Diventa Autore per CoreTech | Scopri di più
27/01/21 CoreTech Blog
Molte organizzazioni, consapevoli di questa situazione, concentrano i loro sforzi sulla protezione contro il ransomware. Questo spesso significa che spostano i loro budget dalla sicurezza web. Sfortunatamente per loro, significa che stanno effettivamente rendendo i loro sistemi IT meno sicuri contro il ransomware.
Ecco 5 motivi per cui prendersi cura della propria sicurezza web sia molto importante per evitare il ransomware.
Il ransomware non è l'attacco in sé, è il risultato dell'attacco effettivo.
Se dovessimo confrontare l'effetto del ransomware con una malattia, il software ransomware rappresenterebbe un virus o un batterio. Una volta che il virus o il batterio entrano nel corpo dell'ospite, sono in grado di moltiplicarsi e infettare l'intero sistema, spesso con risultati fatali. È lo stesso con il ransomware, una volta che entra nel sistema, potrebbe essere impossibile fermarlo.
Tuttavia, proprio come un batterio o un virus non vola semplicemente da un host a un altro, né il ransomware. Deve in qualche modo essere introdotto nel sistema. E le misure di difesa più efficaci sono in questa fase, mirate a impedire in primo luogo a ransomware di entrare nel sistema.
Proprio come batteri e virus, il ransomware può essere distribuito utilizzando percorsi diversi. Ad esempio, un batterio o un virus possono diffondersi al tatto o tramite goccioline di saliva. Allo stesso modo, il ransomware può essere altrettanto facilmente diffuso tramite phishing e ingegneria sociale o sfruttando le vulnerabilità del sistema. E oggigiorno, la maggior parte di queste vulnerabilità sono vulnerabilità web (per una spiegazione del perché - vedere il motivo 3 di seguito).
Conclusione: per proteggerti dal ransomware, devi concentrarti completamente sulla protezione contro gli attacchi che possono essere utilizzati per fornire ransomware ai tuoi sistemi. Una volta che il ransomware è nel tuo sistema, è troppo tardi.
Si ritiene che il phishing e l'ingegneria sociale siano il modo più comune per fornire ransomware. Tuttavia, il phishing è spesso potenziato da vulnerabilità web comuni come il cross-site scripting (XSS). Tali vulnerabilità consentono agli aggressori di utilizzare nomi di dominio rinomati, ad esempio il nome della tua azienda, per lanciare attacchi ai tuoi dipendenti e ad altri.
Immagina solo che la tua applicazione web abbia una vulnerabilità XSS. Ciò consente all'autore dell'attacco di inviare ai tuoi dipendenti un URL con il tuo nome di dominio. Tuttavia, visitando questo dominio, il tuo dipendente verrà reindirizzato automaticamente a un percorso di download dannoso e scaricherà un programma di installazione ransomware. Pensi che i tuoi dipendenti non si innamoreranno di un simile trucco? Pensa di nuovo.
Ancora peggio, l'attaccante può utilizzare la tua applicazione web vulnerabile per attaccare i tuoi partner commerciali, i tuoi clienti e persino il pubblico in generale, esponendo la tua debolezza del sistema e danneggiando la tua reputazione in modo irreparabile. Se vuoi evitarlo, devi assicurarti che nessuno dei tuoi sistemi che utilizzano i tuoi nomi di dominio abbia tali vulnerabilità XSS.
Conclusione: le vulnerabilità del Web possono consentire attacchi di phishing contro la tua stessa organizzazione, i tuoi partner, i tuoi clienti o persino il pubblico in generale. Ciò potrebbe causare danni irreparabili alla tua reputazione.
Come accennato nel motivo 1, il ransomware può essere inviato al sistema di destinazione utilizzando metodi diversi, molto spesso sfruttando le vulnerabilità. Qualche tempo fa, la maggior parte di tali vulnerabilità esistevano nei sistemi locali: si trattava, ad esempio, di vulnerabilità di rete, derivanti da software obsoleto o da un'errata configurazione delle reti locali. Ora, soprattutto nel 2020, quando la maggior parte delle aziende è passata al lavoro remoto, le reti locali stanno perdendo ancora più terreno.
