La sicurezza informatica è un argomento caldo nel settore IT, poiché il settore IT è uno dei settori più frequentemente presi di mira da hacker di malware e ransomware. Le aziende IT archiviano e gestiscono un'abbondanza di dati sensibili e preziosi appartenenti a terze parti, governo, assistenza sanitaria e entità legali solo per citarne alcuni, rendendoli un obiettivo primario.
Le preoccupazioni per la sicurezza, la protezione e la prevenzione delle tecnologie dell'informazione sono di vasta portata. Le questioni di sicurezza elettronica sono una preoccupazione primaria per le organizzazioni alimentate da sistemi informativi. Le vulnerabilità di ransomware, malware, rete e file sono oggi significative, poiché i recenti eventi di hacking hanno intensificato la consapevolezza pubblica delle conseguenze catastrofiche che possono verificarsi a seguito di violazioni impreviste della sicurezza.
Informazioni sul software criptovirologico
Il software criptovirologico, come malware, virus e ransomware, in genere infetta l'infrastruttura di un utente in tre modi. Il malware potrebbe essere inserito in modo dannoso tramite USB o supporti esterni, infettato tramite posta indesiderata o allegati falsi, oppure potrebbe essere diffuso utilizzando software exploit come Eternal Blue. Il metodo di sfruttamento comunemente utilizzato è noto come HeapSpraying:iniettando shellcode in sistemi vulnerabili, ciò consente lo sfruttamento della macchina in questione.
I recenti attacchi ransomware di alto profilo come gli attacchi WannaCry, NotPetya, WYSIWYE, Cryptowall e Mirai sottolineano l'importanza di investire nella protezione della sicurezza informatica. Gli attacchi mirati possono diffondersi attraverso una rete come un incendio e possono potenzialmente causare danni per centinaia di migliaia di dollari; le organizzazioni disperate a volte scelgono di pagare il riscatto agli hacker per ottenere le chiavi per sbloccare i loro file business-critical.
Aggiornamento dei tuoi sistemi informativi
Se i suoi sistemi informativi non vengono mantenuti aggiornati, malware o ransomware potrebbero potenzialmente paralizzare un'azienda. I gruppi di hacker prendono di mira i punti deboli dei sistemi operativi e del codice delle applicazioni di sistema cercando le vulnerabilità che consentono inavvertitamente l'esecuzione di codice dannoso. Una volta che il codice dannoso viene iniettato nel sistema operativo host, gli hacker potrebbero potenzialmente sfruttare il sistema compromesso.
Gli esperti di sicurezza monitorano costantemente le ultime tendenze di vulnerabilità della sicurezza; i fornitori di software hanno team di sicurezza dedicati che di solito sono molto rapidi nel reagire a qualsiasi potenziale punto debole riscontrato nel loro codice. Patch, aggiornamenti e correzioni del firmware vengono regolarmente rilasciati per combattere qualsiasi potenziale vulnerabilità del sistema identificata. I problemi tendono a sorgere solo quando l'utente finale non agisce per proteggere il proprio sistema.
La maggior parte dei sistemi operativi per utenti domestici come Windows 10 e Apple Macintosh sono configurati immediatamente per l'aggiornamento automatico tramite Internet a intervalli prestabiliti durante il mese. Tuttavia, i sistemi IT aziendali sono generalmente gestiti da un server di sicurezza centrale che richiede che un amministratore agisca, approvi e distribuisca gli aggiornamenti di sicurezza. Dopo questo processo, le patch sono programmate per il rilascio nell'infrastruttura dell'organizzazione.
Gli strumenti di aggiornamento, come Microsoft Windows Server Update Services (WSUS) e System Center Configuration Manager (SCCM), possono essere utilizzati dagli amministratori di sistema per eseguire il push degli aggiornamenti della sicurezza su server, laptop client e terminali. Tuttavia, anche con tali servizi, molte organizzazioni non riescono a tenere il passo con un programma regolare di patch.
Cosa può succedere se gli aggiornamenti dell'infrastruttura non sono aggiornati
Ci sono diversi motivi per cui ciò potrebbe accadere, come capacità tecniche inadeguate o conoscenza del team su come aggiornare professionalmente l'infrastruttura informatica di un'organizzazione. Potrebbe essere dovuto a un approccio gestionale del tipo "se non è rotto, non ripararlo", con conseguente errore nell'applicazione proattiva delle patch o nell'implementazione delle misure di sicurezza fino a quando non si verifica un problema. Altre volte, potrebbero esserci timori che gli aggiornamenti di sicurezza interrompano le applicazioni software proprietarie.
Questi problemi possono giocare nelle mani dei gruppi di hacker perché potrebbero significare che un numero significativo di sistemi vulnerabili all'interno dell'organizzazione è sfruttabile. Tutti i recenti principali attacchi di malware e ransomware hanno seguito uno schema simile:il malware si diffonde su un sistema tramite Internet e crittografa i file di un utente infetto. Quindi il malware visualizzerà una richiesta di pagamento in Bitcoin per sbloccare i dati dell'utente.
