Lan Service e l’intelligenza artificiale per fermare i ransomware. Il ransomware costituisce il nemico pubblico numero uno per le aziende, soprattutto grazie all’estensione della superficie di sicurezza che avviene durante i processi di trasformazione digitale che stanno affrontando.
Per prevenire e reagire nella maniera più efficace agli attacchi esistono varie piattaforme dotate di strumenti di monitoraggio che si avvalgono di funzioni di intelligenza artificiale per identificare nel miglior modo possibile le anomalie sintomatiche di una minaccia ransomware, con la possibilità di automatizzare le attività di cybersecurity ed incident response.
Affrontiamo una panoramica del fenomeno, in attesa di saperne di più nel webinar gratuito “L’intelligenza artificiale per fermare i ransomware” che Lan Service e Sentinel One hanno in programma per il 30 novembre per aiutare le aziende ad essere più sicure nella loro avventura digitale.
[Iscriviti e segui il webinar dedicato all’utilizzo dei motori comportamentali di Intelligenza Artificiale nella Cybersecurity. Scopri come l’MSP Lan Service dà servizio ai suoi clienti e come l’agent di SentinelOne opera sugli endpoint della tua azienda. Segui la demo online (Ramsonware Protecion & Malware Rollback) e approfondisci ogni aspetto tecnico e ogni dubbio nella sessione finale di domande e risposte.]
I rischi legati agli attacchi ransomware
Il ransomware rappresenta ormai una vera e propria industria, capace di muovere trilioni di dollari ogni anno, considerando tutta l’attività che ruota intorno all’estorsione dei cybercriminali ai danni delle imprese, del fatturato delle aziende che, a vario titolo, propongono soluzioni di cybersicurezza. A questo contesto si aggiungono le attività di consulenza e l’operato di figure altamente specialistiche come gli ethical hacker, sempre più richieste per combattere colpo su colpo l’attività del crimine informatico.
La minaccia ransomware si concretizza in vari modi, che portano i cybercriminali a superare le difese di sicurezza aziendali, sfruttando le vulnerabilità della rete e delle applicazioni, o acquisendo dagli utenti legittimi delle credenziali di accesso valide per iniziare una serie di movimenti laterali capaci di condurre fino al cuore dell’azienda, costituito dai sistemi che conservano i dati critici.
I dati più importanti di cui l’azienda dispone (informazioni su clienti, segreti industriali, ecc.) vengono generalmente esfiltrati prima di condurre l’attacco di natura violenta, in grado di bloccare i sistemi e paralizzare l’operatività aziendale. È ciò che viene definito attacco a doppia estorsione.
Oltre alla richiesta di un riscatto per decrittografare i sistemi bloccati, che potrebbero essere comunque ripristinati, i criminali inchiodano la vittima con la minaccia di divulgare pubblicamente o vendere sul dark web le informazioni cruciali per la sopravvivenza dell’azienda stessa.
Gli attacchi ransomware, a seconda della gravità della violazione di dati, comportano quindi un grave danno sia dal punto di vista economico che da quello reputazionale, senza considerare le conseguenze delle possibili rivalse di chi ha subito un danno e le sanzioni amministrative dovute alla violazione della normativa sulla conservazione e il trattamento dei dati (GDPR).
Un attacco ransomware può pertanto mettere a serio rischio la sopravvivenza stessa delle aziende, che devono diventare sempre più consapevoli del fatto che solo una strategia realmente proattiva può consentire all’organizzazione di prevenire e mitigare con successo gli eventuali attacchi, prima che sia troppo tardi.
La risposta del monitoraggio attivo e dell’intelligenza artificiale
I sistemi di protezione tradizionali non sono più all’altezza di proteggere i sistemi aziendali nei confronti di una minaccia mutevole e sempre più insidiosa dal punto di vista tecnologico e comportamentale. La rapidità con cui gli attaccanti variano le proprie strategie necessita contromosse altrettanto dinamiche e capaci di adattarsi ed anticipare l’esito nefasto delle possibili intrusioni.
Gli strumenti per comprendere se i sistemi aziendali possano o meno essere oggetto di attacchi derivanti da vulnerabilità di rete, applicazioni e del cosiddetto fattore umano risiedono in un sistema di monitoraggio, come i SIEM (Security Information and Event Management), capace di unire l’operatività di un SIM (Security Information Management) e di un SEM (Security Event Management), e gli XDR (Extended Dection and Response).