Tali reti locali vengono sostituite dal cloud. E il cloud si basa completamente sulle tecnologie web. Pertanto, il passaggio al cloud è associato alla crescente importanza delle vulnerabilità web. Le vulnerabilità che prima, forse, interessavano solo i siti web di marketing ora possono influenzare i sistemi critici per l'azienda e i dati critici per l'azienda.
Anche i creatori di ransomware sono al passo con i tempi. Sono consapevoli che non è più sufficiente per un crittografo dannoso eseguire la scansione attraverso una rete locale e infettare desktop e server locali. Sono consapevoli che al giorno d'oggi sempre più potenziali vittime utilizzano thin client (browser) e accedono ai dati che vengono archiviati nel cloud. Pertanto, si rendono conto che devono sfruttare sempre più vulnerabilità web / cloud per garantire che il loro software ransomware sia il più efficace.
Conclusione: la maggior parte delle organizzazioni utilizza già il cloud o si sta trasferendo ad esso, rendendo la sicurezza della rete obsoleta. Al giorno d'oggi, concentrarsi sulla sicurezza della rete anziché sulla sicurezza web rende inutili gli sforzi per la sicurezza.
È molto difficile sapere come difendere la propria azienda dal ransomware perché altre organizzazioni che sono state vittime del ransomware molto spesso non condividono le proprie esperienze. Informano semplicemente il pubblico di essere stato vittima di un attacco ransomware, niente di più.
Tale comportamento è comprensibile. Prima di tutto, le organizzazioni attaccate potrebbero non essere in grado di correggere immediatamente le loro debolezze di sicurezza. In secondo luogo, le organizzazioni hanno paura di condividere i dettagli del vettore di attacco in modo da non rendersi più aperte ad altri attacchi. Terzo, molte organizzazioni credono erroneamente che ammettere i propri errori possa danneggiare la loro reputazione.
Sfortunatamente, questo comportamento rallenta lo sviluppo di metodi di protezione efficienti e ha un impatto negativo complessivo sulla sicurezza IT in tutto il mondo. Questa situazione potrebbe essere paragonata a un paese che è stato colpito da un virus mortale e non avrebbe condiviso alcun dettaglio al riguardo per motivi politici.
Conclusione: la mancata condivisione dei dettagli dei vettori di attacco utilizzati per fornire ransomware ai sistemi delle vittime rende più difficile per altre aziende evitare il ransomware.
Ciò che rende la situazione ancora peggiore è il fatto che in quei rari casi in cui sono noti i dettagli di un attacco, la maggior parte dei media decide di non menzionarli. Questo è vero nel caso di tutte le violazioni della sicurezza. Invece, i media si concentrano su argomenti popolari come l'impatto sul business dell'attacco ransomware.
Ad esempio, per scoprire che la violazione dei dati di Capital One del 2019 è stata causata da una richiesta di falsificazione lato server (SSRF) , dovresti scavare molto a fondo nei motori di ricerca. La maggior parte delle fonti dei media non si è preoccupata di menzionare queste informazioni cruciali.
Alla luce dei media e del comportamento aziendale che porta il ransomware a rappresentare un problema ancora maggiore per le aziende di tutto il mondo, è una piacevole sorpresa vedere che ci sono grandi aziende che seguono le migliori pratiche possibili. Probabilmente non esiste un esempio migliore di Cloudflare. Ad esempio, quando nel 2019 Cloudflare ha subito una grave interruzione causata da un errore umano e dall'uso di un firewall per applicazioni web (WAF) , hanno descritto l'intero incidente utilizzando un livello di dettaglio impressionante - e questa è la loro pratica regolare.
Conclusione: si consiglia vivamente che i media condividano i dettagli degli attacchi noti. Se condividiamo le informazioni e apprendiamo i primi passi di un attacco ransomware, avremo tutti una migliore possibilità di proteggerci da tali attacchi in futuro.