Il ransomware è in continua evoluzione e i criminali stanno inventando metodi sempre nuovi per infiltrarsi e rimanere nascosti nelle reti aziendali anche per lunghi periodi prima di sferrare il proprio attacco.

Secondo Danny O’Neill, Director Global MDR Operations di Bitdefender, intervistato da Computerworld, il gruppo criminale Lockbit sta portando le operazioni su un altro livello, arrivando a reclutare gli impiegati dell’azienda bersaglio offrendo compensi in denaro affinché li aiutino a infettare la rete.

O’Neill ha quasi 30 anni di esperienza nell’intelligence e nella guerra informatica, avendo lavorato in precedenza nell’esercito britannico. È quindi un rinomato esperto di tecniche di difesa da avversari come governi ostili e APT. È quindi naturale per lui fare paragoni con la guerra fredda: “la situazione sta diventando simile alle attività di spionaggio e contro spionaggio tra paesi, che corrompono personale per infiltrarsi, raccogliere intelligence e fare sabotaggi. Non basta avere guardie all’ingresso del castello da proteggere: è necessario vigilare anche che all’interno non accada niente di sospetto”.

Una minaccia di questo tipo non si può contrastare con la sola tecnologia, ma richiede una costante attività di monitoraggio alla ricerca di comportamenti anomali, come l’utilizzo di uno strumento di cifratura, l’improvviso trasferimento di grandi quantità di dati o l’accesso a risorse che solitamente quell’utente non utilizza, e questo  anche da parte di macchine o utenti perfettamente legittimi. Successivamente è richiesta poi la capacità di rispondere rapidamente ai segnali di pericolo, cercando di minimizzare gli impatti sul business.

L’esternalizzazione della sicurezza

Danny O’Neill, Director Global MDR Operations di Bitdefender

Danny O’Neill, Director Global MDR Operations di Bitdefender

Al rilevamento sugli Endpoint, che opera in modo reattivo, è ormai necessario aggiungere quindi un monitoraggio proattivo dell’intera rete nelle sue diverse componenti, raccogliendo segnali da pc, server, email, risorse cloud, e correlare questi dati tra loro per cercare di individuare possibili minacce da bloccare. Questo approccio è chiamato Extended Detection and Response. Poche aziende però hanno le risorse e le capacità per allestire centri di sicurezza attivi 24 ore su 24, e le competenze per l’analisi dei dati generati.

Le aziende di security stanno quindi sviluppando il settore dei servizi di Managed Detection and Response, grazie ai quali le aziende possono esternalizzare in outsourcing questo tipo di attività, in modo da permettere al personale interno di concentrarsi sullo sviluppo del business.

Ma le aziende stanno davvero sfruttando questo tipo di servizio? “Dipende molto dal settore e dall’area geografica, racconta O’Neill. Molte medie aziende stanno adottando i servizi MDR, mentre tra le aziende più piccole sono ancora a un passo più arretrato. Quelle di più grandi dimensioni invece hanno solitamente strutture adeguate e preferiscono gestire questo servizio in proprio, anche per motivi di compliance. I servizi stanno andando molto bene in Stati Uniti, UK, paesi scandinavi e Germania, mentre altrove il mercato ha ancora molto da esprimere”.

I nuovi rischi del cloud e l’importanza della collaborazione

Il cloud può essere molto sicuro, anche più di un server privato, ma è fondamentale che sia configurato correttamente. Questo purtroppo non sempre accade, e alcuni servizi cloud non hanno una configurazione corretta e vengono lasciati aperti. Questo accade spesso con le risorse utilizzate per le pratiche DevOps, ed è una grossa preoccupazione, perché non si è nemmeno all’interno del perimetro aziendale, che può offrire un primo livello di protezione, ma si è completamente esposti al mondo. Anche in questo caso, una semplice soluzione tecnologica non basta ed è necessario un approccio proattivo, che permette di individuare traffico e comportamenti anomali.

O’Neill sottolinea poi l’importanza della collaborazione sia su larga scala, per esempio tra organizzazioni pubbliche e private, dove lo scambio di informazioni può aiutare a livellare le conoscenze. “Nel Regno Unito alcuni rami del settore pubblico, come le scuole, soffrono di una carenza costante di risorse, ma altri settori dello stato – come quelli dedicati alla sicurezza – possono collaborare per evidenziare rischi e minacce”, afferma O’Neil.

Ma un altro tipo di collaborazione può e deve avvenire all’interno dell’azienda. Un tempo il team di security era relegato in un angolo, dedito a monitorare alcuni strumenti tecnici e spesso non molto ben visto dai reparti business, perché strumenti, procedure e policy di security spesso intralciano l’operatività quotidiana. “Liberando le risorse di security dalle incombenze quotidiane è possibile fare in modo che queste entrino negli uffici e nei reparti di produzione per affiancare e assistere i colleghi nelle attività quotidiane, impostando misure di sicurezza più efficaci e più compatibili con le esigenze di business”, conclude O’Neill.