Come preparare Windows per un attacco ransomware

La rimozione degli ostacoli al rafforzamento di Windows e la pianificazione della risposta ridurranno al minimo le interruzioni dovute a un attacco ransomware.

attacco ransomware

Recentemente ho parlato con Ryan Chapman del SANS Institute, autore del prossimo corso SANS FOR528: Ransomware for Incident Responders, su come prepararsi al meglio al ransomware. Questa preparazione si presenta in due forme: pianificare come rispondereste a un attacco ransomware di successo e superare le barriere per rafforzare la vostra rete.

Pianificazione di un attacco ransomware

Il ripristino da ransomware non dovrebbe essere altro che il ripristino di un backup, ma la realtà è che spesso non si ha idea di cosa sia necessario per ripristinare fino a quando non si è di fronte al processo di ripristino. Una tavola rotonda del SANS ha recentemente discusso se pagare un riscatto. In un mondo perfetto non pagheremmo gli attaccanti. Il pagamento alimenta infatti l’industria del ransomware, ma non è così scontato. Il ripristino dai backup richiede inoltre tempo e potreste rendervi conto nella foga del momento che vi manca il driver per una macchina chiave o che una chiave del prodotto che pensavate fosse archiviata in un luogo non è invece presente. La best practice consiste nell’eseguire test di ripristino e seguire i processi pianificati, ma con i reparti IT ridotti al minimo queste best practice spesso sfuggono all’obiettivo.

Le aziende devono decidere se prendere la linea dura e non pagare o pagare il riscatto e possibilmente tornare in attività più velocemente. Chapman osserva che gli strumenti di decrittografia spesso non sono codificati bene e la decrittografia di una rete potrebbe essere lenta quanto il ripristino da un backup.

ADV
HP Wolf Security

Il perimetro aziendale oggi passa dalla casa dei dipendenti

Metà dei dipendenti usa il PC anche per scopi personali e il 30% lascia che venga utilizzato da altri famigliari. La tua cybersecurity è pronta per le sfide del lavoro remoto? LEGGI TUTTO >>

È inoltre consigliabile identificare in anticipo quali risorse digitali sono fondamentali per garantire la continuità aziendale. Fate l’inventario delle risorse critiche e determinate quali processi sono necessari per ripristinarle completamente senza i normali processi di ripristino. Chapman consiglia di prepararsi mentalmente a non recuperare tutti i dati. Bisogna avere assolutamente delle priorità.

Troppo spesso in Active Directory non eseguiamo il backup dei sistemi chiave; semplicemente, replichiamo e distribuiamo. Immaginate una situazione in cui la replica non è un metodo di ripristino appropriato. Si tratta di capire cosa servirà per recuperare potenzialmente l’intera rete. Non avrete processi o personale per affrontarlo. Potrebbe non essere disponibile un Active Directory funzionante per il ripristino normale. Potreste non avere script o Criteri di gruppo o nessuno degli strumenti che date per scontati. Potreste persino non avere il vostro normale sistema di posta elettronica per comunicare all’interno della vostra organizzazione.

Chapman consiglia sia di identificare consulenti esterni e risorse da coinvolgere per aiutare nel processo, sia di individuare metodologie di comunicazione alternative che potreste aver bisogno di mettere in atto che non includano account di posta elettronica personali.

Rafforzate la vostra rete contro il ransomware

La maggior parte delle organizzazioni con cui Chapman interagisce sono più danneggiate dagli attacchi ransomware perché sono bloccate dall’applicazione rapida di patch e dall’aggiornamento a piattaforme supportate e più sicure. Chapman vede due tipi di blocchi: interni ed esterni.

Il blocco interno è spesso dovuto alla dipendenza dell’azienda da soluzioni autocodificate che sono state costruite nel tempo e potrebbero non essere revisionate dal codice esterno o comprese abbastanza bene da conoscere l’impatto quando vengono apportate modifiche. Soprattutto con le distribuzioni in ambienti su larga scala, non si conosce l’impatto di una nuova impostazione di sicurezza o di un livello di funzionalità della foresta di Active Directory finché non si verifica la distribuzione effettiva. Le aziende possono testare, ma spesso è solo quando la soluzione viene implementata nella rete che si vede un impatto più realistico.

ransomware

Il blocco esterno, che si verifica quando i fornitori dell’azienda non certificano una piattaforma per una nuova impostazione o piattaforma di sicurezza, impedisce di implementare un’impostazione che potrebbe fornire maggiore sicurezza.

Cosa si può fare per superare questi blocchi? Innanzitutto, identificate le risorse chiave che dovete ripristinare rapidamente e assicuratevi di aver compreso come eseguire il ripristino utilizzando mezzi alternativi. Quindi, trovate quale software all’interno della vostra organizzazione sta causando i blocchi e perché. Se il fornitore risulta essere il blocco per le vostre esigenze di distribuzione, verificate se potete aggiungere requisiti e adeguamenti contrattuali e spingete i vostri fornitori a fare meglio. Se le implementazioni del software interno stanno causando il blocco, controllate se la paralisi è reale. L’azienda ha avuto errori software effettivi a causa dell’implementazione di nuove impostazioni e software o la paralisi è causata dalla mancanza di risorse nei test? Esortate i vari team dell’azienda a lavorare insieme.

L’importanza di Windows Server 2016

Troppi di noi fanno ancora affidamento su piattaforme server meno recenti che rendono più difficile l’implementazione di soluzioni di sicurezza tramite Active Directory. Potremmo avere server con a bordo Windows Server 2016 e Server 2019 nella nostra rete, ma non stiamo sfruttando le funzionalità di sicurezza di quel livello funzionale del dominio. Troppi di noi sono ancora a livelli di funzionalità di foresta e dominio precedenti perché abbiamo server o applicazioni meno recenti e una mancanza di test che ci impedisce di implementare queste nuove funzionalità. Oppure abbiamo fornitori che non certificano le nuove piattaforme e le funzionalità di Active Directory.

Aumentare il livello della foresta a Windows Server 2016 fornisce molte funzionalità che proteggono meglio la rete, come la gestione degli accessi privilegiati e il rollover automatico dei segreti NTLM su un account utente. Se il vostro livello funzionale è ancora fermo a Windows Server 2008 R2, non avete un’interfaccia utente per il cestino di Active Directory (che rende più facile il ripristino). Inoltre, non potete sbarazzarvi di una vecchia falla di sicurezza di password immutabili sui vostri account di servizio se state ancora utilizzando il livello funzionale 2008 R2.

Aumentare il livello del vostro dominio significa che potete implementare funzionalità come Windows Defender Credential Guard, che protegge le credenziali NTLM e Kerberos in Active Directory dall’essere raccolte dagli aggressori. Avrete bisogno delle licenze di Windows 10 Enterprise o del Microsoft 365 appropriato per implementare questa funzionalità sulle vostre workstation.

Il grande costo del ransomware è l’interruzione del business. Abbiamo bisogno di ottenere protezione e rilevamento più in alto nelle nostre liste di priorità insieme alla trasparenza e alla condivisione delle informazioni. Dobbiamo fare meglio, perché in questo momento gli attaccanti sono migliori di noi.

Se questo articolo ti è stato utile, e se vuoi mantenerti sempre aggiornato su cosa succede nell’industria ICT e ai suoi protagonisti, iscriviti alle nostre newsletter:

CWI: notizie e approfondimenti per chi acquista, gestisce e utilizza la tecnologia in azienda
CIO:
approfondimenti e tendenze per chi guida la strategia e il personale IT
Channelworld: notizie e numeri per distributori, rivenditori, system integrator, software house e service provider

Iscriviti ora!