La protezione contro il ransomware è ormai diventata una parte fondamentale della strategia di cybersecurity di ogni azienda. Ad esempio, Cybint ha descritto il 2023 come “l’anno di maggior successo per i gruppi di ransomware nella storia”, con una ricerca che ha rilevato un aumento del 55% del numero di vittime.
I costi di un incidente ransomware possono essere essenzialmente suddivisi in tre aree chiave: operativa, finanziaria e di reputazione.

Dal punto di vista operativo, se le aziende sono vittime di un attacco ransomware non sono in grado di servire i clienti, con conseguente perdita di affari e insoddisfazione di clienti e dipendenti.

Oltre alla riduzione dei ricavi, altri costi finanziari possono includere il ripristino e la mitigazione del disastro, le spese di indagine, le multe normative, il risarcimento dei clienti e i pagamenti diretti per il ransomware, solo per citarne alcuni. Questi costi si sommano rapidamente: il costo medio di un attacco ransomware raggiunge oggi i 4,5 milioni di dollari.

Infine, ci sono gli aspetti legati alla reputazione da considerare. Questo può essere particolarmente dannoso se gli hacker pubblicano o vendono online i dati personali o finanziari dei clienti. Ciò significa che i clienti perderanno la fiducia che un’azienda sia un partner affidabile e un custode delle loro informazioni private, rendendo più probabile che si rivolgano altrove. L’impatto di questa situazione può essere grave e duraturo, mettendo potenzialmente a rischio la redditività futura dell’organizzazione.

4 buone pratiche per prevenire un attacco ransomware

Sebbene esistano diverse strategie di mitigazione a cui le aziende possono ricorrere nel caso in cui siano vittime di un ransomware, il modo migliore per proteggersi è evitare l’infezione in primo luogo. Ciò richiede una forte attenzione alla sicurezza dei dati in tutta l’organizzazione e una serie di tecniche preventive. Ecco alcune delle più importanti best practice contro il ransomware di cui nessuna azienda dovrebbe fare a meno.

Proteggere oltre il perimetro

Sebbene sia essenziale bloccare gli attacchi ai margini della rete prima che abbiano la possibilità di infiltrarsi, tecniche come firewall avanzati, antimalware e sicurezza della posta elettronica da sole non sono sufficienti. Il maggior uso di tecniche come il malware fileless può facilmente aggirare queste difese e, se non controllato, può avere libero sfogo all’interno della rete. Per questo motivo, gli strumenti di monitoraggio in grado di tenere d’occhio il traffico dati sospetto e altre attività all’interno dei sistemi sono indispensabili.

Formare e testare i dipendenti

L’errore umano rimane la prima causa di infezione da malware, ed è almeno in parte responsabile dell’88% delle violazioni dei dati. Pertanto, è fondamentale che tutti i dipendenti siano istruiti su quali bandiere rosse cercare e su come avvisare i team di sicurezza di attività sospette. Inoltre, non basta dare lezioni ai singoli sulle loro responsabilità. Le aziende devono assicurarsi che i messaggi vengano recepiti, quindi è molto importante sottoporre i dipendenti a frequenti test, ad esempio con false e-mail di phishing.

Mantenere i sistemi aggiornati

Il software non aggiornato è un’altra delle principali cause di perdita di dati: le violazioni causate da sistemi non aggiornati costano alle aziende il 54% in più rispetto agli incidenti legati alle azioni degli utenti. Per evitare questo problema, è bene avere un programma di patch chiaro per ogni sistema all’interno della rete. Questo può essere un lavoro noioso, ma gli strumenti giusti possono aiutare a identificare e ad avvisare i team di sicurezza di potenziali problemi e a tenerli sotto controllo.

