccessibili fino al colpire con il ransomware. Ad esempio, passaggio degli hacker da una posizione pagamento di un riscatto. La tattica acquistano elenchi di indirizzi e-mail sul esterna a una interna. Una volta dentro, più recente è la crittografia doppia, in dark web, identificano i leader aziendali, i criminali possono analizzare i file ed cui un sistema viene criptato due volte si informano sui risultati finanziari eseguire codice malevolo su endpoint e dallo stesso hacker oppure da due dell'azienda, ricercano i profili sui dispositivi di rete. Il malware si diffonde bande criminali diverse che colpiscono social media e compilano un elenco di nel sistema infettato, disattivando i la stessa vittima. In questo modo, gli stakeholder chiave, come collaboratori firewall e il software antivirus. In questa hacker riescono a ottenere il pagamento esterni, fornitori e partner. Quali tattiche fase gli hacker hanno già acquisito i dati, di due somme di denaro: una volta usano gli hacker per accedere ai ma non li hanno ancora criptati. I punti di ricevuto il pagamento per il primo sistemi? Nel 2020 i tre principali vettori ingresso più comuni per gli spostamenti livello di crittografia, sorprendono le di attacco sono stati gli endpoint RDP verticali sono gli account sottratti con vittime con un altro livello e richiedono poco protetti, le e-mail di phising e gli e-mail di phishing, i server web di basso un secondo riscatto in cambio della exploit delle vulnerabilità zero-day della livello e gli endpoint non protetti. decrittografia. Il metodo di crittografia VPN. Il furto di credenziali è il metodo più comune è la crittografia asimmetrica di accesso principale dei criminali o simmetrica. informatici. 7
Ingresso laterale Esfiltrare i dati Pagamento e sblocco
dei dati
Gli spostamenti laterali hanno permesso Una volta completata la valutazione
alle minacce avanzate persistenti (APT) dell'inventario, i dati vengono criptati. A questo punto, gli hacker attivano il
di cogliere nel segno più facilmente. L'hacker elimina i backup di sistema, malware, bloccano i dati e annunciano
Per prendere il controllo, i criminali danneggia i file e le cartelle locali, la compromissione presentando le
devono criptare i computer e diffondere connette le unità di rete non mappate ai loro richieste di riscatto con istruzioni
il ransomware in quanti più sistemi sistemi infetti e comunica con il centro specifiche su come effettuare il
possibile. Una volta ottenuto l'accesso, di comando e controllo per generare le pagamento, in genere in Bitcoin. Un
la caccia informatica ha inizio. Gli hacker
chiavi di crittografia usate nel sistema attacco ransomware crea interruzioni
cominciano a spostarsi lateralmente nella
locale. I dati di rete vengono copiati dell'operatività molto costose e difficili
rete rimanendo nell'ombra per settimane
localmente, criptati e quindi caricati da risolvere. Gli hacker minacciano
o mesi, in modo da identificare obiettivi
in sostituzione dei dati originali. È le vittime, e da qui parte il conto alla
chiave come il centro di comando e
possibile usare i dati esfiltrati per una rovescia. Le aziende devono decidere
controllo (C2), le chiavi asimmetriche
doppia estorsione. In questo caso, se incassare il colpo e pagare, tentare
e i file di backup. Al tempo stesso,
viene richiesto un primo riscatto per di ripristinare i file in autonomia
infettano ulteriori sistemi e account
decriptare i dati e quindi un secondo oppure usare l'assicurazione sulla
utente al fine di ottenere privilegi di
riscatto per non diffonderli. cybersecurity, che rimborsa solo una
accesso e autorizzazioni di livello
più elevato e stabilire una presenza parte del riscatto. Nessuna di queste
malevola e costante per sottrarre i dati. opzioni è auspicabile: per evitare di
Uno spostamento laterale può avvenire trovarsi in una situazione del genere,
ad esempio con l'exploit dei servizi quindi, è fondamentale implementare
remoti, lo spear phishing interno e l'uso un'architettura Zero Trust e adottare
di password rubate, noto anche come best practice di sicurezza solide.
attacco "pass the hash".
