Protezione degli endpoint come misura anti-ransomware per gli studi legali
Per gli avvocati, la trasformazione digitale ha apportato anche vantaggi significativi. L'integrazione di tecnologie quali firme digitali, creazione automatizzata di contratti, strumenti di collaborazione basati su cloud, documenti basati su AI, strumenti di revisione di clausole e contratti, e servizi basati su cloud sta favorendo la competitività degli studi legali nel post-pandemia.
I vantaggi tecnologici conseguiti da questi professionisti possono tuttavia essere minacciati dall'esposizione alla criminalità informatica.
Sicurezza informatica: un problema sempre più preoccupante per il settore legale
In base ai dati pubblicati da Forbes, il settore legale è stato bersaglio di 636 attacchi alla settimana in media nel 2021, con un aumento di oltre il 68% rispetto all'anno precedente.
Per un avvocato, una violazione non soltanto comporta il rischio di perdere il cliente, ma anche seri danni per la propria reputazione. A questo si aggiungono gli elevati rischi finanziari coinvolti. Gli studi legali gestiscono grandi quantità di dati di valore, che possono essere molto redditizi per i criminali informatici. Il fatto che molti di questi dati siano informazioni sensibili è un fattore che già di per sé crea pressione. Oltre a crittografare i file, gli hacker a volte prima caricano informazioni sui propri server e poi minacciano di pubblicare dati riservati in caso di mancato pagamento. Per questo, se colpiti da un attacco ransomware, gli studi legali sono in genere più inclini a pagare il riscatto o a soddisfare le richieste dei criminali informatici.
Secondo uno studio condotto da Capterra, il 69% degli studi legali colpiti da attacchi ransomware negli USA ha pagato il riscatto e soltanto il 65% delle vittime ha riavuto accesso ai propri dati, il che dimostra che pagare non offre la garanzia di poter recuperare le informazioni rubate. Inoltre, in base ai dati raccolti dall'ENISA in uno studio nel quale sono stati analizzati casi di ransomware riportati in Europa, Regno Unito e USA tra maggio 2021 e giugno 2022, ogni mese sono stati carpiti 10 terabyte di dati. Nel 37,88% dei casi i dati rubati sono stati compromessi.
Il ciclo di vita del ransomware
Il business del ransomware è molto redditizio. Si stima che valga oltre sei miliardi di euro all'anno e questa tendenza è in costante crescita. Per spiegare come funziona il ransomware, di seguito è riportata una suddivisione delle fasi seguite dagli autori delle minacce:
- Accesso iniziale: il malintenzionato riesce ad accedere tramite il furto di password, con un attacco brute force, sfruttando una vulnerabilità del software o fingendosi un utente. Una volta entrato nel sistema, tenta di scoprire le identità più importanti per ottenere le credenziali di accesso, entrare ed eludere le misure di protezione convenzionali.
- Consolidamento e preparazione: dopo l'accesso alla rete, gli hacker o entrano con malware contenente un pacchetto di strumenti necessari per portare a termine l'attacco oppure li scaricano dopo l'intrusione.
- Movimento laterale ed escalation dei privilegi: in questa fase, il criminale prosegue nell'attacco muovendosi all'interno dell'infrastruttura per scoprire come estrarre dati critici bypassando i livelli di sicurezza e acquisendo ulteriori privilegi
- Impatto sulla vittima: una volta disabilitata la protezione principale del sistema, il criminale informatico tenta di esfiltrare dati sensibili dall'endpoint, distrugge i backup dell'organizzazione e infine crittografa il sistema e i dati.
Protezione dell'endpoint delle firme legalmente valide
Per attenuare le minacce, gli studi legali devono disporre di soluzioni che garantiscano la visibilità di rete e sulle quali avere il pieno controllo. La difesa migliore contro gli attacchi avanzati è costituita da prevenzione, rilevamento e risposta tempestiva, vale a dire che bisogna spezzare la catena dell'attacco. Ma come fa una soluzione di sicurezza degli endpoint a ottenere questo risultato?
- In primo luogo, blocca le e-mail dannose e impedisce di accedere a URL sconosciuti pericolosi sbarrando questa via di accesso.
- Se il malintenzionato non viene bloccato e l'utente accede al sito dannoso, lo strumento blocca l'hacker utilizzando una tecnologia anti-exploit, che impedisce l'accesso tramite vulnerabilità sfruttabili, note o sconosciute che siano.
- Nel peggiore degli scenari, ovvero nel caso l'hacker riesca a infiltrare ransomware nel dispositivo, lo strumento impedisce di scaricare il malware, eseguendo un controllo a fronte di firme generiche locali e analizzando il file con tecnologie euristiche, oppure interrogando le banche dati di intelligence collettiva in cloud. Questo argomento è spiegato in modo più approfondito nell'e-book Understanding Cyberattacks (Conoscere gli attacchi informatici).
- Se il ransomware viene scaricato e all'endpoint si effettuano tentativi di eseguirlo, il servizio Zero Trust per le applicazioni identifica il file binario come sconosciuto e ne impedisce l'esecuzione.
- Se l'hacker assume il controllo di un endpoint e impiega tecniche di tipo "living-off-the-land", le tecnologie di rilevamento basate sul contesto bloccano i tentativi di abusare degli strumenti del sistema.
Per gli avvocati che non vogliono essere accusati di negligenza, la protezione dal ransomware è ormai imprescindibile tanto da essere diventata una prassi raccomandata, da attuare mediante una soluzione per la sicurezza degli endpoint avanzata per proteggere il proprio studio, i clienti e la reputazione. Nell'e-book Escape the Ransomware Maze (La via d'uscita dal labirinto del ransomware) si parla di tutti gli aspetti di questo tipo di attacchi, evidenziando cosa è possibile fare per difendere gli studi legali da questa minaccia.