Risorse > Glossario dei termini sulla sicurezza > In cosa consiste la protezione dai ransomware

In cosa consiste la protezione dai ransomware?

In cosa consiste la protezione dai ransomware?

La protezione dai ransomware consiste nei vari strumenti, nelle tecnologie e nelle strategie che vengono impiegate per impedire ai criminali informatici di distribuire ed eseguire software dannosi che costringono le aziende a pagare un riscatto, di solito in criptovalute, per recuperare l'accesso ai propri dati, alle infrastrutture e alla rete.

I criminali informatici usano i ransomware da più di 30 anni per minacciare ed estorcere denaro alle aziende, ma sono diventati estremamente popolari nel 2015. A giugno di quell'anno, un ceppo di ransomware chiamato CryptoWall aveva accumulato oltre 18 milioni di dollari, secondo il Federal Bureau of Investigation (FBI) degli Stati Uniti. I ransomware continuano a dominare le testate giornalistiche di tutto il mondo, perché le strategie di protezione legacy non sono in grado di far fronte alle tattiche in continua evoluzione dei criminali informatici.

I moderni strumenti anti-ransomware sono molto efficaci e facili da implementare. Un'adeguata protezione dai ransomware inizia con l'adozione di un profilo di sicurezza moderno e nativo del cloud, per proteggere utenti, applicazioni e dati sensibili da questi attacchi.

 

Per stare al passo con l'evoluzione delle minacce e proteggere la rete e l'infrastruttura da questi attacchi, un'efficace strategia anti-ransomware deve includere principi e strumenti per:

  • Ispezionare e mettere in quarantena i contenuti sospetti con una sandbox basata sull'intelligenza artificiale
  • Ispezionare tutto il traffico criptato SSL/TLS
  • Implementare una protezione sempre attiva, seguendo le connessioni fuori dalla rete

Secondo gli esperti di sicurezza informatica di oggi, la strategia di protezione più efficace consiste nell'abbinare le soluzioni moderne alla filosofia emergente di prevenzione degli attacchi ransomware prima ancora che si verifichino. A breve daremo un'occhiata a questo modello, ma prima parleremo brevemente dei ransomware in generale.

 

Come funzionano gli attacchi ransomware?

Di solito i ransomware vengono introdotti nel sistema in modo analogo a molti altri tipi di malware: quando un utente scarica un allegato e-mail contenente un malware, interagisce inconsapevolmente con un link dannoso o visita un sito web compromesso. Una volta che è sul sistema, il ransomware generalmente cripta i file o i dati importanti, oppure lo blocca completamente. Dopodiché, l'autore dell'attacco richiede un pagamento, spesso in Bitcoin o in altre criptovalute, in cambio di una chiave che sblocchi il sistema o i file criptati. Questo è il concetto alla base, ma esistono diversi tipi di ransomware che hanno scopi diversi in base agli obiettivi dell'aggressore.

 

Tipi di ransomware

1) Crypto ransomware

Forse il tipo di ransomware più noto, questa variante cripta i file e i dati di un sistema, rendendoli inutilizzabili senza la chiave di decriptazione dell'aggressore. Questo tipo e il Locker hanno particolare successo quando prendono di mira le aziende che non possono permettersi periodi di inattività.

 

2) Locker ransomware

Un lockerware è simile a un crypto ransomware, ma, invece di criptare i file, blocca gli utenti, i quali non possono più accedere all'intero sistema, e di solito mostra le richieste di riscatto su una schermata di blocco (lock screen).

 

3) Leakware

Chiamato anche doxware, questa variante colpisce individui o organizzazioni e richiede un riscatto con la minaccia di divulgare pubblicamente i dati sensibili online, o talvolta di venderli a terzi. Il malware viene comunemente distribuito alle reti aziendali tramite il phishing via e-mail.

 

4) Scareware

Lo scareware fa leva sulla paura, l'incertezza e il dubbio: gli aggressori affermano in modo fraudolento di aver individuato un problema, come ad esempio un malware, sul dispositivo di un utente, quindi richiedono un pagamento per risolvere questo problema fittizio.

