L’Institute for Security and Technology (IST) ha recentemente pubblicato la guida Blueprint for Ransomware Defense, che include consigli sulle azioni difensive per le piccole e medie imprese (PMI) per proteggersi e rispondere a ransomware e ad altri attacchi informatici comuni. La guida si concentra sul formato di identificazione, protezione, risposta e ripristino in linea con il quadro di sicurezza informatica del National Institute of Standards and Technology (NIST). Le linee guida dell’IST non includono però un elemento del framework NIST: la funzione di rilevamento. Gli autori raccomandano alle PMI di collaborare con un fornitore di servizi di sicurezza informatica per tale funzione.

Le raccomandazioni dell’IST si basano su 40 misure di sicurezza, di cui 14 vengono considerate come fondamentali.

Identificare cosa c’è sulla vostra rete

IST raccomanda le seguenti misure di sicurezza fondamentali per aiutare a identificare ciò che deve essere protetto sulla rete:

  • Stabilire e mantenere un inventario dettagliato delle risorse aziendali
  • Creare e mantenere un inventario software
  • Stabilire e mantenere un processo di gestione dei dati
  • Creare e mantenere un inventario degli account

Le PMI potrebbero aver bisogno di ulteriori indicazioni per comprendere il rischio che deriva dai loro computer e software. Molte PMI usano la tecnologia meno recente perché è necessaria per applicazioni line-of-business critiche. Non è quindi sufficiente inventariare gli asset, ma bisogna anche valutare i rischi che si hanno dal momento che si stanno utilizzando risorse e software meno recenti.

Misure di sicurezza per proteggere l’infrastruttura di rete

I seguenti consigli riguardano come proteggere tali risorse:

  • Stabilire e mantenere un processo di configurazione sicuro
  • Stabilire e mantenere un processo di configurazione sicuro per l’infrastruttura di rete
  • Stabilire un processo di concessione dell’accesso
  • Stabilire un processo di revoca dell’accesso
  • Stabilire e mantenere un processo di gestione delle vulnerabilità
  • Stabilire e mantenere un processo di riparazione
  • Stabilire e mantenere un programma di sensibilizzazione alla sicurezza

Le workstation nelle PMI utilizzano password non sicure o non forniscono una protezione adeguata sia per l’accesso locale, sia per l’accesso remoto. Gli aggressori spesso entrano tramite l’accesso al desktop remoto o craccando le password dell’amministratore locale che sono le stesse in tutta la rete. Peggio ancora è quando gli utenti non utilizzano l’accesso appropriato alla rete. Le PMI sono spesso configurate con diritti di amministratore di dominio. Bisogna esaminare come sono state distribuite le password e, indipendentemente dal fatto che abbiate una configurazione tradizionale di dominio e workstation o applicazioni cloud e Web, dovete rivedere le opzioni per l’autenticazione a più fattori (MFA).

Dovete inoltre rivedere come gestite e correggete le vostre risorse di elaborazione. Non basta affidarsi a Windows Update per gestire gli aggiornamenti sui propri sistemi informatici. Esaminate le opzioni per il mantenimento e la distribuzione degli aggiornamenti. Addestrare i dipendenti a non fare clic è una delle cose migliori che potete fare per proteggere la vostra rete. Indipendentemente dalle protezioni che mettete in atto, la migliore difesa è un utente finale istruito e consapevole che non fa clic e si chiede se quel link sia legittimo o meno. Anche se non disponete di un programma di formazione formale sul phishing, assicuratevi che gli utenti siano a conoscenza delle normali truffe e degli attacchi più comuni.

malware

Sebbene il ransomware abbia una varietà di vettori di infezione iniziali, tre vettori costituiscono la maggior parte dei tentativi di intrusione:

  • Uso del Remote Desktop Protocol (RDP), un protocollo utilizzato per gestire in remoto i dispositivi Windows
  • Phishing (in genere e-mail dannose che sembrano provenire da persone o fonti affidabili ma che in realtà mirano a sottrarre credenziali o informazioni sensibili
  • Sfruttamento di vulnerabilità del software

Il rafforzamento delle risorse, del software e dei dispositivi di rete difende da questi principali vettori di attacco e colma le lacune di sicurezza che potrebbero persistere da configurazioni predefinite non sicure. La mancata disabilitazione/rimozione degli account predefiniti, la modifica delle password predefinite e/o la modifica di altre impostazioni vulnerabili aumenta il rischio di sfruttamento da parte di un avversario. Le misure di salvaguardia richiedono alle PMI di implementare e gestire un firewall sui server e gestire gli account predefiniti su reti e sistemi aziendali.

In questo caso le misure di sicurezza consigliate dall’IST sono:

  • Gestire gli account predefiniti su risorse e software aziendali
  • Usare password univoche
  • Disabilitare gli account dormienti
  • Limitare i privilegi di amministratore agli account di amministratore dedicati
  • Richiedere MFA per applicazioni esposte esternamente
  • Richiedere MFA per l’accesso alla rete da remoto
  • Richiedere l’autenticazione a più fattori per l’accesso amministrativo
  • Eseguire la gestione automatizzata delle patch del sistema operativo
  • Eseguire la gestione automatizzata delle patch delle applicazioni
  • Utilizzare solo browser e client di posta elettronica completamente supportati
  • Usare i servizi di filtraggio DNS
  • Assicurarsi che l’infrastruttura di rete sia aggiornata
  • Distribuire e mantenere un software anti-malware
  • Configurare gli aggiornamenti automatici anti-malware
  • Disabilitare l’esecuzione automatica e la riproduzione automatica per i supporti rimovibili
  • Addestrare i dipendenti a riconoscere gli attacchi di ingegneria sociale
  • Formare i dipendenti al riconoscimenti e alla segnalazione degli incidenti di sicurezza

Risposta agli incidenti

Le PMI troppo spesso trascurano le seguenti raccomandazioni relative alla risposta agli incidenti:

  • Stabilire e mantenere un processo aziendale per la segnalazione degli incidenti
  • Stabilire e mantenere un processo di gestione del registro di controllo

Le aziende spesso vogliono che i loro sistemi tornino ai livelli funzionali il prima possibile dopo un incidente di sicurezza come un attacco ransomware, quindi non è sicuro se alcune PMI stabiliranno un processo per segnalare gli incidenti. Una tipica PMI potrebbe inoltre non avere lo spazio di archiviazione o le risorse per abilitare veramente un processo di gestione dei registri.

Le misure di sicurezza consigliate per la risposta agli incidenti sono:

  • Designare il personale per la gestione degli incidenti
  • Stabilire e mantenere le informazioni di contatto per la segnalazione di incidenti di sicurezza
  • Raccogliere i log di controllo
  • Garantire un’adeguata archiviazione del registro di controllo

Ripristino dopo un attacco informatico

Un attacco ransomware può essere facilmente superato con un processo molto noioso: un backup. La misura di sicurezza fondamentale è stabilire e mantenere un processo di recupero dei dati. Inoltre la guida dell’IST consiglia di:

  • Eseguire backup automatici
  • Proteggere i dati di ripristino
  • Stabilire e mantenere un’istanza isolata di dati di ripristino

Le PMI potrebbero non aver pensato o testato i propri processi di ripristino. I backup potrebbero non funzionare come previsto o, nel caso di ransomware, non testati dalla posizione in cui la rete verrà ricostruita. La guida include infine un link a strumenti e risorse consigliati. L’elenco degli strumenti può essere scoraggiante per qualsiasi azienda che non ha esperienza IT; il consiglio è quindi di discutere con i vostri consulenti quali processi utilizzano e vedere se hanno risorse comparabili.