Check Point Software Technologies Ltd. analizza l’origine e le conseguenze di un attacco informatico di massa che tiene la metà del mondo sotto stretto controllo. Secondo le ultime stime divulgate da Europol, sono circa 200 mila le imprese colpite e in 150 paesi, a seguito dell’attacco ransomware WannaCry. Tra le aziende colpite, in maggior misura sono ospedali e centri di salute nel Regno Unito, ma anche Renault, Portugal Telecom, Nissan, il Ministero degli Interni russo e FedEx.
Il ransomware che ha provocato questo attacco senza precedenti è noto – ormai – come WannaCry e colpisce i sistemi Windows. Una delle sue caratteristiche principali è la capacità di diffondersi da un computer infetto ad un altro, senza che questo sia stato “pulito”. Pertanto, questo tipo di attacco è stato particolarmente aggressivo, soprattutto nei sistemi aziendali interni.
Come è possibile che i sistemi di sicurezza non lo hanno rilevato?
La sicurezza non è mai garantita al cento per cento. E, in questo caso, il fattore umano ha svolto un ruolo importante: il malware è riuscito a penetrare attraverso una vulnerabilità in un computer obsoleto, usando la tecnica di phishing. In altre parole, un dipendente ha aperto una email contenente il malware e questo ha innescato il problema su larga scala.
A detta degli addetti ai lavori, non si era mai verificato un attacco simili e su così vasta scala. Le dimensioni e l’aggressività di questo incidente globale sottolineano l’importanza della sicurezza. Non stiamo parlando di fantascienza o attacchi isolati: il ransomware è una realtà che, purtroppo, è in crescita esponenziale e sempre più interesserà la maggior parte degli ambienti aziendali. Abbiamo bisogno di passare dalle raccomandazioni all’obbligatorietà: la realtà è che la sicurezza è assolutamente essenziale e i fatti che abbiamo appena vissuto lo testimonia.
Al ritorno in ufficio: cosa possiamo fare?
Lo strumento più efficace per combattere un ransomware è la prevenzione. Le principali misure da adottare per ogni azienda è il backup dei file e directory. Il cloud storage e le reti aziendali sono sempre più determinanti nel loro ruolo, ma si sta perdendo l’abitudine di fare copie di backup. Avere un duplicato di tutte le informazioni e dei file è di vitale importanza per evitare lo shock di un ransom.
Il personale, inoltre, deve saper rilevare potenziali minacce. Gran parte dei dati di campagne di sequestro utilizzano lo spam e il phishing, come abbiamo visto proprio nel caso di WannaCry. Per questo motivo, la formazione dei lavoratori è un elemento chiave nel prevenire l’infezione. Se sono in grado di rilevare email e pagine web sospette, lavoreranno in modo proattivo per mantenere la compagnia e l’azienda sicura.
Limitare l’accesso ai dati e ai file potrebbe essere un altro aspetto da non trascurare. Le aziende devono garantire che i dipendenti abbiano accesso solo ai file di cui hanno bisogno per lavorare. Così, in caso di infezione, le informazioni non saranno compromesse. Abbiamo bisogno di mettere tutte le barriere necessarie in modo che, se si verifica un attacco, queto non riguarda tutti i dati aziendali.
Aggiornare gli strumenti di protezione della società e di tutti i sistemi operativi. Dal punto di vista della sicurezza informatica, aggiornare è la soluzione essenziale.
Implementare una strategia di sicurezza con più livelli, che includa tecnologie di prevenzione contro minacce avanzate. Installare una soluzione di sicurezza multi-livello è la strategia migliore per prevenire il “rapimento” dei dati e delle sue conseguenze spiacevoli. Le aziende hanno bisogno di integrare le proprie soluzioni di sicurezza con strumenti avanzati per proteggerli contro i malware sconosciuti. Due tecnologie chiave da inserire sono la disinfezione dei file e sandboxing avanzato. Ognuna di queste soluzioni offre una protezione a un livello diverso ma, combinate, sono molto efficaci contro gli attacchi sconosciuti a livello di rete e direttamente sugli endpoint.
