Blog WatchGuard

Nell'era in cui i ransomware sono in ogni dove, la sicurezza unificata è fondamentale!

Dopo una serie di attacchi ransomware da prima pagina che hanno interrotto i servizi essenziali negli Stati Uniti, il direttore dell'FBI Christopher Wray ha paragonato la minaccia posta dal ransomware agli attacchi terroristici dell'11 settembre 2001. Secondo Wray, i recenti attacchi contro quelli che sono uno dei più grandi gestori di oleodotti degli Stati Uniti e un colosso della lavorazione della carne sono solo un presagio di ciò che accadrà.

"Ci sono molti parallelismi, noi diamo grande importanza e attenzione all'interruzione e alla prevenzione", ha dichiarato Wray in un'intervista al Wall Street Journal. "C'è un senso di responsabilità condiviso, non solo tra agenzie governative, ma anche tra privati, che coinvolge persino l'americano medio."

Anche se il ransomware non è una novità, le dichiarazioni di Wray ci rivelano una realtà importante: agli occhi dei criminali informatici siamo tutti bersagli facili. Gli attacchi contro Colonial Pipeline e JBS hanno paralizzato le operazioni di entrambe le imprese, scatenando una reazione a catena di escalation dei costi del petrolio e della carne bovina che, in un modo o nell'altro, ha colpito quasi tutti gli americani; eppure, questo è solo l'inizio. L'FBI sta attivamente monitorando circa 100 diversi tipi di ransomware conosciuti, assistendo all'avanzare di nuove minacce. I criminali informatici sanno bene quanto potere può dare loro il ransomware, in quanto consente di sfruttare il valore dei dati e dei sistemi che altrimenti sarebbe difficile monetizzare. In più, con i prezzi delle cripotavalute ai massimi storici, i costi di ripristino possono essere scoraggianti.

La visione di Wray sulla responsabilità condivisa dovrebbe fungere da campanello d'allarme per le piccole imprese che potrebbero considerarsi bersagli poco interessanti. Alla luce di ciò, ecco dieci modi con cui WatchGuard aiuta le aziende di medie dimensioni a difendersi dal ransomware con una protezione a più livelli:

