Qual è il modo migliore per una piccola e media impresa (PMI) di proteggersi dagli attacchi ransomware? Non è una domanda di poco conto se pensiamo che il ransomware sta colpendo le aziende di tutto il mondo. Mandiant ha indicato che questo tipo di attacco è in aumento e la sua crescita non sembra minimamente rallentare. Di seguito riportiamo le attività su cui le PMI dovrebbero concentrarsi per mitigare il rischio di attacchi ransomware.

Avere un piano di backup e un processo di ripristino testati

Alcuni pensano che l’autenticazione a più fattori (MFA) sia il modo migliore per proteggere un’azienda, ma avere un processo di backup e ripristino è ancora meglio. Troppo spesso infatti le aziende trascurano di avere un backup e un processo di ripristino testati. Soprattutto per le aziende con server e controller di dominio locali, è necessario disporre di un processo in cui qualcuno, nell’azienda o un consulente o un provider di servizi gestiti, esegua un ciclo di prova effettivo di un processo di ripristino.

È possibile che sia necessario assumere la proprietà dell’immagine di ripristino per ripristinare completamente un server Hyper V o una macchina virtuale in condizioni di lavoro complete. Assicuratevi inoltre di avere uno script o un manuale di ripristino in atto in modo che il personale incaricato del ripristino conosca i passaggi giusti da compiere. Questi passaggi documentati aiuteranno a ridurre lo stress dell’evento.

Nessuna connessione desktop remoto rivolta al pubblico

Non esponete mai i server a connessioni desktop remote rivolte al pubblico. Molti attacchi ransomware iniziano con gli aggressori che indovinano le password o trovano repository di password amministrative lasciate nei database online e nei repository GitHub. Spesso siamo i nostri peggiori nemici quando si tratta di credenziali e bisogna quindi evitare di utilizzare il protocollo RDP (Remote Desktop Protocol) rivolto al pubblico nelle reti di produzione.

Limitare le credenziali di amministratore e amministratore di dominio

Rivedete attentamente la vostra rete per l’utilizzo delle credenziali dell’amministratore locale e dell’amministratore del dominio. Troppo spesso le PMI scelgono la strada più facile e consentono agli utenti di essere amministratori locali senza restrizioni. Ancora peggio è quando viene configurata una rete che fornisce agli utenti i diritti di amministratore di dominio.

Non c’è alcun motivo per cui un utente di rete debba avere ruoli o diritti di amministratore di dominio. Per molti anni i fornitori hanno spesso assegnato i diritti di amministrazione di dominio perché era una soluzione facile per far funzionare correttamente un’applicazione. I fornitori sono passati dalla concessione dei diritti di amministratore alla richiesta di installazione nel profilo utente, ma alcuni consulenti si trovano ancora di fronte a reti in cui gli utenti sono amministratori di dominio.  Nessun utente nella vostra organizzazione deve essere un amministratore di dominio.

ransomware-fatebenefratelli-sacco-lombardia

Avere in atto una policy per la conferma delle transazioni finanziarie

Per assicurarvi che la vostra organizzazione non venga colpita da attacchi BEC (Business Email Compromise), dovete disporre di un processo concordato per gestire transazioni finanziarie, bonifici e trasferimenti. Gli aggressori spesso sanno che avete progetti in corso e invieranno e-mail tentando di indurvi a trasferire fondi su un account di loro proprietà. Confermate sempre con l’organizzazione ricevente che le informazioni sull’account siano corrette. Se vengono apportate modifiche al processo, dovrebbe essere in atto un processo di approvazione documentato per garantire che la modifica sia appropriata.

Isolare i server rivolti al pubblico

I server Web pubblici non dovrebbero essere in grado di connettersi ai sistemi interni se siete una PMI, dal momento che le risorse necessarie per proteggerli e mantenerli correttamente sono spesso troppo elevate. Cercate soluzioni che pongano limiti e divisioni tra le risorse Web esterne e le esigenze del dominio interno.

 

Revisione dell’accesso ai consulenti

Gli aggressori sono sempre alla ricerca di un anello debole e spesso si tratta di un consulente esterno. Assicuratevi quindi che i loro strumenti di accesso remoto siano corretti e aggiornati; i consulenti devono inoltre capire che spesso sono proprio loro il punto di ingresso in un’azienda e, per questo, dovete discutere con loro su quali siano i loro processi.

Concentrarsi sulle vulnerabilità note sfruttate

Mentre i consulenti per la sicurezza esortano le aziende grandi e piccole ad attivare gli aggiornamenti automatici, le piccole aziende non hanno molte risorse per testare le patch e spesso si trattengono dall’assicurarsi che non ci siano effetti collaterali con gli aggiornamenti.

Distribuire o aggiornare il rilevamento e la risposta dell’endpoint

Il rilevamento e la risposta degli endpoint (EDR) sta diventando più conveniente per le PMI. Microsoft 365 Business Premium ha abilitato EDR sotto forma di Microsoft Defender for Business.