Utilizzando il ransomware WannaCry come esempio specifico, ha preso di mira un exploit nel protocollo di condivisione di rete Samba del sistema operativo Windows Server. Ciò ha consentito agli hacker di copiare un file di exploit sul disco di sistema dell'utente infetto, dove il file sarebbe rimasto inattivo fino a quando non fosse stato attivato da un trigger inviato su Internet. Dopo l'attivazione, il malware procederebbe a crittografare tutti i file dell'utente e rendere inutilizzabile il computer. Verrebbe quindi visualizzato un pop-up sullo schermo dell'utente che richiede il pagamento.
Microsoft era a conoscenza di questo sfruttamento mesi prima che l'epidemia di WannaCry fosse rilasciata a livello globale. I team di sicurezza dei prodotti Microsoft hanno prontamente corretto l'exploit e pubblicato un bollettino sulla sicurezza in cui esortavano gli utenti ad aggiornare immediatamente. Molti utenti, aziende e organizzazioni globali non hanno agito in base a queste informazioni, il che li ha resi vulnerabili agli attacchi.
Fortunatamente, quando WannaCry è stato rilasciato a maggio 2017, molte organizzazioni che avevano già investito in un prodotto antivirus (AV) aggiornato sono state salvate; gli agenti AV hanno identificato i file di firma del malware e hanno messo in quarantena rapidamente i file WannaCrypt molto prima che il codice dannoso potesse essere eseguito.
Tuttavia, gli utenti che non avevano patchato il sistema operativo o non avevano installato un prodotto antivirus, o quelli il cui antivirus non era aggiornato, sono stati infettati a frotte su scala globale dal ransomware WannaCry. Ancora oggi WannaCry si sta diffondendo su Internet; alcune delle vittime di più alto profilo includono Boeing, il servizio sanitario nazionale britannico (NHS) e le comunicazioni di Telefonica,
Come accennato in precedenza, molte organizzazioni hanno avuto la fortuna di evitare gli attacchi ransomware grazie alla moderna suite antivirus. Ma cos'altro si può fare per proteggersi da queste vulnerabilità ed exploit? Abbiamo ideato un piano per quelle che consideriamo essere alcune delle migliori pratiche di sicurezza informatica che possono essere utilizzate per aiutarti ad affrontare la prossima ondata di minacce.
Il tuo piano di sicurezza informatica
Innanzitutto, è importante assicurarsi di disporre di una strategia di backup moderna e testata di frequente. I backup sono il piano di emergenza per preservare tutti i tuoi dati importanti, quindi se dovesse accadere il peggio, hai la possibilità di ripristinare i tuoi sistemi dai backup. Avere una copia di backup legittima e funzionale dei tuoi dati è essenziale. I dati possono essere replicati in una posizione alternativa per una maggiore protezione e molti fornitori di servizi gestiti possono offrire servizi di protezione dei dati garantiti.
Successivamente, ti consigliamo di creare un programma strutturato e regolare di patch per tutta la tua infrastruttura IT. Ciò include tutte le risorse di computer basate su Windows, Linux e VMware, nonché il microcodice delle piattaforme hardware per l'archiviazione, il networking e le comunicazioni. Molte aziende scelgono di delegare questo a un piccolo gruppo di specialisti che gestiscono i prodotti dei servizi di aggiornamento, come WSUS e SCCM. Queste piattaforme gestite centralmente possono essere configurate per inviare tutti gli aggiornamenti in modo controllato e pianificato.
Sarà comunque necessaria una ragionevole quantità di lavoro manuale, ma la maggior parte degli aggiornamenti può essere programmata automaticamente. Vale la pena considerare che alcuni dei sistemi più sensibili, come i server di database primari, i controller di dominio di Active Directory aziendali o i server host di backup dovrebbero essere aggiornati manualmente e potresti anche prendere in considerazione l'idea di scattare uno snapshot delle tue macchine virtuali e dei tuoi sistemi di archiviazione come opzione di rollback, soprattutto se i tuoi sistemi non sono stati aggiornati per un periodo di tempo significativo.
Una delle difese principali contro tutte le forme di malware è l'istruzione e la formazione dei dipendenti. I concetti di sicurezza e la conoscenza delle ultime tendenze delle minacce dovrebbero essere offerti in corsi di formazione obbligatori da tutte le organizzazioni. Comunicare cosa sono ransomware, malware, virus, phishing e spoofing può illuminare i dipendenti sui pericoli di queste minacce, che a loro volta possono aiutare a rafforzare un mantra di consapevolezza della sicurezza in tutta l'azienda.
Un'altra difesa fondamentale è investire in servizi tecnici e dispositivi hardware progettati per intercettare le minacce alla sicurezza informatica alla fonte. Prodotti come un sistema di protezione dalle intrusioni (IPS) possono scansionare il traffico di rete e segnalare problemi sospetti. Abbiamo già discusso dell'importanza dei prodotti antivirus, ma affidare queste responsabilità a un fornitore di servizi di gestione può alleviare il problema di garantire che tutti i product manager e gli agenti siano aggiornati e conformi.
Informazioni su Atlantic.Net
Hai bisogno di proteggere l'ambiente di hosting e l'infrastruttura IT della tua organizzazione? I professionisti dei servizi gestiti di Atlantic.Net possono assistere nella configurazione di servizi di backup, soluzioni di sicurezza e altro ancora. Contatta Atlantic.Net oggi per ulteriori informazioni su come i nostri esperti possono aiutarti.