Nello scenario attuale delle cyber minacce, anche gli attacchi di tipo ransomware sono in continua evoluzione. La loro complessità richiede l’adozione della threat intelligence per proteggerci da un’ampia gamma di minacce e dai ransomware con un approccio offensive.
Recorded Future ha delineato una roadmap per realizzare un programma di cyber security fondato sull’intelligence. Oltre a fornire una panoramica sull’intelligence per i team di sicurezza e sulle fasi del ciclo di vita dell’intelligence., la società analizza i modi in cui l’intelligence potenzia diverse funzioni di sicurezza critiche e i loro flussi di lavoro, affrontando la gestione e l’implementazione. Compreso l’utilizzo dell’intelligence per valutare i rischi e così giustificare gli investimenti, a partire dalla creazione di un team di intelligence.
Indice degli argomenti
La threat intelligence per mitigare il rischio ransomware
La threat intelligence può svolgere un ruolo cruciale nella protezione dal ransomware, per comprendere, prevenire e mitigare le minacce ransomware, attraverso misure di protezione più efficaci e rispondendo in modo tempestivo agli attacchi. Ma per essere efficace, secondo società di intelligence, “l’intelligence deve integrarsi con le soluzioni e i flussi di lavoro su cui già si fa affidamento e deve essere facile da implementare”.
Riguarda l’insieme delle informazioni che riguardano le minacce informatiche, inclusi i ransomware, che vengono raccolte, analizzate e condivise per aiutare le organizzazioni a comprendere meglio le minacce e ad adottare misure preventive.
Può contribuire a proteggere dal ransomware attraverso l’identificazione delle minacce, il rilevamento precoce, l’analisi delle vulnerabilità, la condivisione delle informazioni e il monitoraggio dell’attività dei ransomware.
La threat intelligence può fornire informazioni dettagliate sui nuovi tipi di ransomware, compresi i loro comportamenti, i vettori di attacco e i metodi di diffusione. Ciò aiuta le organizzazioni a riconoscere le minacce cyber in modo tempestivo e ad adottare misure preventive per mitigarle.
Può inoltre aiutare a individuare le prime segnalazioni di nuovi ransomware o varianti in circolazione, consentendo alle organizzazioni di adottare misure di protezione aggiuntive. Permette anche di aggiornare le loro soluzioni di sicurezza per contrastare le minacce in modo più efficace.
La condivisione tra le organizzazioni tramite piattaforme di scambio di informazioni sulle minacce permette una collaborazione più ampia nella lotta contro i ransomware. Ciò consente alle organizzazioni di apprendere dalle esperienze degli altri e di adottare misure preventive più efficaci.
Infine può includere informazioni sulle attività dei ransomware, come i loro obiettivi, i metodi di richiesta riscatto e i pagamenti effettuati. Questo aiuta le organizzazioni a comprendere meglio le tattiche dei criminali informatici e a sviluppare strategie di difesa più efficaci.
In funzione anti frode
L’intelligence sulle frodi aiuta i difensori nel monitoraggio dell’esposizione del portafoglio di carte in tempo reale, per identificare i punti di acquisto comuni compromessi e monitorare un flusso in tempo reale di domini di eCommerce infetti.
L’obiettivo è quello di identificare e prevenire le frodi con le carte di pagamento prima che si verifichino. L’intelligence sulle superfici di attacco aiuta, inoltre, le organizzazioni a trovare e proteggere i sistemi di shadow IT, i carichi di lavoro nel cloud, i dispositivi mobili, i “domini dimenticati”, i server Web e i dispositivi IoT con indirizzo IP.
Campi di applicazione della threat intelligence
L’intelligence offre un contesto per la valutazione, consentendo ai team operativi di prendere decisioni migliori e più rapide. Riduce al minimo la reattività nella risposta agli incidenti e dà priorità alle vulnerabilità in base al rischio reale per l’organizzazione. La threat intelligence insegna l’importanza di capire tattiche, tecniche e procedure (Tactics, Techniques and Procedures, TTP) degli aggressori. La roadmap di Recorded Future accende un faro sul valore dei modelli di rischio e il modo in cui l’intelligence offre dati concreti sulle probabilità di attacco e sui costi. l’intelligence viene anche impiegata nella valutazione dei partner della catena di approvvigionamento, per ridurre il rischio per le terze parti.
