Ransomware è generalmente considerata una delle maggiori minacce che le organizzazioni devono affrontare oggi. In seguito alla pubblicazione del recente rapporto sul ransomware da parte del Centro nazionale per la sicurezza informatica, l’onorevole Tom Tugendhat, ministro di Stato, ha affermato che gli attacchi ransomware si stanno evolvendo e che “il lancio del ransomware come servizio significa che una conoscenza avanzata dell’informatica è non è più necessario mietere devastazione; i criminali sono in grado di accedere a software che svolgerà gran parte del lavoro duro per loro.”
Nonostante i rischi elevati, la consapevolezza dei veri rischi posti da un attacco ransomware rimane bassa, con molte organizzazioni che pianificano e raramente o mai testano le loro difese informatiche. Molti saranno a conoscenza di alcuni degli attacchi ransomware di più alto profilo come il compromesso Moveit, probabilmente il più grande hack dell’anno, soprattutto se sono di piccole dimensioni.
Non è questo il caso. Tutte le Organizzazioni, grandi e piccole, devono essere consapevoli e preparate.
Quando viene colpita dal ransomware, la vittima ha poco respiro per agire, rispondere e mitigare. La preparazione va oltre il piano di risposta diretta agli incidenti. Le organizzazioni devono anche porsi domande come: Disponiamo di un piano di risorse per un periodo prolungato di risposta e recupero? Cosa succede se il nostro CISO è in vacanza? Cosa succede se? Backup: sono compromessi? Sulla base delle nostre esperienze in prima linea, ecco cinque cose comuni a cui le organizzazioni non pensano prima di un attacco ransomware.
Responsabile di Mandiant Consulting per l’EMEA.
Come mantenere motivata la squadra durante un attacco?
Quando viene colpito un attacco ransomware, le organizzazioni finiscono le persone prima del denaro o di qualsiasi altra risorsa. Rispondere a un attacco ransomware è più simile a una maratona che a uno sprint. I contenuti delle organizzazioni stimano il prezzo da pagare per operazioni che vengono date per scontate.
Il ripristino del ransomware può essere un’operazione a lungo termine ed è quindi essenziale garantire che coloro che sono in prima linea nella risposta alla minaccia siano motivati, supportati e dotati degli strumenti giusti, nel caso in cui un attacco persista per un lungo periodo di tempo. Mantenere la calma nel momento di crisi garantendo che il team di risposta sia ben attrezzato e pronto per il lungo periodo è fondamentale quando si risponde a un attacco informatico complesso.
Come comunicherai con la rete inattiva?
Le organizzazioni Usten non ritengono di avere solo mezzi limitati con cui comunicare: se tutti i soliti sistemi dovessero andare offline, non il controllo del MAGGIO. Una delle prime aree a cui prende di mira un attore di minacce è l’infrastruttura di comunicazione di un’organizzazione. Questo è spesso un effetto collaterale inaspettato e frustrante della messa offline dei sistemi che molti non prendono in considerazione. Così facendo, gli aggressori possono seminare confusione e ritardare enormemente la risposta all’incidente.
Il nostro recente rapporto M-trends ha rilevato che i dispositivi perimetrali accessibili tramite Internet, tra cui: firewall:Soluzioni di virtualizzazione e rete privata virtuale Dispositivi: rimangono un obiettivo molto ricercato dagli aggressori. Accedendo alle piattaforme di virtualizzazione, gli aggressori RansomWare possono crittografare rapidamente molte macchine virtuali senza dover accedere direttamente o implementare crittografi all’interno di ciascuna macchina.
In qualsiasi scenario di crisi, la comunicazione è fondamentale, ma le organizzazioni spesso danno per scontato che troveranno un modo, ma se si chatta, e-mail: e altri canali di comunicazione aziendale sono inattivi, ciò può avere un impatto considerevole sul mantenimento delle normali operazioni aziendali, nonché sulla comunicazione con il personale sullo sviluppo dell’incidente e sulla risposta. Soprattutto in un mondo con una forza lavoro sempre più eterogenea, garantire che i messaggi giusti arrivino alle persone giuste è fondamentale. I piani di emergenza delle organizzazioni per un attacco ransomware dovrebbero sempre includere informazioni sulle linee di comunicazione per quando i sistemi sono inattivi e assicurarsi che non siano solo archiviate sul computer. rete: che è stato appena disattivato dagli aggressori.
