Attacchi Ransomware: la strategia di difesa di Lutech e Dell Technologies

Per attacco ransomware si intende un attacco alla infrastruttura It di un’azienda finalizzato alla richiesta di un riscatto. In determinati periodi - come quello dell’emergenza sanitaria dei primi mesi del 2020 - il ransomware trova un terreno particolarmente fertile. 

Lo stress emotivo dei dipendenti aziendali, insieme al forte incremento dell’uso dello Smart Working, sonocondizioni ideali per attentare ai dati aziendali. Per questo oggi le aziende si trovano ad affrontare una vera condizione di allarme a cui è necessario porre rimedio con strumenti adeguati e interventi mirati.

Il processo di un attacco ransomware si è evoluto: se il primo touch point rimane l’utente e il dispositivo con cui si collega alla rete aziendale, la strategia di attacco è diventata più sofisticata e le richieste di riscatto sono cresciute in valore raggiungendo il milione di euro. 

I cybercriminali scelgono con cura le aziende da colpire, spesso si insinuano all’interno della rete aziendale in modalità silente per mesi, aprono porte di accesso, osservano il flusso di informazioni circolanti e scelgono quelle più indicate da sottrarre. Inoltre, si indirizzano verso ambienti più vulnerabili come lo storage secondario e non si limitano al furto delle informazioni. Cresce, inoltre, la pratica di modificare le policy d’accesso, il furto delle credenziali e i file di configurazione delle app e dei dispositivi che si collegano ad ambienti cloud per aprire una vulnerabilità nell’infrastruttura It o, semplicemente, danneggiare i dati aziendali.

“Il costo medio di un data breach è oggi di circa 4 milioni di dollari e la dimensione media è di 25500 record. Il tempo medio di reazione è cresciuto del 4,9% nel 2019 e si attesta sui 279 giorni”. 
(Fonte: Data Breach Study di Ponemon Institute e Ibm Security + Verizon Data Breach Investigation Report)

La protezione da un attacco ransomware oggi richiede una revisione della strategia di protezione dell’infrastruttura aziendale: sono necessari strumenti nuovi e più sofisticati ma, soprattutto, un nuovo approccio alla sicurezza.  Gli strumenti e le metodologie più efficaci puntano ad “attaccare” gli “attaccanti”, a confonderli fornendo dati errati e, soprattutto, a diffondere la consapevolezza nei confronti della security ai dipendenti aziendali e a chi ha i privilegi di gestione delle infrastrutture cloud e on premise.

In prima battuta è necessaria una gap analysis che faccia emergere tutte le criticità delle misure di sicurezza: organizzative, procedurali e tecnologiche. Il Gruppo Lutech applica una precisa metodologia riferita a best practices, linee guida e framework “ufficiali” come, per esempio, il NIST (National Institute of Standards and Technology) Cybersecurity Framework che, oltre a proteggere adeguatamente, forniscono una garanzia di aderenza alla normativa sulla protezione dei dati aziendali.

Applicando il framework del NIST, il Gruppo Lutech prevede cinque step successivi. La fase di identificazione (Identify) si concentra su una sostanziale analisi dei rischi, categorizzando e individuando gli asset da proteggere ma anche e soprattutto lavorando sulla categorizzazione dei profili di utenza in base ai rischi associati all’accesso all’infrastruttura.

Successivamente, nella fase Protect si lavora alla formazione degli utenti e alla simulazione degli attacchi. Inoltre, si rivedono i privilegi di accesso limitando al massimo la visibilità e l’accesso ai dati. Infine, si introducono strumenti di cyber threat intelligence finalizzati al monitoraggio dell’attività dell’utenza all’interno della rete aziendale. 

Nella fase Detect si punta a individuare le anomalie di comportamento. In questa fase di monitoraggio, il Gruppo Lutech è in grado di vigilare in tempo reale sulla rete aziendale del cliente grazie al suo SOC (Security Operation Center).