Proteggere ogni endpoint

Se gli hacker sono riusciti ad accedere ai sistemi, non saranno comunque in grado di effettuare un attacco ransomware di successo a meno che non riescano a esfiltrare i dati dalla rete. Per questo motivo, è essenziale disporre di strumenti che proteggano ogni endpoint del sistema da questa attività, dai PC desktop e dai server agli smartphone di proprietà dei dipendenti. Un software dedicato e leggero contro l’esfiltrazione dei dati (ADX) permette di farlo utilizzando l’apprendimento automatico per monitorare ogni pacchetto di dati in uscita dalla rete, con la possibilità di intervenire automaticamente e bloccare qualsiasi attività sospetta. L’importanza di una strategia completa di backup e disaster recovery dei dati

Anche le soluzioni più efficaci non possono garantire una protezione al 100%. Può bastare un errore di un singolo utente o un hacker che sfrutta una vulnerabilità sconosciuta per compromettere una rete. Se da un lato le soluzioni ADX possono essere estremamente utili per prevenire il furto di dati, dall’altro potrebbero esserci ancora opportunità per tattiche di ransomware più tradizionali, come la crittografia dei dati, a meno che le aziende non dispongano di difese adeguate. È qui che entrano in gioco i backup completi e gli strumenti di recupero dei dati per aiutare il recupero dei ransomware.

Cosa succede se le organizzazioni non eseguono il backup dei dati?

Se i file critici sono stati resi inaccessibili, attraverso la cancellazione o la crittografia, e le aziende non sono in grado di ricorrere ai backup, questo può rendere un’azienda completamente inoperosa, incapace di svolgere le attività più semplici. È su questo che gli hacker contano per costringere un’azienda a pagare, quindi le strategie di mitigazione del ransomware devono includere un piano di backup e ripristino.

Con quale frequenza devono essere eseguiti i backup?

Non sarà pratico o necessario eseguire regolarmente il backup dei file di un’intera azienda, quindi è importante verificare quali risorse esistono e quanto sono prioritarie. Per i file sensibili, i backup dovrebbero essere almeno quotidiani, se non addirittura due o tre volte al giorno.

Quando si tratta delle risorse più critiche, tuttavia, le aziende dovrebbero prendere in considerazione l’utilizzo di strategie di protezione continua dei dati per salvaguardarli. In questo caso, i backup vengono creati ogni volta che viene apportata una modifica e, anche se potenzialmente costoso e dispendioso in termini di risorse, è il modo migliore per garantire l’assenza di perdite di dati.

Implementare un piano di disaster recovery

Una volta individuato un virus ransomware e una volta che le aziende devono ricorrere ai backup, è importante che ci sia un processo chiaro per farlo. In caso contrario, le aziende potrebbero correre il rischio di essere vittime anche dei file appena ripristinati. Per questo motivo, seguire alcuni passaggi chiave è fondamentale per il successo di queste operazioni. Questi includono:

• Assicurarsi che tutti i sistemi infetti siano stati completamente isolati.
• Identificare gli obiettivi del piano di ripristino: quali dati critici devono avere la priorità?
• Assegnare ruoli chiari a tutti i membri del team
• Contattare le parti interessate o le autorità di regolamentazione
• Idealmente, tutte queste fasi dovrebbero essere descritte in un piano di disaster recovery preesistente, redatto e testato prima di qualsiasi incidente. Se le aziende non dispongono di tale documento e adottano un approccio ad hoc, aumentano notevolmente le possibilità di errore.
• Adottare misure proattive contro il ransomware

Le aziende non possono affidarsi esclusivamente alle difese tradizionali, come gli strumenti antimalware, per proteggersi dal ransomware. Devono invece adottare un approccio proattivo che enfatizzi gli aggiornamenti continui, una comunicazione efficace con i dipendenti e soluzioni specializzate in ransomware come ADX per affrontare una minaccia in continua evoluzione.

Dato che questi attacchi sono ormai la tattica numero uno utilizzata dagli hacker, è essenziale che le aziende si concentrino sulla difesa dal ransomware per ridurre al minimo il rischio di compromissione dei dati più sensibili.