Quanto sono accessibili i tuoi backup?
Non importa quanto sia completo un backup, è inutile se l’accesso ad esso viene negato a causa di un attacco ransomware. Sembra ovvio, ma molte, molte organizzazioni pensavano di poter fare affidamento sui backup ma li avevano archiviati troppo vicino agli originali. Gli aggressori spesso prendono di mira i rinforzi per prolungare un attacco ed esercitare la massima pressione sulla vittima. Organizzazioni che operano interamente nel: Nuvola: sono particolarmente vulnerabili a questo. Implementare un approccio “vecchia scuola” è la migliore risposta a questo problema. Avere un approccio ibrido di copie fisiche di backup e versioni sul cloud in modo che le uova non siano tutte nello stesso paniere.
Naturalmente ci sono delle considerazioni da fare quando si organizzano questi backup: può essere costoso individuare e caricare i dati a intervalli regolari, ma in definitiva fornisce un’altra linea di difesa. La creazione di backup offline efficaci può spesso significare che l’impatto di un attacco ransomware può essere mitigato rapidamente e che i sistemi possono essere reinstallati prima che si verifichino gravi danni all’organizzazione.
Sei disposto a sacrificare una parte della tua rete?
La sfortunata realtà è che una volta che un’organizzazione si rende conto che gli aggressori si trovano all’interno della sua rete, ha poche possibilità di “respingerli”. In genere, ciò che seguirà è una strategia di mitigazione. Quali misure possono essere adottate per garantire che il livello di danno venga ridotto nel modo più efficiente possibile? Una volta identificato l’aggressore, spesso l’approccio “terra bruciata” è il più efficace per contenere l’attacco a determinati sistemi, con l’obiettivo di proteggere l’organizzazione nel suo insieme.
L’indecisione può essere mortale in questo momento ed è fondamentale che i leader all’interno di un’organizzazione abbiano il potere di prendere queste decisioni rapidamente e siano sufficientemente dotati delle conoscenze pertinenti per farlo. È inoltre essenziale SAPERLO PRIMA che si verifichi un attacco: Le organizzazioni devono sapere cosa possono permettersi di perdere nel caso in cui accada il peggio e agire in modo rapido ed efficace.
Affidarsi solo all’assicurazione è un’attività rischiosa
Molte organizzazioni presumono che l’atto di stipulare una polizza assicurativa sia sufficiente per proteggerle dalle ripercussioni finanziarie di un attacco ransomware. Sfortunatamente, a causa dell’enorme varietà di attacchi ransomware, l’assicurazione non è sempre così completa come potrebbero pensare le organizzazioni, a causa di clausole di esclusione o requisiti di responsabilità che devono essere soddisfatti prima che l’assicuratore paghi.
Gli attacchi RansomWare riescono avendo qualche elemento in grado di aggirare le difese esistenti – IE Sfruttare una vulnerabilità – La maggior parte delle politiche insidiose mirano a riportare un’azienda online il più rapidamente possibile. Ciò non considera l’impatto dell’attacco o il modo in cui l’organizzazione è stata sfruttata. Le organizzazioni dovrebbero considerare l’assicurazione come linea di difesa e impegnarsi in attività che possano prevenire la violazione di un attacco ransomware che si verifica all’organizzazione per rispondere. L’adozione di migliori pratiche come la modellazione delle minacce, il red teaming e le revisioni periodiche della politica informatica può fare la differenza, pagando o meno.
Essere pronti per l’inevitabile
Sfortunatamente, gli attacchi ransomware continuano ogni giorno a colpire le organizzazioni nel Regno Unito e le organizzazioni devono essere proattive quando si tratta di formulare un solido piano di risposta. Pensare ai diversi scenari e situazioni, anche ai dettagli meno discussi come i fusi orari e i canali di comunicazione, aiuta a ridurre l’impatto in caso di attacco ransomware. Non puoi mai essere troppo preparato, quindi è importante iniziare a porre queste domande ora per essere pronti all’inevitabile.
Abbiamo presentato i migliori corsi di sicurezza informatica online.