La fase Respond prevede la formalizzazione di un processo di risposta agli incidenti indicando chi deve intervenire e come. E, infine, la fase di Recovery comprende tutte le attività di recupero dei dati e, soprattutto, di verifica della bontà dei dati.

Un approccio puntuale e innovativo non può prescindere da soluzioni adeguate. Il Gruppo Lutech, in qualità di Dell Technology Platinum Partner, sfrutta le funzionalità della PowerProtect Cyber Recovery Solution, la risposta di Dell Technologies agli attacchi alla rete aziendale. Si tratta di una soluzione utile per “costruire la resilienza all’interno delle organizzazioni”. 

PowerProtect Cyber Recovery Solution di Dell Technologies, pur coprendo anche i precedenti, si colloca naturalmente all’interno dell’ultimo pilastro del framework NIST, il Recover. 

“I servizi di backup non sono progettati o configurati per proteggersi adeguatamente dai cyberattack”.

(Fonte: Gartner whitepaper, Backup and Recovery Best Practices for Cyberattacks)

In particolare, dato che lo storage secondario risulta la componente più vulnerabile dell’infrastruttura, e questo gli hacker l’hanno capito perfettamente, la PowerProtect Cyber Recovery Solution di Dell Technologies punta, secondo una linea strategica condivisa da molti, a rendere le immagini di backup inaccessibili alla rete.

PowerProtect Cyber Recovery Solution è l’unica soluzione sul mercato ad avere determinate funzionalità e mitiga con successo l’impatto di un attacco all’infrastruttura. Generalmente, la strategia degli attaccanti prevede in successione il blocco della infrastruttura di backup, quella di disaster recovery e, infine, la produzione. In questo modo, nel momento in cui l’azienda si rende conto che si è sotto attacco e si tenta di ripristinare il dato dal backup, quel dato non è già più disponibile.

La soluzione di Dell Technologies fornisce una copia dei dati protetta in una cassaforte virtuale, di cui è possibile validare la bontà prima del recupero. Si evita di mettere in sicurezza tutti i dati aziendali ma, piuttosto, solo quelli che sono stati individuati come vitali per il riavvio del business aziendale.

Si procede così a una business impact analysis preliminare per individuare i dati da proteggere assolutamente. Da notare che tra questi è fondamentale comprendere i cosiddetti dati di infrastruttura. Per esempio, le active directory, le configurazioni degli switch, quelle dello storage, le configurazioni dei client e dei database, i workload applicativi.

L’isolamento si realizza costruendo un vero e proprio ponte levatoio (il Cyber Recovery Vault) da abbassare solo in determinati momenti che garantisca il totale isolamento dalla rete del set di dati vitali. Il Vault di Dell Technologies permette di proteggere, isolare e analizzare la bontà del dato. 

Al PowerProtect Cyber Recovery Vault, la soluzione di Dell Technologies aggiunge anche una Data Landing Zone e una Clean Room, ambienti di “sanificazione” del dato prima di renderlo disponibile per il ripristino che garantiscono ulteriormente la bontà del dato e agevolano il processo di recovery.

La soluzione di protezione dei dati di Dell Technologies si integra naturalmente con la gamma Dell EMC PowerProtect DD (DataDomain), il protection storage leader assoluto di mercato. I prodotti si distinguono per diverse funzionalità esclusive come il protocollo proprietario DD Boost che, applicato a backup e replica, sostituisce all’interno del Vault solo i dati mancanti, compressi e criptati. Ciò significa un risparmio del 98% rispetto al peso del dato “pieno” con una conseguente riduzione dell’attività di rete e, soprattutto, dei tempi di apertura e chiusura del ponte levatoio.

Infine, l’integrazione di un tool specifico di CyberSense, azienda partner di Dell Technologies, permette di analizzare il dato direttamente all’interno del Vault, evitando così un’ulteriore rischiosa esposizione, utilizzando anche algoritmi di machine learning per imparare come l’azienda tratta i suoi dati.