 

5) Ransomware "as a service"

I provider RaaS accettano pagamenti da altri criminali informatici in cambio di una licenza per l'utilizzo di ransomware predefiniti. L'aggressore, che è il cliente di questo servizio, di solito non deve fare molto, perché il software esegue automaticamente un attacco ransomware completo.

 

Target tipici degli attacchi ransomware

Di qualsiasi tipo essi siano, l'efficacia dei ransomware si basa in parte sulla loro capacità di aggirare le forme comuni di protezione dei dati, come l'antivirus di base e l'autenticazione degli utenti. Inoltre, alcune organizzazioni sono più vulnerabili ai ransomware: quelle che non possono rischiare di incorrere in periodi di inattività a causa di servizi critici o costi, quelle con importanti archivi contenenti dati sensibili e/o quelle che possono permettersi di pagare. Di conseguenza, alcuni dei settori più colpiti da questi attacchi sono quelli della sanità, delle tecnologie dell'informazione, dell'istruzione e della produzione.

 

Soluzioni per proteggersi dai ransomware

Vi è una vasta gamma di soluzioni di sicurezza che fornisce strumenti di rilevamento e risoluzione dei ransomware. Alcune di queste sono soluzioni dedicate che si concentrano su funzionalità specifiche, mentre altre fanno parte di suite più ampie di protezione dalle minacce.

Zscaler offre una protezione dai ransomware nativa del cloud per proteggere le aziende in tre modi fondamentali:

  • con una sandbox che utilizza algoritmi di intelligenza artificiale per mettere in quarantena e ispezionare contenuti sospetti;
  • ispezionando tutto il traffico criptato SSL/TLS;
  • con una protezione sempre attiva che segue le connessioni fuori dalla rete.

Esaminiamo ciascuno di questi punti in modo più dettagliato.

 

Quarantena in sandbox basata su intelligenza artificiale

Le varianti di ransomware di oggi sono create appositamente per gli obiettivi che gli aggressori vogliono raggiungere, ed è per questo che, per essere efficaci, le misure di mitigazione devono contrastare i nuovi ceppi e le minacce 0-day prima che possano causare danni. Gli approcci obsoleti alla protezione dai ransomware si basano sull'analisi dei malware fuori banda, che "passa" i file sconosciuti all'utente nello stesso momento in cui vengono analizzati. Questi modelli "passthrough" inviano avvisi se trovano file dannosi, ma a quel punto il file avrà già raggiunto il suo obiettivo, esponendo l'azienda a un notevole rischio di infezione.

Con una quarantena in sandbox basata su AI e integrata in un'architettura proxy nativa del cloud, i file possono essere messi in quarantena e analizzati completamente prima di essere consegnati, azzerando così il rischio di infezioni da paziente zero. A differenza degli approcci passthrough tradizionali, i file sospetti o sconosciuti saranno trattenuti per l'analisi e non raggiungeranno l'ambiente.

Una soluzione nativa del cloud e basata sull'intelligenza artificiale, come Zscaler Cloud Sandbox, offre ulteriori vantaggi oltre a quelli delle soluzioni anti-malware legacy, tra cui:

  • Controllo completo sulle azioni di quarantena, con una policy granulare definita in base a gruppi, utenti e tipo di contenuto
  • Valutazioni in tempo reale sulla sicurezza dei file sconosciuti, supportati da machine learning e da Zero Trust Exchange di Zscaler, la piattaforma di sicurezza più grande al mondo creata per il cloud
  • Download dei file rapido e sicuro, dove ogni file considerato potenzialmente dannoso viene contrassegnato per la quarantena

Cloud Sandbox di Zscaler previene gli attacchi ransomware assicurando che i file non riconosciuti o dannosi non vengano mai collocati sulla rete.