  1. Blocco automatico dei tentativi di phishing con il filtro DNS. Il phishing via e-mail è il metodo più comune per avviare un attacco ransomware. Bloccando le e-mail dannose con spamBlocker sul Firebox e l'antispam sull'endpoint puoi finalmente mantenere al sicuro la casella di posta elettronica dei tuoi utenti. Ti sfugge un'e-mail e un utente clicca su un link potenzialmente pericoloso? Grazie a DNSWatch, puoi bloccare ai malintenzionati i canali di comando e controllo e le connessioni. Ti interessa proteggere gli utenti da remoto? DNSWatchGO garantisce la stessa protezione in base ai singoli utenti, senza richiedere una VPN.
  2. Rafforzamento delle identità degli utenti con la MFA. AuthPoint offre al tuo personale un'efficace autenticazione a più fattori, proteggendo le risorse aziendali, gli account e i dati dal furto di credenziali, dalle frodi e dagli attacchi di phishing. Inoltre, l'app mobile AuthPoint consente di monitorare ogni tentativo di accesso e l'esclusiva funzionalità DNA Mobile autorizza l'autenticazione solo nel dispositivo originale, difendendo così i dispositivi mobili dalle minacce più sofisticate, come la clonazione.
  3. Rimozione delle lacune di sicurezza con la gestione delle patch. Secondo il Ponemon Institute, il 57% delle vittime dei criminali informatici ha riferito che l'applicazione di una patch avrebbe potuto difendere il sistema dall'attacco subito, mentre il 34% si è persino dichiarato consapevole della propria vulnerabilità. L'intuitiva soluzione di gestione delle patch di WatchGuard, ideale per risolvere le vulnerabilità dei sistemi operativi e delle applicazioni di terze parti su workstation e server Windows, è in grado di ridurre la superficie di attacco sfruttata dai ransomware.
  4. Blocco dell'esecuzione di applicazioni sconosciute. Il nostro esclusivo servizio Zero-Trust per le applicazioni garantisce il monitoraggio continuo degli endpoint, il rilevamento e la classificazione di tutte le attività, al fine di identificare e bloccare i comportamenti anomali di utenti, macchine e processi. Endpoint Protection Detection and Response mitiga automaticamente l'attacco, bloccando l'esecuzione di qualsiasi applicazione sconosciuta fino a quando non viene convalidata come affidabile dal nostro sistema di apprendimento automatico e/o dal team di sicurezza informatica.
  5. Eliminazione tempestiva dei payload di malware nel firewall. I firewall come WatchGuard Firebox sono in grado di bloccare i file malware al primo stadio, come i dropper, che spesso sono seguiti da risorse più dannose. Firebox offre tre livelli di protezione malware: Gateway AV (firme ed euristica), IntelligentAV (prevenzione senza firma basata sull'IA) e APT Blocker (soluzione sandbox avanzata basata su cloud).
  6. Monitoraggio degli attacchi attivi con visibilità degli endpoint in tempo reale. Per la sua stessa natura, il ransomware infetta i dispositivi endpoint. Assicurarsi la visibilità sull'attività degli eventi su questi dispositivi consente di rilevare e rispondere alle minacce prima che il danno venga realmente fatto. Endpoint Protection Detection and Response fornisce una visibilità chiara e tempestiva delle attività dannose in tutta l'organizzazione, consentendo ai team di sicurezza di valutare rapidamente la portata di un attacco e di intervenire in modo appropriato.
  7. Correlazione dei dati telemetrici in tutta la struttura per un contesto più ampio. I criminali informatici sono dei maghi nell'eludere i sistemi di sicurezza tradizionali. Realizzano attacchi furtivi e mirati per eliminare le loro tracce e nascondersi nell'ombra, riuscendo così a sfuggire ai sistemi di rilevamento. Come parte di WatchGuard Firebox, la nostra soluzione ThreatSync utilizza un sensore per host a basso impatto e la potenza del cloud per correlare automaticamente i dati telemetrici da più punti dello stack di sicurezza, al fine di individuare ed eliminare rapidamente le minacce che rischierebbero di passare inosservate.
  8. Blocco della crittografia di file non autorizzata. Host Ransomware Prevention (HRP) sfrutta un motore di analisi comportamentale e un honeypot di directory esca per monitorare una vasta gamma di caratteristiche che determinano se una data azione è associata o meno a un attacco di ransomware. Se viene stabilito che la minaccia è potenzialmente dannosa, HRP può impedire automaticamente un attacco di ransomware prima che venga effettuata la crittografia dei file sull’endpoint.
  9. Facile esecuzione degli upgrade dei dispositivi. Durante l'esecuzione, il malware spesso crea, modifica o elimina le impostazioni del file di sistema e del registro di sistema e cambia le impostazioni di configurazione. Queste modifiche, o i problemi residui che permangono dopo la loro implementazione, possono causare instabilità o malfunzionamenti del sistema o perfino aprire le porte a nuovi attacchi. Endpoint Protection Detection and Response, nei casi residui di esecuzione del malware, ripristina gli endpoint nel loro stato affidabile pre-malware.
  10. Riduzione al minimo dei tempi di rilevamento. Il servizio di ricerca e indagine delle minacce di WatchGuard consente di rilevare le tecniche emergenti di hacking e di tipo "living off-the-land". Sfruttando le competenze dei nostri esperti di sicurezza, analizziamo i casi sospetti per identificare le tecniche di elusione nuove e uniche (note come TTP) nel flusso degli eventi. Da qui, creiamo regole per i nuovi IoA applicabili agli endpoint per garantire una protezione tempestiva anche contro le nuove forme di attacco.

Ora che siamo circondati da ransomware, le organizzazioni devono rendersi conto che le minacce possono assumere forme diverse e avvalersi di tecniche avanzate, anche nelle aziende più piccole. Per questo motivo, avere una piattaforma di sicurezza unificata che permetta di intervenire prima che i criminali informatici riescano a sfruttare le vulnerabilità del sistema e di accelerare quindi la risposta in caso di violazione può davvero fare la differenza nella prevenzione degli attacchi che rischiano di paralizzare l'impresa.