Settori vulnerabili
I settori più colpiti dagli attacchi ransomware sono la sanità, gli enti locali e le pubbliche
amministrazioni, il commercio al dettaglio, l'istruzione e la finanza. In genere, le aziende
in questi settori usano soluzioni obsolete e non dispongono di un'infrastruttura di
sicurezza del cloud solida. Nelle aziende sanitarie, negli istituti di istruzione e negli uffici
delle PA, spesso la postura della sicurezza e la tecnologia non sono aggiornate, il che
trasforma questi settori in obiettivi facili e remunerativi.
8Bloccare il
ransomware prima
che comprometta i
sistemi
Per perpetrare un attacco ransomware, gli hacker Duo protegge
devono innanzitutto ottenere l'accesso ai sistemi. dal ransomware:
Possono riuscirci tramite il furto di credenziali, scopriamo come
come è avvenuto nel caso della violazione alla
Secondo Gartner, è possibile prevenire
Colonial Pipeline. il 90% degli attacchi ransomware. Duo è
l'unica soluzione che aiuta le aziende su
L'autenticazione a più fattori (MFA) di Duo aiuta a bloccare sin da subito l'accesso tre fronti:
del ransomware. L'accesso con MFA impone all'utente di usare una combinazione
di due o più credenziali per verificare la propria identità. Ad esempio, prima di 1. Impedisce al ransomware di ottenere
autorizzare l'accesso alle risorse, oltre a nome utente e password Duo MFA l'accesso all'ambiente fin dal primo
richiede anche la conferma da un dispositivo attendibile oppure con un token tentativo
software o hardware. Grazie a questo requisito aggiuntivo, con la MFA è molto più
difficile che il ransomware riesca ad accedere al sistema. 2. P
reviene o rallenta la propagazione
del ransomware che riesce a
Per ottenere l'accesso alla rete, spesso il ransomware usa anche i servizi remoti, introdursi nel sistema aziendale
come RDP e VPN. Si presume che DarkSide, il gruppo hacker sospettato di
essere l'autore dell'attacco alla Colonial Pipeline, abbia usato l'accesso alla VPN 3. Protegge le risorse e le aree
aziendale per penetrare nell'ambiente della vittima. Cisco va oltre l'autenticazione aziendali critiche mentre l'hacker
a più fattori e offre una soluzione completa per l'accesso sicuro che include Duo è ancora presente nell'ambiente e
MFA, Duo Device Trust, Duo Network Gateway (DNG) e Duo Trust Monitor, per fino a quando la minaccia non viene
proteggere l'accesso remoto all'infrastruttura on-premise e bloccare l'accesso completamente debellata
del ransomware ai sistemi fin dal primo momento.
9Con Duo MFA, non bastano nome utente e password per
l'autenticazione. DNG consente agli utenti di accedere a siti
Correzione sicura
web on-premise, applicazioni web, server SSH e RDP senza
Anche dopo aver ripristinato e riconnesso alla rete i sistemi che
dover immettere le credenziali della VPN. Duo Device Trust
hanno subito un attacco ransomware, è possibile che l'hacker
si assicura che solo i computer attendibili e non i dispositivi
si trovi ancora nell'ambiente. Infatti, i criminali potrebbero
degli hacker accedano alle risorse da remoto. Infine, Duo Trust
tentare di stabilire una presenza permanente in modo da
Monitor verifica le richieste di autenticazione che sembrano
attaccare di nuovo in un secondo momento. Una tecnica
sospette, ad esempio quelle provenienti da Paesi noti per una
comune consiste nel compromettere account esistenti o nel
presenza attiva delle organizzazioni di cybercriminali o nei quali
crearne di nuovi, spesso accedendo ad Active Directory o ad
non operano dipendenti dell'azienda.
altre directory che contengono gli account degli utenti. Con
Duo MFA, anche se gli hacker sono ancora all'interno della rete,
Il malware è un'altra tattica molto usata dagli hacker per
non possono muoversi tanto facilmente tramite spostamenti
diffondere infezioni ransomware. Cisco offre soluzioni
laterali e credenziali compromesse. L'autenticazione a più
complementari integrative, quali Cisco Secure Endpoint e
fattori consente inoltre di guadagnare tempo e di impedire
il gateway e-mail, che ispezionano, rilevano e bloccano il
che l'hacker faccia altri danni fino a quando l'attacco non è
ransomware basato su malware prima che infetti gli endpoint.
completamente risolto, rimuovendo ogni traccia della sua
presenza nei sistemi.
