Passi di mitigazione per le imprese

Mantenere aggiornati i sistemi operativi e le applicazioni dei dispositivi aziendali.

  • Applicare le ultime patch di sicurezza e garantire che il software sia aggiornato, anche sui dispositivi mobili.
  • Abilitare gli aggiornamenti automatici se possibile. Avere il sistema aggiornato non solo renderà i Devices più sicuri, ma performeranno meglio.
  • Valutare se sono necessari prodotti antivirus e antimalware e tenerli aggiornati.
  • Effettuare scansioni regolari per assicurare che i vostri sistemi operativi funzionino in modo efficiente.
  • Considerare l’utilizzo di un sistema centralizzato di gestione delle patch e utilizzare una strategia di valutazione basata sul rischio per determinare quali sistemi dovrebbero essere parte del programma di gestione delle patch.
  • Eseguite regolarmente il backup dei vostri sistemi, online e offline. I backup aggiornati sono il modo più efficace per recuperare i dati dopo un attacco Ransomware.
  • Assicuratevi di creare dei backup offline che sono conservati in un luogo diverso (idealmente offline), dalla vostra rete e dai vostri sistemi, e/o in un servizio cloud progettato per questo scopo. Tenete a mente che il Ransomware prende attivamente di mira i backup per aumentare la probabilità che le vittime paghino per recuperare i loro dati.

Conoscere le proprie risorse e compartimentalizzarle.

I dati sensibili devono essere trattati diversamente dai dati quotidiani.

  • Conservare i dati sensibili in luoghi compartimentati.
  • Implementare e garantire un’efficace segregazione della rete, al fine di limitare la capacità degli avversari di passare da un segmento all’altro della rete.
  • Assicurare la compartimentazione di aree con caratteristiche e profili di sicurezza diversi, isolando e limitando l’accesso a quei segmenti che sono più esposti alle minacce.

Accesso sicuro ai protocolli Remote Desktop (RDP).

Limitate l’accesso alle risorse attraverso le reti, specialmente limitando RDP. Dopo un’adeguata valutazione dei rischi, se RDP è ritenuto assolutamente necessario per la vostra organizzazione, limitate le fonti di origine e richiedete un’autenticazione a più fattori.

Monitorare l’esfiltrazione dei dati.

Molte campagne ransomware arrivano con la minaccia di diffondere i dati per incoraggiare le aziende a pagare il riscatto. Prima viene rilevata l’esfiltrazione dei dati, meno danni può causare qualsiasi rilascio. L’osservazione dell’esfiltrazione dei dati fornisce informazioni su quali dati sono esattamente a rischio di esposizione.

Non c’è alcuna garanzia che l’attaccante non diffonderà i dati o riutilizzerà gli stessi per ulteriori ricatti. Considerate entrambi questi scenari possibili, indipendentemente dal fatto che il riscatto venga pagato.

Testa i tuoi sistemi.

Eseguite regolarmente dei test di penetrazione contro la sicurezza della vostra rete ed eseguite dei test nel processo di ripristino delle informazioni critiche per assicurarvi che funzioni come previsto.

Riducete la probabilità che contenuti dannosi raggiungano le vostre reti.

  • Disabilitate gli ambienti di scripting e le macro.
  • Configurate i vostri sistemi per ispezionare attivamente i contenuti, consentendo solo alcuni tipi di file e bloccando siti web, applicazioni, protocolli, ecc. che sono noti per essere dannosi.
  • A livello di rete, considerate il filtraggio del traffico di rete, implementando politiche per monitorare, filtrare e bloccare il traffico illegittimo o dannoso dal raggiungere le vostre reti.
  • Implementare regole di blacklisting/whitelisting basate sui risultati di threat intelligence per impedire agli utenti di accedere a siti web dannosi, indirizzi IP dannosi, URL di phishing, proxy anonimi, la rete Tor e altri servizi di anonimizzazione, ecc.

Usare password avanzate e cambiarle regolarmente.

  • Numeri, simboli e combinazioni di maiuscole e minuscole vi aiuteranno a creare password più forti.
  • Istruisci e incoraggia i tuoi dipendenti a usare password forti sia nella loro vita professionale che privata e promuovi l’uso di un gestore di password.

Usa un’autenticazione forte.

Richiedete l’autenticazione a più fattori per accedere agli account sulle reti critiche, al fine di ridurre al minimo il rischio di accesso attraverso credenziali rubate o violate.

Gestire l’uso di account privilegiati.

  • Limitate la capacità dei vostri dipendenti di installare ed eseguire applicazioni software sui dispositivi della rete aziendale.
  • Assicuratevi che gli account utente e di sistema siano limitati attraverso politiche di utilizzo degli account, controllo degli account utente e gestione degli accessi degli utenti privilegiati.
  • Organizzare i diritti di accesso in base ai principi di minimo privilegio, necessità di sapere e segregazione dei compiti. Una potenziale compromissione di un account utente privilegiato porterebbe a un’esposizione molto maggiore rispetto a quella di un semplice account utente.

Proteggi il tuo equipaggiamento per il telelavoro.

  • Implementa misure come la crittografia del disco rigido, timeout di inattività, schermi per la privacy, autenticazione forte, disabilità Bluetooth e controllo e crittografia dei supporti rimovibili (ad esempio, unità USB)
  • Implementare un processo per disabilitare da remoto l’accesso a un dispositivo che è stato perso o rubato.

Installare app solo da fonti affidabili.

Le aziende dovrebbero consentire l’installazione di app da fonti ufficiali solo su quei dispositivi mobili che si connettono alla rete aziendale. Come opzione, considera la creazione di un negozio di applicazioni aziendali attraverso il quale gli utenti finali possano accedere, scaricare e installare app approvate dall’azienda. Consultate il vostro fornitore di sicurezza per un consiglio o costruite il vostro in-house.

Diffida dell’accesso ai dati aziendali attraverso reti Wi-Fi pubbliche.

In generale, le reti Wi-Fi pubbliche non sono sicure. Se un dipendente accede ai dati aziendali utilizzando una connessione Wi-Fi gratuita in un aeroporto o in un bar, i dati potrebbero essere esposti a utenti malintenzionati. Si consiglia alle aziende di sviluppare politiche di utilizzo efficaci a questo proposito.

Fornire al personale un’istruzione e una formazione sulla consapevolezza della cybersecurity.

  • Educate i vostri dipendenti alla politica aziendale sulla sicurezza online. Prendetevi il tempo per aumentare la consapevolezza delle minacce informatiche, specialmente il phishing e il social engineering, così come cosa fare se si imbattono in attività sospette.
  • Considerate l’implementazione di un programma di formazione per gli utenti che includa attacchi simulati di spear phishing per scoraggiare i dipendenti dal visitare siti web dannosi o aprire allegati dannosi.
  • Fornite al vostro staff un modo semplice per segnalare le e-mail di phishing e ricompensateli quando lo fanno. Un semplice pop-up di ringraziamento o un sistema di punti aiuta a spingere i dipendenti ad essere prudenti e a segnalare ciò che trovano sospetto.

Esplora l’assicurazione di responsabilità civile informatica.

Considera di trovare un agente assicurativo che offra copertura in caso di un attacco informatico.

Attivare i firewall locali.

Attivare i firewall locali per aiutare contro l’accesso non autorizzato.

Disattivare Windows PowerShell.

Disattivare Windows PowerShell se non utilizzato. Alcune varianti di Ransomware usano PowerShell per eseguire.

INFETTATO… COSA FARE DOPO?

  1. 1) Scollegare immediatamente, ma non spegnere il dispositivo o i dispositivi infetti da tutte le connessioni di rete, siano esse cablate, wireless o basate sul telefono cellulare.
  2. 2) In casi molto gravi, considerare se sia necessario spegnere il Wi-Fi, disabilitare qualsiasi connessione di rete principale (compresi gli switch) e disconnettersi da internet.
  3. 3) Reimpostare le credenziali, comprese le password (soprattutto per gli account di amministratore e altri account di sistema), ma verificare che non ci si stia chiudendo fuori dai sistemi che sono necessari per il recupero.
  4. 4) Segnalare l’incidente alla polizia nazionale o ad altre autorità competenti.
  5. 5) Conservare qualsiasi prova, in coordinamento con le autorità competenti che indagano sull’attacco: creare un’immagine forense dei sistemi colpiti (o uno snapshot del sistema), creare un dump della RAM dei sistemi colpiti e conservare qualsiasi netflow o altri log del traffico di rete.
  6. 6) Visita www.nomoreransom.org per verificare se la tua azienda è stata infettata da una delle varianti di ransomware per le quali sono disponibili gratuitamente strumenti di decrittazione. Se non è questo il caso, procedi con le fasi di recupero.
  7. 7) Cancellare in modo sicuro i dispositivi infetti e reinstallare il sistema operativo.
  8. 8) Prima di ripristinare da un backup, verificare che sia libero da qualsiasi malware. Dovresti ripristinare solo se sei molto sicuro che il backup e il dispositivo a cui lo stai collegando siano puliti.
  9. 9) Collegare i dispositivi a una rete pulita per scaricare, installare e aggiornare il sistema operativo e tutti gli altri software.
  10. 10) Installare, aggiornare ed eseguire il software antivirus.
  11. 11) Riconnettersi alla rete.
  12. 12) Monitorare il traffico di rete ed eseguire scansioni antivirus per identificare se rimane qualche infezione.