Attacchi ransomware: la prevenzione
Per prevenire efficacemente questo tipo di incidenti, è fondamentale comprenderne le origini, le tattiche in evoluzione e le tendenze emergenti. Infatti occorre prendere decisioni informate per migliorare la postura di sicurezza, implementando misure di sicurezza aggiornate, addestrando il personale per riconoscere le minacce o collaborando con esperti di sicurezza per sviluppare strategie di difesa più robuste.
Comprendere le origini degli attacchi ransomware può infatti aiutare a identificare i gruppi di criminali informatici responsabili e le loro motivazioni. Per esempio, alcune organizzazioni potrebbero essere più vulnerabili a determinati gruppi noti per il targeting di settori specifici. Comprendere le origini può fornire informazioni sulle modalità di attacco preferite e suggerire contromisure appropriate.
I cyber criminali informatici che si occupano di ransomware continuano a sviluppare nuove tattiche per aggirare le difese delle organizzazioni. Comprendere queste tattiche in evoluzione, come l’utilizzo di nuovi vettori di attacco o l’adozione di tecniche di evasione avanzate, consente alle organizzazioni di adattare le loro strategie di sicurezza e di implementare misure preventive aggiornate.
Monitorare le tendenze emergenti nel campo degli attacchi ransomware è cruciale per rimanere al passo con le minacce più recenti. Per esempio, l’aumento delle varianti di ransomware-as-a-service (RaaS) o l’utilizzo di tecniche di doppio estorsione sono tendenze importanti da conoscere per adottare le misure di protezione adeguate.
In sintesi, la threat intelligence fornisce alle organizzazioni informazioni preziose per comprendere, prevenire e mitigare le minacce di ransomware, consentendo loro di adottare misure di protezione più efficaci e di rispondere in modo tempestivo agli attacchi.
Potenziali impatti: la necessità di un approccio olistico
Per valutare i potenziali impatti degli attacchi ransomware e fornire strategie proattive per stare al passo con essi, è necessario tenere conto di un approccio olistico che spazia dal monitoraggio delle minacce alla valutazione del rischio, dall’aggiornamento delle politiche di sicurezza alle esercitazioni di risposta agli incidenti, fino alla collaborazione e condivisione delle informazioni.
È importante mantenere un costante monitoraggio delle minacce di ransomware in evoluzione, utilizzando strumenti di threat intelligence per raccogliere informazioni sulle nuove varianti di ransomware, le tattiche utilizzate dai criminali informatici e gli obiettivi delle loro campagne. Così è possibile identificare le potenziali vulnerabilità e di adottare misure preventive adeguate.
Una completa valutazione del rischio può aiutare a comprendere gli impatti potenziali degli attacchi ransomware sulla propria organizzazione. Dovrebbe dunque identificare dati critici, sistemi e infrastrutture vulnerabili, nonché stimare i danni finanziari e reputazionali derivanti da un attacco. Così è possibile focalizzare le risorse sulla protezione delle aree più critiche e sviluppare strategie di mitigazione adeguate.
Le politiche di sicurezza devono essere regolarmente aggiornate per affrontare le minacce emergenti. Bisogna implementare misure di sicurezza come l’autenticazione multi-fattore, la crittografia dei dati, il backup regolare e la gestione degli accessi privilegiati. È importante anche formare il personale sulle migliori pratiche di sicurezza, dall’identificazione delle mail di phishing al riconoscimento dei segnali di un possibile attacco ransomware.
Formazioni ed altri aspetti
Condurre regolari esercitazioni di risposta agli incidenti permette di prepararsi in modo proattivo agli attacchi ransomware, coinvolgendo le diverse funzioni aziendali e basandole su scenari realistici di attacco ransomware. Identificare le lacune nella risposta agli incidenti migliora i processi di mitigazione e riduce i tempi di ripristino.