Contrastare la propagazione
Un attacco ransomware che colpisce solo pochi sistemi ha un
Implementare un modello di
impatto limitato, ed è quindi difficile che blocchi seriamente le
attività aziendali e induca la vittima a pagare un riscatto. Per
sicurezza Zero Trust
questo motivo, la propagazione del ransomware è essenziale
Il modello di sicurezza Zero Trust, incentrato sul principio del
per riuscire a mettere in ginocchio una parte significativa dei
"fidarsi mai, verificare sempre", aiuta le aziende a implementare
sistemi e convincere l'azienda a pagare rapidamente il riscatto
in maniera proattiva le best practice note per difendersi dagli
così da riprendere la normale operatività. Nel 2017, WannaCry
attacchi informatici, incluso il ransomware.
e NotPetya hanno usato l'exploit External Blue per sfruttare
una vulnerabilità di Microsoft e diffondere il ransomware senza
Questo modello è talmente importante che la Casa Bianca ha
alcun intervento da parte dell'utente.
emesso uno specifico ordine esecutivo per imporre l'obbligo
della sicurezza Zero Trust e della MFA.
L'applicazione Duo Device Health mantiene i dispositivi
aggiornati e applica le patch, rendendo più difficile la diffusione
Duo MFA è facile da usare e implementare. Consente di limitare
automatica del ransomware. Inoltre, fornisce visibilità
l'accesso ai soli utenti e dispositivi di cui è possibile verificare
verificando a ogni tentativo di accesso lo stato di salute del
l'attendibilità. La possibilità di controllare e gestire l'accesso è
dispositivo, incluso lo stato degli aggiornamenti. In più, Duo
uno dei pilastri fondamentali della sicurezza Zero Trust, e Duo
include la funzionalità di ripristino automatico, che permette
MFA rappresenta uno dei primi passi verso l'implementazione
agli utenti di tenere aggiornate le patch sui propri dispositivi
di questo modello.
senza il supporto dell'IT.
Conclusioni
Il ransomware è sempre più diffuso e le aziende non possono permettersi di abbassare la guardia.
Le tattiche di social engineering e gli attacchi di spear phishing sono efficaci perché sfruttano il
fattore umano della sicurezza aziendale. Per contrastare con successo gli attacchi ransomware,
è importante adottare e implementare un approccio alla sicurezza Zero Trust a partire dalla MFA e
da una piattaforma di accesso sicuro.
10Duo offre una protezione
che va oltre la MFA
Per difendersi dal ransomware progettato tramite tecniche di social engineering e phishing mirato,
è possibile implementare policy di accesso condizionali che sfruttano fattori contestuali, quali la
posizione e la postura del dispositivo, per verificare l'attendibilità di utenti e dispositivi.
Duo è una piattaforma di sicurezza basata su cloud che
protegge l'accesso a tutte le applicazioni, ovunque, per qualsiasi
utente e da qualsiasi dispositivo. Per semplificare l'accesso
sicuro e gestire i rischi associati a identità e dispositivi, la
soluzione include sei funzionalità chiave:
Metodi di autenticazione a più fattori sicuri e flessibili per l'attendibilità dei dispositivi gestiti e non gestiti prima di
1. verificare l'identità degli utenti. 4. concedere l'accesso alle applicazioni.
2. Duo Single Sign-On per offrire un'esperienza utente
coerente e l'accesso centralizzato alle applicazioni on-
5. Policy di accesso granulari per restringere l'accesso agli
utenti e ai dispositivi che soddisfano i livelli di tolleranza
premise e nel cloud. al rischio dell'azienda.
