L'adozione di un'architettura zero trust può limitare i danni del ransomware

15

Unisciti a Transform 2021 dal 12 al 16 luglio. Registrati per l'evento AI dell'anno.

Il fatto che un operatore di pipeline interrompa in modo proattivo le operazioni per far fronte a un attacco ransomware evidenzia il fatto che le organizzazioni non sono resilienti. Dal punto di vista della sicurezza, tecnologie come zero trust e microsegmentazione potrebbero aver limitato la quantità di danni che il ransomware potrebbe infliggere.

Esistono molti modi in cui il ransomware può entrare in una rete, come sfruttare una vulnerabilità nota, lanciare phishing e altri attacchi di ingegneria sociale e tentare di rubare le credenziali dell'utente per gli strumenti di rete (ad esempio, Remote Desktop Protocol o RDP), Trend Micro Research ha scritto in un blog aziendale. Una volta entrati, gli aggressori si spostano lateralmente attraverso le reti per trovare dati preziosi e stabilire la persistenza per rimanere nella rete.

Le aziende dovrebbero anche procedere con l'implementazione dell'architettura zero trust all'interno del proprio ambiente per mitigare gli effetti di questo tipo di malware, ha scritto Brian Kime, analista senior presso la società di ricerca Forrester. L'architettura Zero Trust limita il movimento laterale e contiene il raggio dell'esplosione, ha detto Kime.

Molte reti si affidano a difese perimetrali per tenere lontani gli aggressori. Una volta dentro, tuttavia, non c'è nulla che impedisca all'intruso di spostarsi ovunque all'interno della rete. Limitare il movimento laterale riduce i potenziali danni poiché l'attaccante non è in grado di accedere alle parti più sensibili della rete. Nel caso del ransomware, gli aggressori possono causare molti danni bloccando i sistemi, interrompendo le operazioni aziendali e minacciando di esporre i dati aziendali.

L'attacco ransomware blocca la rete

Colonial Pipeline, un operatore di gasdotti responsabile del trasporto del 45% del carburante lungo la costa orientale degli Stati Uniti, ha chiuso proattivamente le operazioni il 7 maggio dopo un incidente di ransomware nella sua rete aziendale. In caso di attacco, il ransomware crittografa i dati in modo che non sia possibile accedervi senza acquistare uno strumento di decodifica. Colonial Pipeline ha chiuso le operazioni perché l'attacco ha colpito il suo sistema di fatturazione e c'erano preoccupazioni che la società non sarebbe stata in grado di monitorare adeguatamente il carburante che scorre attraverso il gasdotto e inviare fatture, hanno detto fonti al giornalista della sicurezza informatica Kim Zetter.

Il gruppo ransomware DarkSide era dietro l'attacco contro Colonial Pipeline. Il gruppo ha rubato oltre 100 GB di dati e poi ha crittografato i file. Vittime come Colonial Pipeline pagano il riscatto – le notizie suggeriscono che la società ha pagato al gruppo di attacco 5 milioni di dollari – per accelerare il recupero dei dati e anche nella speranza che gli aggressori non trapelino o vendano i dati affinché gli altri possano vederli.

Il gruppo di attacco ha affermato di essere seduto su 1,9 TB di dati rubati a più vittime. Trend Micro Research ha identificato almeno 40 vittime colpite da DarkSide.

"Non siamo riusciti collettivamente ad apprezzare quanto siano fragili questi sistemi e quanto sia facile per i criminali informatici influenzare le operazioni aziendali e creare condizioni potenzialmente pericolose negli ambienti industriali", ha scritto Trend Micro Research. "Colonial Pipeline non è la prima volta che il ransomware o il malware distruttivo in una rete aziendale ha interrotto o degradato le operazioni industriali e purtroppo non sarà l'ultima."

Passaggio a zero fiducia

Zero trust è relativamente semplice: le organizzazioni non dovrebbero fidarsi automaticamente di nulla che cerchi di connettersi alla propria rete o di accedere ai propri dati. Invece, dovrebbero verificare tutto prima di concedere l'accesso. L'architettura zero trust non deve essere costosa o complessa da implementare, poiché le aziende possono implementare zero trust con la tecnologia attuale e politiche e standard aggiornati. Un modo è identificare i sistemi automatizzati nell'ambiente e utilizzare elenchi di autorizzazioni per limitare l'accesso a tali sistemi.

“Zero Trust non è un prodotto o una piattaforma; è un framework di sicurezza costruito attorno al concetto di "non fidarsi mai, verifica sempre" e "presumere una violazione" ", ha scritto l'analista di Forrester Steve Turner all'inizio di quest'anno.

Chris Krebs, l'ex capo della Cybersecurity and Infrastructure Security Agency (CISA) del Department of Homeland Security, ha affermato che i professionisti della sicurezza di ogni organizzazione dovrebbero lavorare per limitare l'impatto del ransomware. Gli esempi includono l'esecuzione e il test di backup, l'implementazione dell'autenticazione a più fattori (per impedire tentativi remoti di accesso agli account utente), la protezione degli account privilegiati e l'assegnazione di account privilegiati ai dipendenti solo quando richiesto.

"Il tuo piano di risposta deve includere ciò che accade quando si viene inevitabilmente infettati da ransomware e la pianificazione successiva, che dovrebbe includere sia la tecnologia che i reparti aziendali. Deve anche includere chi contatterai per chiedere aiuto quando sarai inevitabilmente colpito, che potrebbe essere il tuo MSSP o un'altra organizzazione di risposta agli incidenti che hai in custodia ", hanno scritto gli analisti di Forrester Allie Mellen e Steve Turner hanno fatto eco al consiglio di Krebs sul Forrester blog.

L'ordine esecutivo per la sicurezza informatica del presidente Biden e della sua amministrazione afferma che le agenzie federali e i partner del settore privato devono implementare un quadro di fiducia zero in tutto il governo federale. L'ordine richiede l'autenticazione a più fattori, la crittografia dei dati sia a riposo che in transito, un modello di sicurezza zero trust e miglioramenti nella protezione degli endpoint e nella risposta agli incidenti.

“I miglioramenti incrementali non ci daranno la sicurezza di cui abbiamo bisogno; invece, il governo federale deve fare cambiamenti coraggiosi e investimenti significativi per difendere le istituzioni vitali che sono alla base dello stile di vita americano ", ha detto l'ordine.

VentureBeat

La missione di VentureBeat è quella di essere una piazza cittadina digitale per i responsabili delle decisioni tecniche per acquisire conoscenze sulla tecnologia trasformativa e sulle transazioni.

Il nostro sito fornisce informazioni essenziali sulle tecnologie dei dati e sulle strategie per guidarti mentre guidi le tue organizzazioni. Ti invitiamo a diventare un membro della nostra community, per accedere a:

  • informazioni aggiornate sugli argomenti di tuo interesse
  • le nostre newsletter
  • contenuti gated leader di pensiero e accesso scontato ai nostri eventi pregiati, come Trasforma il 2021: Per saperne di più
  • funzionalità di rete e altro ancora

Diventare socio