La collaborazione con altre organizzazioni e la condivisione delle informazioni sulle minacce possono essere fondamentali per stare al passo con gli attacchi ransomware. Partecipare a comunità di sicurezza, condividere informazioni sulle minacce e lavorare insieme ad altri esperti di sicurezza può fornire una visione più ampia delle tattiche e delle contromisure adottate dai criminali informatici.
Affrontare gli attacchi ransomware richiede un approccio olistico che comprenda la valutazione del rischio, l’aggiornamento delle politiche di sicurezza, l’esercitazione della risposta agli incidenti e la collaborazione con altre organizzazioni. Questo permette di sviluppare strategie proattive per mitigare gli attacchi ransomware e per stare al passo con le minacce in continua evoluzione.
Lo stato dei mercati e le tendenze del ransomware
Le tendenze del ransomware stanno evolvendo continuamente a causa della crescente sofisticazione degli attacchi informatici. Le tendenze più recenti riguardano l’aumento degli attacchi mirati, la doppia estorsione, il Ransomware-as-a-Service (RaaS), gli attacchi contro dispositivi IoT, l’utilizzo di tecniche di evasione avanzate e i pagamenti in criptovalute.
I cyber criminali stanno sempre più mirando alle organizzazioni e alle aziende, in particolare quelle con dati sensibili o critici. Gli attacchi mirati possono essere più efficaci nel generare un riscatto più elevato.
Stanno adottando una strategia di doppia estorsione, in cui non solo cifrano i dati dell’azienda, ma minacciano anche di rilasciarli pubblicamente o di venderli, aumentando così la pressione per il pagamento del riscatto.
La tendenza del Ransomware-as-a-Service consente ai cybercriminali meno esperti di noleggiare o acquistare ransomware e strumenti di attacco da sviluppatori più esperti. Ciò ha portato a un aumento del numero di attacchi ransomware in tutto il mondo.
Con l’aumento del numero di dispositivi Internet of Things (IoT) collegati, i criminali informatici stanno cercando di sfruttare le vulnerabilità di sicurezza di questi dispositivi per diffondere ransomware e ottenere un controllo su reti più ampie.
Per sfuggire ai sistemi di sicurezza tradizionali, i cybercriminali stanno adottando tecniche di evasione avanzate come l’utilizzo di algoritmi di crittografia più potenti, l’uso di malware polimorfici che cambiano la loro firma e il bypass di meccanismi di rilevamento basati su firme.
I criminali informatici preferiscono spesso ricevere i pagamenti del riscatto in criptovalute come Bitcoin, poiché queste transazioni sono difficili da rintracciare e consentono loro di mantenere l’anonimato.
Le tendenze del ransomware sono in continua evoluzione. Gli attaccanti stanno costantemente cercando nuovi modi per aggirare le misure di sicurezza. Pertanto, è fondamentale adottare una solida strategia di sicurezza informatica per proteggere i dati e mitigare i rischi associati al ransomware.
Strategie e metodologie per prevenire il ransomware
Innanzitutto bisogna conoscere l’intelligence della superficie di attacco che offre informazioni critiche sulle reti e sui sistemi accessibili online e sui rischi che comportano.
Le soluzioni e i servizi di intelligence della superficie di attacco possono essere utili ai team di sicurezza, per:
- scoprire tutte le risorse dell’organizzazione esposte a Internet;
- analizzare le risorse esposte per determinare quali hanno maggiori probabilità di avere vulnerabilità o problemi di sicurezza;
- monitorare la superficie d’attacco dell’organizzazione per rilevare nuovi domini e risorse che potrebbero generare dei rischi.