3. Visibilità su ogni dispositivo e inventario dettagliato di
tutti i dispositivi che accedono alle applicazioni aziendali.
6. Duo Trust Monitor per monitorare e rilevare
comportamenti di accesso rischiosi oppure
esportazione dei log nel SIEM per correggere gli eventi
Controlli della postura e dell'integrità per verificare sospetti, ad esempio la registrazione di un nuovo
dispositivo per l'autenticazione o l'accesso da una
posizione inaspettata.
Perché scegliere Cisco Duo?
Velocità e sicurezza Integrazione con tutte le applicazioni
Duo fornisce i componenti fondamentali dell'architettura Zero Il nostro prodotto è indipendente dall'infrastruttura e
Trust in un'unica soluzione veloce e facile da implementare. A funziona con i sistemi obsoleti. Duo protegge l'accesso a
seconda dello scenario d'uso specifico, alcuni clienti riescono a tutte le applicazioni di lavoro per tutti gli utenti, ovunque e a
essere pienamente operativi in pochi minuti. prescindere dal fornitore di soluzioni IT e di sicurezza prescelto.
Facilità d'uso TCO inferiore
Gli utenti possono registrarsi in autonomia semplicemente Duo è facile da implementare e non richiede la sostituzione
scaricando un'applicazione dall'app store ed effettuando dei sistemi; pertanto, tempi e costi di gestione si riducono
l'accesso. La manutenzione e i controlli delle policy semplificati e l'azienda può iniziare rapidamente il proprio percorso di
consentono di monitorare l'infrastruttura e ottenere una adozione di un modello di sicurezza Zero Trust.
visibilità dettagliata.
11Bibliografia
The Pandemic-hit World Witnessed a 150% Growth of Ransomware, https://cisomag.eccouncil.org/growth-
of-ransomware-2020/, CISO Magazine, 5 marzo 2021
Exclusive: U.S. to give ransomware hacks similar priority as terrorism, https://www.reuters.com/technology/
exclusive-us-give-ransomware-hacks-similar-priority-terrorism-official-says-2021-06-03/, Reuters, 3
giugno 2021
NIST Announces Tech Collaborators on NCCoE Zero Trust Project, https://www.hstoday.us/industry/
emerging-innovation/nist-announces-tech-collaborators-on-nccoe-zero-trust-project/, Homeland Security
Today, 24 settembre 2021
FACT SHEET: Ongoing Public U.S. Efforts to Counter Ransomware, https://www.whitehouse.gov/briefing-
room/statements-releases/2021/10/13/fact-sheet-ongoing-public-u-s-efforts-to-counter-ransomware,
The White House, 13 ottobre 2021
Types of Encryption: Symmetric or Asymmetric? RSA o AES?, https://preyproject.com/blog/en/types-of-
encryption-symmetric-or-asymmetric-rsa-or-aes/, Prey Project, 15 giugno 2021
What We Know About DarkSide, the Russian Hacker Group That Just Wreaked Havoc on the East Coast,
https://www.heritage.org/cybersecurity/commentary/what-we-know-about-darkside-the-russian-hacker-
group-just-wreaked-havoc, The Heritage Foundation, 20 maggio 2021
What We Can Learn From Ransomware Actor “Security Reports,” https://www.coveware.com/
blog/2021/6/24/what-we-can-learn-from-ransomware-actor-security-reports, Coveware, 24 giugno 2021
The State of Ransomware 2021, https://secure2.sophos.com/en-us/content/state-of-ransomware.aspx,
Sophos, 2021
Data Mining Process: The Difference Between Data Mining & Data Harvesting, https://www.import.io/post/
the-difference-between-data-mining-data-harvesting, Import.io, 23 aprile 2019
Ransomware: Enemy at The Gate, https://ussignal.com/blog/ransomware-enemy-at-the-gate, US Signal, 3
settembre 2021
2020 Data Breach Investigations Report, https://enterprise.verizon.com/content/verizonenterprise/us/en/
index/resources/reports/2020-data-breach-investigations-report.pdf, Verizon, 2020
