Rilevare quando gli attacchi Ransomware si spostano nel cloud
Vectra ha analizzato profili di rischio e capacità di reazione nei settori Sanità, Manifatturiero, Servizi Finanziari e Scuola - di Massimiliano Galvagna, Country Manager Italia di Vectra AI
La minaccia è attuale, qualsiasi sia il settore o il Paese di provenienza. Con circa 65mila episodi previsti nel 2021 soltanto negli Stati Uniti, i cybercriminali hanno dato prova di riuscire a sferrare attacchi ransomware a ogni tipo di organizzazione per estorcere denaro o dati preziosi. Un numero crescente di imprese, in Italia e all’estero, si è trovato nella scomoda posizione di dover decidere se pagare il riscatto o dire addio ai propri dati. E spesso è solo questione di tempo prima che l’attacco si ripeta.
Come proteggersi, dunque, da questo tipo di minacce? Vectra AI, società tra i leader in ambito threat detection and response, ritiene che affrontare i ransomware richieda un nuovo modo di pensare. Questa tipologia di attacchi non può infatti essere scongiurata con le attuali strategie di sicurezza già adottate dalle imprese. È possibile, però, rilevare eventuali movimenti fuori dall’ordinario e permettere al team incaricato della sicurezza di contenere eventi malevoli. I sistemi di detection si rivelano fondamentali per tenere il team aggiornato su ogni movimento o comportamento sospetto che si verifichi all’interno del perimetro aziendale.
Il report Vision and Visibility: Top 10 Threat Detections for Microsoft Azure AD and Office 365 analizza, differenziandoli per ciascun settore, i maggiori profili di rischio per la cloud security delle imprese e le possibilità di reazione, mediante detection riconducibili al comportamento dell’attaccante, come nel caso del ransomware o degli attacchi alla supply chain. Per proteggere il perimetro, è fondamentale essere in grado di raccogliere i dati giusti e avere un sistema di intelligenza artificiale focalizzato sulle possibili minacce, che consenta di verificare i dettagli degli attacchi e di concentrarsi sulle violazioni più urgenti da bloccare.
Sanità
Come ha dimostrato di recente l’attacco che ha paralizzato i sistemi informatici della Regione Lazio, mettendo fuori uso il portale che gestisce le prenotazioni dei vaccini anti covid, le minacce dirette alle strutture sanitarie non solo possono mettere a rischio dati rilevanti, ma possono anche interferire con la qualità dei servizi di prevenzione e cura erogati alle persone.
È frequente che la rilevazione di attacchi abbia a oggetto Office 365, particolarmente attrattivo per i criminali informatici perché anche con un accesso base senza particolari privilegi si rivela un formidabile canale di ingresso nel sistema.
Manifatturiero
Votato alla massima operatività e rapidità, il settore manifatturiero è l’obiettivo prediletto dei ransomware. L’arresto repentino della produzione induce, infatti, le imprese a trovare nel pagamento del riscatto una soluzione veloce per limitare le perdite e riprendere le attività. Le industrie manifatturiere, inoltre, si stanno spostando velocemente sul cloud per garantirsi rapidità, scalabilità e maggiore connettività, aggiungendo un altro livello di possibile attacco.
In questo settore, due terzi degli attacchi analizzati da Vectra sono legati alla condivisione di attività su Office 365. Ogni condivisione sospetta dovrebbe essere analizzata dagli addetti alla sicurezza informatica per verificarne l’autorizzazione ed evitare progressioni negli attacchi.
Servizi Finanziari
Il Finance è uno dei settori più regolamentati, ma il passaggio al cloud sta offrendo nuove prospettive di attacco. In particolare, Office 365 e Azure AD sono gli ambienti su cui i clienti di Vectra hanno riscontrato le maggiori violazioni.
Scuola
La pandemia ha spinto il mondo dell’istruzione a trovare soluzioni nuove per mantenere produttivi studenti e insegnanti. Anche in questo settore si è fatto ampio affidamento sul cloud e la grande quantità di mail e attività condivise ha aumentato la difficoltà nel rilevamento delle minacce.
È ora di iniziare a capire il comportamento dei vostri account.
Qualunque sia il settore di appartenenza è fondamentale sviluppare una visione chiara di quali siano i comportamenti autorizzati e aumentare la visibilità per monitorare e misurare le deviazioni da questo standard. Senza questi due accorgimenti, individuare le minacce diventa una sfida complessa, perché non è possibile distinguere con certezza azioni autorizzate e movimenti messi in atto dagli attaccanti.
Per ulteriori informazioni www.vectra.ai