Analisi delle risorse esposte
Una volta scoperte e inventariate le risorse esposte a Internet, una soluzione di intelligence della superficie di attacco può mettere sotto la lente tali risorse, per acquisire informazioni e attribuire un punteggio in tempo reale su quelle che hanno maggiori probabilità di presentare delle vulnerabilità o dei problemi di sicurezza. In questo modo aiutano i team di sicurezza a stabilire facilmente a quali vulnerabilità nelle loro difese dare priorità.
Una soluzione di intelligence della superficie di attacco può anche analizzare i record DNS e i certificati SSL per verificare se rimandano a infrastrutture interne e indirizzi IP di sistemi interni sfruttabili dagli hacker. La threat intelligence scopre configurazioni errate nascoste, vulnerabilità potenziali e difese messe in atto (come i firewall per applicazioni web, WAF). Le soluzioni di intelligence della superficie di attacco non sostituiscono gli scanner di vulnerabilità, ma li complementano.
Il monitoraggio costante della superficie di attacco prevede:
- domini e sottodomini di nuova registrazione associati all’organizzazione e ai suoi marchi;
- nuovi server e sistemi con software ad alto rischio;
- sistemi appartenenti a obiettivi di acquisizione e partner di terze parti con configurazioni errate e violazioni delle policy.
L’intelligence della superficie di attacco permette ai team di sicurezza di lavorare con un inventario dinamico delle risorse esposte nel web, invece che con elenchi statici e obsoleti di indirizzi IP.
Chi può trarre beneficio dall’intelligence della superficie di attacco
L’intelligence della superficie di attacco può risultare utile a diversi gruppi all’interno e all’esterno del team IT:
- i team di gestione delle vulnerabilità determinano le priorità delle patch, identificando le risorse interessate da nuove CVE e iniziando a gestire le risorse prima sconosciute;
- i SOC integrano gli allarmi con i dati relativi alla superficie di attacco e definiscono le priorità di rimedio per le risorse ad alto rischio;
- i team di risposta agli incidenti, rilevamento delle minacce e analisi forense ottengono una visione hacker dell’intera superficie di attacco digitale dell’organizzazione, compresi i domini sconosciuti e dimenticati, le risorse ad alto rischio e gli indirizzi IP interni esposti dal DN;
- chi si occupa della gestione della compliance e del rischio di terze parti individuano le violazioni delle politiche e i punti deboli negli ambienti IT di terze parti e acquisizione di potenziali clienti;
- gli analisti di sicurezza riducono le superfici di attacco identificando ed eliminando o riducendo le cause alla radice delle risorse esposte a Internet.
L’intelligence della superficie di attacco, dunque, aiuta i team di sicurezza a essere più efficienti ed efficaci. Inoltre può anche essere di supporto alle iniziative aziendali per la trasformazione digitale, la conformità alle politiche e la gestione del rischio di terze.
Conclusioni
La threat intelligence permette ai team di sicurezza di difendere la reputazione della propria organizzazione. In uno scenario di minacce geopolitiche, dà un preavviso sui rischi per le strutture e i beni fisici in tutto il mondo.
L’intelligence può contrastare efficacemente, inoltre, le frodi con le carte di pagamento ed altri tipi di frode legati alle transazioni online. La roadmap di Recorded Future illustra i metodi per tutelare le identità degli utenti, identificare le frodi di identità dei clienti e prevenire l’acquisizione di account.
In ambito superfici d’attacco, aiuta le organizzazioni a scoprire e proteggere i domini sconosciuti e le risorse esposte online. A CISO, CIO e altri leader aziendali, consente di ottenere una visione olistica del panorama del rischio informatico e di prendere decisioni aziendali più efficaci, mettendo in risalto le minacce emergenti, classificandole in base alle priorità e pianificando le priorità stesse.
Solo un quadro di fonti e tipi di dati di intelligence può mettere le organizzazioni in condizioni di anticipare, rilevare e rispondere a una minaccia.
Il manuale di Recorded Future fornisce infine suggerimenti su come iniziare un programma di intelligence semplice e scalabile, a partire da un team dedicato che porti l’intelligence a un nuovo livello.
Contributo editoriale sviluppato in collaborazione con Recorded Future