Malware is down, but IoT and ransomware attacks are up, https://www.techrepublic.com/article/malware-
is-down-but-iot-and-ransomware-attacks-are-up/, Tech Republic, 23 giugno 2020
One Ransomware Victim Every 10 Seconds in 2020, https://www.infosecurity-magazine.com/news/one-
ransomware-victim-every-10/, Infosecurity Magazine, 25 febbraio 2021
Terrifying Statistics: 1 in 5 Americans Victim of Ransomware, https://sensorstechforum.com/1-5-americans-
victim-ransomware/, Sensors Tech Forum, 19 agosto 2019
12Gartner Forecasts Worldwide Security and Risk Management Spending to Exceed $150 Billion in 2021, https://www.gartner.com/en/newsroom/press-releases/2021-05-17-gartner-forecasts-worldwide- security-and-risk-managem, Gartner, 17 maggio 2021 1 in 5 SMBs have fallen victim to a ransomware attack, https://www.helpnetsecurity.com/2019/10/17/smbs- ransomware-attack/, Help Net Security, 17 ottobre 2019 Ransomware – how to stop this growing, major cause of downtime, https://polyverse.com/blog/ ransomware-how-to-stop-this-growing-major-cause-of-downtime, Polyverse.com The strange history of ransomware, https://theworld.org/stories/2017-05-17/strange-history-ransomware, PRI The World, 17 maggio 2017 Ransomware Timeline, https://www.tcdi.com/ransomware-timeline, tcdi.com, 27 dicembre 2017 A History of Ransomware Attacks: The Biggest and Worst Ransomware Attacks of All Time, https:// digitalguardian.com/blog/history-ransomware-attacks-biggest-and-worst-ransomware-attacks-all-time, Digital Guardian, 2 dicembre 2020 One of the biggest US insurance companies reportedly paid hackers $40 million ransom after a cyberattack, https://www.businessinsider.com/cna-financial-hackers-40-million-ransom-cyberattack-2021-5, Business Insider, 22 maggio 2021 Atlanta Spent $2.6M to Recover From a $52,000 Ransomware Scare, https://www.wired.com/story/atlanta- spent-26m-recover-from-ransomware-scare, Wired.com, 23 aprile 2018 Cyber-attack: US and UK blame North Korea for WannaCry, https://www.bbc.com/news/world-us- canada-42407488, BBC.com, 19 settembre 2017 Ransomware: Now a Billion Dollar a Year Crime and Growing, https://www.nbcnews.com/tech/security/ ransomware-now-billion-dollar-year-crime-growing-n704646, NBCNews.com, 9 gennaio 2017 The Untold Story of NotPetya, the Most Devastating Cyber Attack in History, https://www.wired.com/story/ notpetya-cyberattack-ukraine-russia-code-crashed-the-world, Wired.com, 22 agosto 2018 Ransomware in Healthcare Facilities: The Future is Now, https://mds.marshall.edu/cgi/viewcontent. cgi?article=1185&context=mgmt_faculty, Marshall University Digital Scholar, autunno 2017 New ransomware holds Windows files hostage, demands $50, https://www.networkworld.com/ article/2265963/new-ransomware-holds-windows-files-hostage--demands--50.html, NetworkWorld. com, 26 marzo 2009 Preventing Digital Extortion, https://subscription.packtpub.com/book/networking_and_ servers/9781787120365/4/ch04lvl1sec24/the-advancement-of-locker-ransomware-winlock, PackIt, maggio 2017 13
The Irreversible Effects of Ransomware Attack, https://www.crowdstrike.com/blog/irreversible-effects-
ransomware-attack, CrowdStrike, 20 luglio 2016
New Era of Remote Working Calls for Modern Security Mindset, Finds Thales Global Survey of IT Leaders, https://
www.businesswire.com/news/home/20210914005014/en/New-Era-of-Remote-Working-Calls-for-Modern-
Security-Mindset-Finds-Thales-Global-Survey-of-IT-Leaders, Business Wire, 14 settembre 2021
FBI sees spike in cyber crime reports during coronavirus pandemic, https://thehill.com/policy/
