top of page
Cerca

Come proteggersi dal ransomware


Le infezioni da ransomware possono avere conseguenze devastanti per un’organizzazione. Il ripristino dei dati, infatti, è spesso un processo complesso e laborioso che richiede operatori altamente specializzati. In molti casi, soprattutto in assenza di backup, il recupero non ha avuto successo.


Per questo motivo, è fondamentale adottare misure preventive per ridurre al minimo i rischi di compromissione. Di seguito sono elencate alcune delle principali pratiche di sicurezza, ordinate per complessità.


Misure di prevenzione


  1. Formazione del personale. Sensibilizzare i dipendenti attraverso corsi di Awareness è il primo passo per ridurre il rischio di infezioni derivanti da comportamenti imprudenti.

  2. Backup e ripristino. Implementare un piano di backup regolare per tutte le informazioni critiche, testando periodicamente i meccanismi di ripristino. È importante ricordare che i backup collegati alla rete possono essere compromessi dal ransomware: per protezione ottimale, i dati più sensibili devono essere isolati dalla rete.

  3. Aggiornamento costante. Mantenere sempre aggiornati il sistema operativo e il software con le patch più recenti. Le vulnerabilità non corrette rappresentano i principali punti d’ingresso per gli attaccanti.

  4. Antivirus e scansione dei file. Tenere aggiornato il software antivirus ed eseguire scansioni di tutto il materiale scaricato da Internet prima dell’esecuzione.

  5. Limitazione dei privilegi. Applicare il principio del “privilegio minimo”, limitando le autorizzazioni degli utenti e impedendo l’installazione o l’esecuzione di applicazioni non autorizzate. Questo riduce la possibilità che un malware si diffonda nella rete.

  6. Gestione delle e-mail

    • Evitare di abilitare le macro negli allegati ricevuti.

    • Non cliccare su link sospetti o non richiesti nelle e-mail.

  7. Protezione degli accessi remoti. Non esporre direttamente su Internet i servizi Remote Desktop Protocol (RDP). In caso di necessità, l’accesso deve essere mediato da una VPN sicura.

  8. Difese perimetrali. Implementare soluzioni come Intrusion Prevention System (IPS) e Web Application Firewall (WAF) per proteggere i servizi esposti su Internet.

  9. Sicurezza avanzata. Adottare una piattaforma XDR (Extended Detection and Response), automatizzata e supportata da un servizio MDR (Managed Detection and Response) attivo 24/7. Ciò consente una protezione completa su endpoint, utenti, reti e applicazioni, garantendo rilevamento, analisi e risposta automatizzata alle minacce.


Pagamento del riscatto: una scelta sconsigliata


Sia gli individui che le aziende sono fortemente scoraggiati dal pagare il riscatto richiesto dagli attaccanti. Non vi è alcuna garanzia che, dopo il pagamento, venga fornita la chiave di decrittazione o che il ripristino avvenga senza errori o corruzioni dei dati.


La sicurezza informatica, oggi più che mai, rappresenta un fattore cruciale per la continuità operativa e la reputazione di un’azienda.


Velociraptor: uno strumento per la difesa


Tra le piattaforme open-source più avanzate per la protezione e la risposta agli incidenti troviamo Velociraptor, progettato per la monitorizzazione degli endpoint, la forense digitale e la risposta agli incidenti.


Cos’è Velociraptor?


Velociraptor, sviluppato da Mike Cohen (ex Google Incident Response Team), permette di raccogliere artefatti forensi, analizzare attività sospette in tempo reale e monitorare migliaia di endpoint in modo scalabile. È utilizzato sia come strumento di monitoraggio continuo che per indagini di sicurezza mirate.

Funzionalità principali

  • Raccolta artefatti forensi: registri di sistema, dump di memoria, log e file critici.

  • Monitoraggio in tempo reale: rilevamento di anomalie e attività sospette sugli endpoint.

  • Analisi avanzata: con il linguaggio di query VQL (Velociraptor Query Language).

  • Automazione della risposta: esecuzione di azioni automatiche per contenere gli incidenti.


Architettura


La piattaforma adotta un modello client-server, con un server centrale che gestisce i client installati sugli endpoint, consentendo una gestione centralizzata e scalabile.


Integrazione con Rapid7


Dal settembre 2023, Velociraptor è stato integrato in Rapid7 InsightIDR, ampliando le capacità di rilevamento e risposta su vasta scala.


Risorse utili


 
 
 

Commenti

© 2024 texservice.tech   -  facilitatore informatico  -   mail: texservice13@gmail.com Tel: 353-468-73-15

bottom of page