Ransomware as a Service (RaaS) è un modello di business progettato per i criminali informatici, da criminali, che abbassa la barriera tecnica per l'ingresso nel crimine informatico.
Invece di dover acquisire le competenze necessarie per codificare ransomware o accedere a una rete, i criminali informatici possono semplicemente acquistare accesso e componenti, a volte con un abbonamento mensile paragonabile a un servizio di film in streaming.
Sebbene in molti modi questo renda la vita più facile ai criminali informatici, c'è un lato positivo per coloro che devono proteggersi: i criminali informatici meno sofisticati possono essere fermati seguendo le best practice e introducendo costantemente restrizioni lungo il percorso.
I Punti di Partenza per la Difesa in Profondità Contro RaaS
Autenticazione
Fare in modo che gli aggressori non riescano ad entrare all’interno della rete e limitare ciò che possono fare se entrano è un ottimo punto di partenza. Solitamente, le modalità più diffuse con cui compromettono la rete sono l’utilizzo di credenziali illegittime e indurre gli utenti ad eseguire malware direttamente tramite phishing..
Lo sfruttamento delle vulnerabilità come vettore iniziale nelle organizzazioni è solitamente tutt'altro che ideale, data la facilità con cui è possibile accedere agli account degli utenti.
Tuttavia, se gli aggressori sfruttano gli exploit, trovano esponenzialmente più difficile continuare il movimento laterale e navigare all'interno della rete senza credenziali. È qui che possiamo visualizzare ogni account e punto di autenticazione come potenziali blocchi per ostacolare o rallentare gli aggressori.
- Implementare criteri di creazione password più rigorosi e complessi, oltre ad un aumento della frequenza con cui le credenziali vengono cambiate.
- Imporre restrizioni all'accesso: chi può accedere ai dati, dove e quando, soprattutto per gli accessi come Amministratore.
- Utilizzo dell'autenticazione a più fattori.
Riduzione della Superficie di Attacco
Esiste una singolare ovvietà in ogni attacco informatico, ovvero che deve esserci un punto di ingresso. Nel contesto delle nostre vite digitali, questo punto di ingresso è solitamente accessibile tramite sistemi connessi a Internet.
In quanto tale, avere restrizioni aiuta a capire cosa è effettivamente esposto. Qual è la tua impronta digitale su Internet e quali tipi di connettività offre?
A causa della pandemia globale di COVID-19, il lavoro a distanza è aumentato esponenzialmente e le aziende si sono affrettate per cercare di supportare al meglio i dipendenti che ora si trovano inaspettatamente a lavorare da casa.
Questo ha aumentato l'opportunità di attacco per i criminali informatici alle VPN e alle soluzioni di accesso remoto come modalità rapide per entrare nella rete interna.
Patching e Gestione delle Vulnerabilità
Ad oggi le vulnerabilità vengono armate a un ritmo record e il gioco del whack-a-mole con le patch continua senza sosta. A volte, anche prima del rilascio delle patch, basta l'annuncio della vulnerabilità e dei breadcrumb sui social per creare gli exploit.
Questo rende questa guida per il "Back to the Basics" più difficile che mai. Tuttavia, la linea di fondo è che gli aggressori sono solo diventati più efficienti nello sfruttamento delle vulnerabilità, mentre la maggior parte delle organizzazioni continua a ristagnare con ambienti senza patch.
Chiudere questi punti di ingresso rende la vita degli hacker più difficile. Ripone l'onere sugli hackers di essere abbastanza intelligenti e furbi da aggirare questi blocchi senza poter sfruttare tali vulnerabilità, rimuovendo uno strumento potente dal loro arsenale.
- Effettuare un’analisi completa delle patch mancanti in tutto l'ambiente, sia per l'infrastruttura che per i sistemi degli utenti finali, per identificare più facilmente le aree problematiche.
- Ridurre il tempo in cui i sistemi rimangono vulnerabili dal rilascio della patch alla distribuzione. Non esiste una soluzione unica per questo problema; ogni organizzazione deve determinare scadenze accettabili in base al proprio livello di rischio, ma alla fine della giornata, più veloce è, meglio è.
- Laddove non è possibile distribuire le patch, identificare i meccanismi di compensazione per proteggere i sistemi o gli utenti vulnerabili.
Segmentazione e Microsegmentazione della Rete
Crediamo fermamente nel potere della segmentazione, sia logicamente che fisicamente, poiché crea un confine distinto per il controllo e il monitoraggio degli accessi.
Nell'ambito di questo articolo, la segmentazione della rete riguarda, ad esempio, le barriere tra utenti finali e server di data center, mentre la microsegmentazione tra server SAN e server di database. Alla base, è presente un unico approccio fondamentale: Zero Trust.
Creando restrizioni che limitano l'attraversamento del traffico di rete da tutte le direzioni (da ovest a est, da nord a sud) e abbinandolo ad altri controlli di sicurezza, sei nella posizione migliore per creare i blocchi che ostacolano fortemente gli attori malintenzionati meno tecnici.
Difesa in Profondità = Aumento del ROI
Speriamo che questo articolo possa servire in qualche modo da catalizzatore per fare un passo indietro e cercare di identificare quali ostacoli proattivi puoi costruire quando si tratta di difendere le tue reti e i tuoi dati.
Il RaaS è qui per restare e le lezioni apprese attraverso la sua evoluzione saranno un esempio per i criminali informatici sulla mercificazione di ogni aspetto degli attacchi informatici.
Il lato positivo è che probabilmente vedremo diminuire la sofisticatezza tecnica dei criminali informatici, mentre la rifocalizzazione dei nostri sforzi difensivi su concetti di sicurezza fondamentali, come la difesa in profondità, fornirà un maggiore ritorno sull'investimento a lungo termine.
Palo Alto Networks offre una suite completa di nuova generazione per la sicurezza dell'azienda: Next-Generation Firewalls, Virtualized Next-Generation Firewalls, Network Security Management, Security Subscriptions, Advanced Endpoint Protection e SaaS Security.
Se vuoi avere maggiori informazioni sulle soluzioni Palo Alto Networks invia una mail a cio@florence-consulting.it o chiama lo (055) 538-3250. Visita la pagina dedicata sul nostro sito per ricevere ulteriore materiale informativo o per richiedere una demo gratuita.
In alternativa, puoi compilare il form sottostante con la tua domanda.