cybersecurity/493198-fbi-sees-spike-in-cyber-crime-reports-during-coronavirus-pandemic, The Hill, 16 aprile
2020
Symantec Security Summary, settembre 2021, https://symantec-enterprise-blogs.security.com/blogs/feature-
stories/symantec-security-summary-september-2021, Symantec Security, 27 settembre 2021
INTERPOL report shows alarming rate of cyberattacks during COVID-19, https://www.interpol.int/en/News-and-
Events/News/2020/INTERPOL-report-shows-alarming-rate-of-cyberattacks-during-COVID-19, Interpol, 4
agosto 2020
Gartner Top Security and Risk Trends for 2021, https://www.gartner.com/smarterwithgartner/gartner-top-
security-and-risk-trends-for-2021, Gartner, 5 aprile 2021
Gartner Survey Reveals 82% of Company Leaders Plan to Allow Employees to Work Remotely Some of the Time,
https://www.gartner.com/en/newsroom/press-releases/2020-07-14-gartner-survey-reveals-82-percent-of-
company-leaders-plan-to-allow-employees-to-work-remotely-some-of-the-time, Gartner, 14 luglio 2020
Gartner Highlights Identity-First Security as a Top Security Trend for 2021, https://www.attivonetworks.com/
blogs/gartner-identity-first-security-in-2021, Attivo, 27 aprile 2021
2021 SonicWall Cyber threat Report, https://www.sonicwall.com/medialibrary/en/white-paper/2021-cyber-
threat-report.pdf, SonicWall, 2021
Top exploits used by ransomware gangs are VPN bugs, but RDP still reigns supreme, https://www.zdnet.com/
article/top-exploits-used-by-ransomware-gangs-are-vpn-bugs-but-rdp-still-reigns-supreme, ZDNet.com, 23
agosto 2020
VPN exploitation rose in 2020, organizations slow to patch critical flaws, https://www.cybersecuritydive.com/
news/trustwave-network-security-remote-access/602044/, Cybersecurity Dive, 18 giugno 2021
New research: How effective is basic account hygiene at preventing hijacking, https://security.googleblog.
com/2019/05/new-research-how-effective-is-basic.html, blog di Google, 17 maggio 2019
Top cybersecurity statistics, trends, and facts, https://www.csoonline.com/article/3634869/top-cybersecurity-
statistics-trends-and-facts.html, CSOonline.com, 7 ottobre 2021
Protecting Companies From Cyberattacks, https://www.inc.com/knowbe4/protecting-companies-from-
cyberattacks.html, Inc.com, 20 settembre 2021
14ThreatList: People Know Reusing Passwords Is Dumb, But Still Do It, https://threatpost.com/threatlist- people-know-reusing-passwords-is-dumb-but-still-do-it/155996/, Threatpost, 25 maggio 2020 Synopsys Study Shows 91% of Commercial Applications Contain Outdated or Abandoned Open Source Components, https://www.securitymagazine.com/articles/92368-synopsys-study-shows-91-of- commercial-applications-contain-outdated-or-abandoned-open-source-components, Security Magazine, 12 maggio 2020 Ransomware’s Dangerous New Trick Is Double-Encrypting Your Data, https://www.wired.com/story/ ransomware-double-encryption/, Wired.com, 17 maggio 2021 Combating Lateral Movement and the Rise of Ransomware, https://www.msspalert.com/cybersecurity- guests/combating-lateral-movement-and-the-rise-of-ransomware, MSSP Alert, 24 giugno 2021 Lateral Movement, https://attack.mitre.org/tactics/TA0008/, MITRE| ATT&CK, 17 ottobre 2019 Industries Impacted by Ransomware, https://airgap.io/blog/industries-impacted-by-ransomware, AirGap. com Defend Against and Respond to Ransomware Attacks, https://www.gartner.com/en/documents/3978727/ defend-against-and-respond-to-ransomware-attacks, ricerca Gartner, 26 dicembre 2019 Executive Order on Improving the Nation’s Cybersecurity, https://www.whitehouse.gov/briefing-room/ presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/, The White House. 12 maggio 2021
Puoi anche leggere