I SIEM e gli XDR di più recente generazione consentono di acquisire e analizzare una grande varietà di dati provenienti dai sistemi IT:
- Dispositivi di rete: router, switch, access point wireless, WAN, DNS server, ecc.
- Dispositivi di sicurezza: VPN, firewall, intrusion detection system, intrusion prevention system, antivirus e antimalware;
- Altri dispositivi informatici: device desktop e mobile, authentication server e database
- Applicazioni cloud e intranet
Tali sistemi si articolano in piattaforme software in grado di utilizzare tecniche di intelligenza artificiale e machine learning per correlare la grande quantità e varietà di dati di cui dispongono, ai fini di rilevare qualsiasi possibile anomalia comportamentale.
Il rilevamento di un’anomalia consente di generare allarmi e procedure di incident response per analizzare nel dettaglio le possibili criticità in termini di sicurezza informatica, automatizzando alcune procedure e informando in ogni caso i team di sicurezza di qualsiasi possibile fonte di rischio. Le anomalie possono essere riconosciute in vari modi, utilizzando tecniche anche molto differenti tra loro, accomunate da un unico obiettivo.
Se un SIEM / XDR dovesse rilevare un accesso nei confronti di un sistema informativo, ad un orario anomalo, da un device che non avrebbe motivo di accedervi, procede a rilevare e notificare l’anomalia riscontrata, dando il via alle procedure automatiche necessarie per garantire la sicurezza in situazione di emergenza. Il SOC e i responsabili della sicurezza aziendale possono inoltre disporre di un’attività di intelligence in tempo reale per provvedere a tutte le valutazioni ed azioni del caso.
I SIEM e gli XDR dispongono di sistemi di analisi avanzata del comportamento degli utenti e dei device che sfruttano le capacità analitiche del machine learning per rilevare le anomalie comportamentali dei dipendenti e dei dispositivi autenticati, tenendo conto delle condizioni previste nel pieno rispetto delle policy di sicurezza e protezione dei dati.
Ai fini di implementare in maniera consapevole un sistema di monitoraggio il SOC e i responsabili della sicurezza aziendale devono tenere in considerazione alcune fasi, e prendere decisioni in merito a:
- Cosa si intende monitorare
- Connettere le fonti di dati
- Osservare log ed eventi
- Impostare ed eseguire le correlazioni dei dati acquisiti
- Monitorare e gestire gli alert di sistema
I sistemi più evoluti, come la piattaforma di SentinelOne, sono in grado di restituire i report in tempo reale dei sistemi monitorati, evidenziando le possibili criticità, oltre ad offrire traccia degli interventi correttivi. Una approfondita attività di intelligence come quella citata consente alle aziende di adottare una strategia di miglioramento continuo finalizzata ad ottimizzare progressivamente la gestione dei rischi e i costi da essa derivanti, con l’obiettivo di mantenere i massimi livelli di performance nella protezione dei sistemi e dei dati.
La proposta di Lan Service e SentinelOne
Per contrastare nella maniera più efficace la minaccia legata al ransomware in azienda, una piattaforma XDR come SentinelOne risulta contemporaneamente in grado di intervenire e neutralizzare gli attacchi. Ciò avviene sia liberandosi del malware in maniera diretta, che monitorando e agendo su tutti gli artefatti causati dall’infezione stessa. La mitigazione degli eventuali attacchi e l’indirizzo delle operazioni di ripristino completa un parco di attività sempre più capillare ed efficiente, rendendo sempre più sicuri i sistemi e i dati, oltre a rendere più complessa l’attività per i cybercriminali, che tenderanno a preferire bersagli più semplici.
L’agente di SentinelOne si basa su tre elementi fondamentali: autonomia, velocità e automazione, ai fini di garantire agli utenti la necessaria continuità operativa. L’agente software di SentinelOne opera in modalità signatureless, senza la necessità di continui aggiornamenti, né di una connessione di rete permanente, disponendo anche di una modalità totalmente offline.
[Iscriviti e segui il webinar dedicato all’utilizzo dei motori comportamentali di Intelligenza Artificiale nella Cybersecurity. Scopri come l’MSP Lan Service dà servizio ai suoi clienti e come l’agent di SentinelOne opera sugli endpoint della tua azienda. Segui la demo online (Ramsonware Protecion & Malware Rollback) e approfondisci ogni aspetto tecnico e ogni dubbio nella sessione finale di domande e risposte.]