Attacco ransomware: niente panico!
Sempre più casi di estorsione informatica stanno diventando pubblici. Ma cosa bisogna fare in caso di un attacco ransomware? Un esperto di cybersicurezza elenca sette misure immediate.
L'ondata di ransomware continua a travolgere aziende e autorità. La situazione della sicurezza sembra peggiorare ovunque. Si potrebbe supporre che sia solo una questione di tempo prima che la propria azienda venga colpita. Ci sono molte guide su come impostare le difese informatiche contro un attacco ransomware, o tecnologie che promettono una difesa efficace. Ma quando arriva il momento, è utile sapere cosa fare prima.
In caso di un attacco ransomware: non pagare un riscatto
Il panico è un cattivo consigliere in ogni caso. Proprio come prendere il portafoglio per pagare il riscatto, anche se questa sembra la soluzione più semplice all'inizio.
La prima priorità è naturalmente quella di rendere nuovamente disponibili i dati e i sistemi il più rapidamente possibile. Affinché questo funzioni e perché si possano trarre le giuste lezioni da un attacco riuscito, si dovrebbero seguire alcune altre misure.
1. isolare rapidamente le unità
Il ransomware non dovrebbe essere in grado di diffondersi più di quanto non abbia già fatto. Pertanto, gli amministratori dovrebbero isolare i sistemi colpiti dalla rete il più presto possibile. Soprattutto quando si pulisce dopo l'attacco ransomware, aiuta a prevenire che il malware estorsivo si diffonda ulteriormente.
2. capire il vettore di attacco
Una volta isolate le unità colpite, è importante capire come l'incidente possa essere accaduto. Da un lato, questo aiuta a gestire l'incidente. Fornisce anche preziose lezioni per il futuro. Quindi è importante scoprirlo: Chi era il Paziente Zero nella rete?
3. fare il backup e controllare i backup
Le applicazioni e i server possono essere ripristinati, ma i dati sono insostituibili. Senza backup, non è più possibile metterli al sicuro. Pertanto, la misura è quella di toglierli prima dalla rete. Gli attaccanti cercano specificamente i backup come parte del loro attacco. Se sono ancora online, c'è il rischio che siano inclusi nell'attacco. Naturalmente, è ancora meglio mantenere i backup offline in un luogo fisicamente separato fin dall'inizio. La regola del 3-2-1 del backup (ci dovrebbe essere almeno tre Copie dei suoi dati saranno disponibili, conservate su due diversi media, a Una copia di backup memorizzata in un luogo esterno) è un prerequisito indispensabile per assicurare i dati contro gli attacchi estorsivi. Questo significa che una richiesta di riscatto potrebbe non portare a nulla - almeno per quanto riguarda i dati. Gli amministratori IT possono invece occuparsi della ricostruzione dei sistemi.
4. fermare i progetti e i compiti pianificati
Un attacco ransomware è un'emergenza e richiede il raggruppamento di tutte le risorse. Una riorganizzazione dell'architettura IT, come le migrazioni verso nuovi ambienti, o l'installazione di nuove applicazioni e server dovrebbe essere fermata immediatamente. Tali progetti potrebbero aiutare il malware a diffondersi ulteriormente. È altrettanto importante fermare i compiti programmati, per esempio i backup. Perché nel corso di questi, il malware estorsivo può diffondersi ulteriormente.
5. mettere in quarantena le aree potenzialmente compromesse.
In generale, nessuna possibilità dovrebbe essere esclusa immediatamente dopo un attacco e tutte le parti potenzialmente colpite dell'infrastruttura dovrebbero essere messe in quarantena. Questo significa togliere tutto dalla rete ed esaminarlo singolarmente prima di poterlo riutilizzare.
6. dopo l'attacco è prima dell'attacco: cambiare le password
È meglio essere sicuri che dispiaciuti. All'inizio di un incidente, spesso non è completamente chiaro come possa essere successo. Era un semplice attacco? O era un attacco complesso che era possibile perché l'attaccante aveva catturato i dati di autenticazione? Se questo fosse il caso, può sempre fare il prossimo tentativo. Ha quindi senso in ogni caso cambiare le password degli account utente critici per il sistema.
7. non farsi prendere dal panico in caso di un attacco ransomware - pianificare e praticare situazioni di sicurezza critiche
Se il peggio viene al peggio, l'amministrazione IT sarà sotto pressione - e quindi c'è il rischio di prendere la decisione sbagliata in questa situazione di pressione. Per prevenire questo il più possibile, i dipartimenti IT dovrebbero prepararsi per un'emergenza. Idealmente, i responsabili della sicurezza dovrebbero avere processi definiti. Perché soprattutto in caso di emergenza, le aziende hanno bisogno di un piano per non dimenticare nessuna misura sensata. Questi processi dovrebbero anche essere praticati regolarmente, per esempio nella simulazione del "Red and Blue Team Testing". Se i dipendenti sanno che c'è un piano che ha effetto in caso di emergenza e che questo piano è stato messo in pratica, il rischio di agire male sotto pressione è ridotto al minimo.
Fonte: Bitdefender