 

Ispezione di tutto il traffico criptato

Oggi il traffico Internet criptato costituisce fino al 90% del totale, e gli aggressori approfittano di questa situazione per nascondere i loro attacchi, inclusi i ransomware. Quindi, per ridurre i rischi, la protezione completa dai ransomware deve prevedere l'ispezione completa di tutto il traffico. Tuttavia, l'ispezione SSL completa può rivelarsi complessa con le tecnologie legacy. Il traffico viene decriptato, ispezionato e criptato nuovamente; questa serie di operazioni richiede un calcolo intensivo, e la maggior parte delle appliance (come i firewall di nuova generazione) non dispone della potenza di calcolo necessaria per non rallentare le prestazioni. Inoltre, non importa che si tratti di un dispositivo o di una VM nel cloud: in entrambi i casi, l'ispezione SSL influisce negativamente sulle prestazioni.

Pertanto, qual è la soluzione in grado di rispondere alle esigenze dell'ispezione SSL/TLS completa?

Un'architettura proxy nativa del cloud, come quella di Zscaler, consente alle aziende di eseguire un'ispezione SSL completa su larga scala, senza influire sulle prestazioni e senza la necessità di espandere la capacità di elaborazione di costose appliance. Utilizzando un cloud globale, distribuito su più di 150 data center in sei continenti, il traffico SSL può essere ispezionato con la massima attenzione, per ricercare minacce ransomware nascoste senza alcun calo delle prestazioni, anche nel caso in cui la larghezza di banda dell'utente dovesse aumentare drasticamente.

Tutto questo si combina per eliminare eventuali lacune della sicurezza causate dalla difficoltà di analizzare i ransomware nascosti nel traffico criptato.

 

Le connessioni vengono seguite fuori dalla rete

Molte aziende hanno difficoltà a mantenere una sicurezza sempre attiva quando si tratta di ransomware. Secondo gli standard di oggi, la sicurezza sempre attiva si traduce nell'estendere le policy di sicurezza aziendali per preservare la sicurezza della rete anche quando gli utenti lasciano la VPN, utilizzano dispositivi personali e si connettono tramite reti Wi-Fi domestiche o pubbliche. Le aziende che si affidano ad approcci legacy, vincolati ai data center e ai gateway regionali, non sono in grado di far sì che le loro policy di sicurezza seguano gli utenti fuori dalla rete, e questo consente agli aggressori di distribuire ransomware più facilmente, dato che sono in grado di individuare coloro che operano al di fuori dei controlli di sicurezza.

Zscaler è in grado di fornire le prime due strategie che abbiamo citato, ossia quarantena in sandbox basata sull'intelligenza artificiale e ispezione SSL completa, indipendentemente dalla posizione e dal dispositivo utilizzato. Tutte le connessioni, su qualsiasi rete, ricevono una protezione identica, al fine di individuare e contrastare le minacce conosciute e non, proteggendo l'azienda dalle infezioni ransomware da paziente zero.

Questo tipo di prevenzione inizia con la protezione delle connessioni degli utenti tramite Zero Trust Exchange di Zscaler. Gli utenti al di fuori della rete devono solo aggiungere sui propri laptop o dispositivi mobili Zscaler Client Connector, il nostro agente di endpoint (che supporta Android, iOS, macOS e Windows), per ottenere la stessa sicurezza, applicazione delle policy e gli stessi controlli di accesso di cui usufruirebbero nella sede centrale.

Leggi la documentazione su Zscaler Client Connector.

 

Rafforza la tua strategia di protezione dai ransomware oggi stesso

Come mostrano le ricerche e i titoli delle testate, i ransomware sono una minaccia costante. Zscaler, tuttavia, ha già aiutato migliaia di clienti a evitare che ransomware e innumerevoli altri attacchi raggiungessero le loro reti, offrendo una scalabilità impareggiabile e un'esperienza utente d'eccellenza.

Ecco alcune ulteriori risorse da prendere in considerazione per affinare la propria strategia di sicurezza generale: