Risorse > Glossario dei termini sulla sicurezza > In cosa consiste la protezione dai ransomware

In cosa consiste la protezione dai ransomware?

In cosa consiste la protezione dai ransomware?

La protezione dai ransomware e' rappresentata da vari strumenti, tecnologie e strategie impiegate per impedire ai criminali informatici di distribuire ed eseguire software dannosi che costringono le aziende a pagare un riscatto, di solito in criptovaluta, per recuperare l'accesso ai propri dati, alle infrastrutture e alla rete.

I criminali informatici sfruttano i ransomware da più di 30 anni per minacciare ed estorcere quantitativi di denaro (anche ingenti) alle aziende; ma è dal 2015 che essi sono diventati una forma di attacco molto utilizzata. A giugno di quell'anno, un ceppo di ransomware detto CryptoWall accumulò oltre 18 milioni di dollari, secondo il Federal Bureau of Investigation (FBI) degli Stati Uniti. I ransomware dominano le news e i titoli delle testate di tutto il mondo, in quanto le strategie di protezione legacy non sono state in grado di far fronte alle tattiche in continua evoluzione dei criminali informatici.

Gli approcci moderni alla protezione dai ransomware oltre a essere altamente efficaci, sono anche facili da distribuire. Un'adeguata protezione dai ransomware inizia con l'adozione di un posizionamento moderno in termini di sicurezza, che sia creato sul cloud, per proteggere utenti, applicazioni e dati sensibili da questi attacchi.

Per tenere il passo con le minacce più comuni di oggi, una corretta strategia di protezione dai ransomware deve includere i seguenti principi e strumenti, per evitare che tali attacchi impattino negativamente sulla rete o sull'infrastruttura:

  • Impiegare una quarantena in sandbox basata sull'intelligenza artificiale, per contenere e ispezionare i contenuti sospetti
  • Ispezionare tutto il traffico criptato SSL/TLS
  • Implementare una protezione sempre attiva, seguendo le connessioni fuori dalla rete

Le soluzioni moderne, unite alla filosofia emergente, necessaria per prevenire gli attacchi ransomware prima che si verifichino, sono oggi ampiamente considerate il modello di protezione più efficace, e continueremo ad esplorarle più approfonditamente qui di seguito.

 

Protezione dai ransomware con la quarantena in sandbox basate sull'IA

Gli attacchi ransomware moderni sono strutturati appositamente per colpire degli obiettivi prefissati; questo significa che per prevenirli è necessario disporre della capacità di rilevare e sventare minacce mai viste prima e 0-day, prima che possano causare dei danni. Gli approcci obsoleti alla protezione dai ransomware si basano sull'analisi dei malware fuori banda, la quale 'passa' i file sconosciuti all'utente nello stesso momento in cui vengono analizzati. Se il file risulta dannoso tali approcci "passthrough" inoltrano un avviso, ma a quel punto lo stesso file avrà già raggiunto il suo obiettivo, creando un significativo rischio di infezione.

Con una quarantena in sandbox basate sull'IA, integrata in un'architettura proxy nata sul cloud, i file possono essere messi in quarantena e analizzati completamente, prima della consegna, azzerando praticamente il rischio di infezioni da paziente zero. Contrariamente agli approcci legacy passthrough, vi è quindi la certezza che i file sospetti o quelli mai visti prima vengano analizzati e che non raggiungano mai l'ambiente aziendale.

Inoltre, una soluzione nata sul cloud e basata sull'intelligenza artificiale, come Zscaler Cloud Sandbox offre ulteriori vantaggi, tra cui:

  • Controllo completo sulle azioni di quarantena, con una policy granulare definita in base a gruppi, utenti e tipo di contenuto
  • I verdetti in tempo reale sulla sicurezza dei file sconosciuti sono supportati dall'apprendimento automatico e da Zscaler Zero Trust Exchange, la piattaforma di sicurezza creata per il cloud più grande al mondo
  • Download rapido e sicuro dei file, mentre quelli identificati come dannosi vengono contrassegnati per la quarantena

In sostanza, Zscaler Cloud Sandbox previene gli attacchi ransomware, assicurando che qualsiasi file non riconosciuto o dannoso non arrivi mai alla rete. 

 

Proteggersi dai ransomware ispezionando tutto il traffico criptato

Attualmente, fino al 90% di tutto il traffico Internet è criptato. Gli aggressori hanno imparato la lezione e ora stanno sfruttando la crittografia per nascondere i loro attacchi, inclusi i ransomware. Pertanto, per proteggersi completamente dai ransomware è necessario ispezionare tutto il traffico criptato, per ridurre i rischi. Detto questo, l'ispezione SSL completa può essere difficile, se si fa leva su delle tecnologie legacy. Il processo di decrittografia, ispezione e ricrittografia del traffico richiede una capacità di calcolo molto intenso e la maggior parte degli apparecchi di applicazione, come i firewall di nuova generazione, non dispone della potenza di elaborazione necessaria per rispondere a tale esigenza, senza impattare drasticamente sulle prestazioni. Inoltre, indipendentemente che si tratti di un'apparecchio di applicazione o di una VM nel cloud, entrambe queste soluzioni subiscono un impatto sulle prestazioni durante l'ispezione del traffico SSL.

Pertanto, qual è la soluzione in grado di stare al passo con le esigenze dell'ispezione SSL/TLS completa?

Un'architettura proxy nata sul cloud, come quella di Zscaler, consente alle organizzazioni di eseguire un'ispezione SSL completa su larga scala, senza influire sulle prestazioni e senza la necessità di espandere la capacità di elaborazione di costosi apparecchi di applicazione. Utilizzando un cloud globale, distribuito su più di 150 data center in sei continenti, il traffico SSL può essere ispezionato con la massima attenzione, alla ricerca di minacce ransomware nascoste, senza alcun calo delle prestazioni, anche se la larghezza di banda dell'utente dovesse aumentare drasticamente. 

Tutto questo si combina per eliminare eventuali lacune della sicurezza causate dalla difficoltà di analizzare i ransomware nascosti nel traffico criptato.

 

Proteggersi dai ransomware seguendo le connessioni fuori dalla rete

La sicurezza sempre attiva è un'altra sfida con cui le aziende si devono confrontare, quando si tratta di ransomware. Secondo gli standard odierni, la sicurezza sempre attiva si traduce nell'estendere le policy di sicurezza aziendali per preservare la sicurezza della rete anche quando gli utenti abbandonano la VPN, utilizzano dispositivi personali e si connettono tramite reti Wi-Fi domestiche o pubbliche. Le aziende che si affidano ad approcci legacy, vincolati ai data center e ai gateway regionali, non sono in grado di far sì che le loro policy di sicurezza seguano gli utenti fuori dalla rete, il che consente agli aggressori di distribuire ransomware più facilmente dato che sono in grado di individuare coloro che operano al di fuori dei controlli di sicurezza.

Fortunatamente, Zscaler è in grado di fornire agli utenti le prime due forme di strategia per proteggersi dai ransomware, menzionate in precedenza (quarantena in sandbox basata sull'intelligenza artificiale e ispezione SSL completa), indipendentemente dalla posizione e dal dispositivo utilizzato. Tutte le connessioni, su qualsiasi rete, ricevono una protezione identica, al fine di individuare e contrastare le minacce conosciute e non, preservando l'organizzazione dalle infezioni ransomware da paziente zero. 

Questo approccio alla prevenzione dai ransomware inizia con la protezione delle connessioni degli utenti tramite Zscaler Zero Trust Exchange. Agli utenti fuori dalla rete basta aggiungere in tutta semplicità Zscaler Client Connector, il nostro agile agente di endpoint, sui propri laptop o dispositivi mobili, per ottenere la stessa sicurezza, applicazione delle policy e gli stessi controlli di accesso come se operassero dalla sede centrale.

 

Rafforza la tua strategia di protezione dai ransomware oggi stesso

Come mostrano le ricerche e i titoli delle testate, i ransomware sono una minaccia sempre più costante. Zscaler ha già aiutato

migliaia di clienti impedendo ai ransomware e agli innumerevoli altri attacchi alla sicurezza di raggiungere le loro reti, grazie a una scalabilità senza pari e un'esperienza utente di livello superiore.

Di seguito, sono disponibili ulteriori risorse per proteggersi dai ransomware, da considerare come parte della propria strategia di sicurezza generale: