La strategia pi\u00f9 efficace per neutralizzare gli attacchi ransomware \u00e8 prevenire il loro ingresso nell'organizzazione. Tuttavia, il numero di applicazioni e di servizi di cui le aziende hanno bisogno per funzionare \u00e8 in continua crescita. La conseguenza \u00e8 un aumento della superficie di attacco, la quale include rete, applicazioni SaaS ed endpoint, che risulta protetta da misure poco efficaci. Le minacce sono sempre pi\u00f9 sofisticate e i nuovi attacchi sono pi\u00f9 rapidi dei rimedi alle vulnerabilit\u00e0 e dell'implementazione delle patch. Pertanto, le aziende devono cominciare ad assumere una prospettiva olistica sulla propria piattaforma di sicurezza.<\/p>\n
<\/p>\n
DAL RILEVAMENTO ALLA PREVENZIONE<\/strong><\/p>\n Le tradizionali metodologie di cybersecurity che hanno privilegiato rilevamento e ripristino non sono pi\u00f9 efficaci. Per neutralizzare gli attacchi ransomware, \u00e8 fondamentale un cambiamento di prospettiva dal rilevamento alla prevenzione. Occorre fermare gli attacchi prima che infettino l'azienda e provochino danni. Per compiere questo passaggio, le aziende devono disporre di un'architettura di sicurezza adeguata, costituita da tre elementi:<\/p>\n <\/p>\n Per ridurre la superficie di attacco, bisogna acquisire piena visibilit\u00e0 su rete, applicazioni, minacce e comportamento degli utenti. Se non sai cosa succede sulla tua rete, \u00e8 possibile che lo sappia un criminale e usi tale conoscenza per introdurvisi. La classificazione delle attivit\u00e0 ti permette di prendere decisioni corrette su cosa consentire e mette in risalto eventi sconosciuti che richiedono ulteriori indagini. Grazie a questa visibilit\u00e0 puoi intraprendere varie azioni, come bloccare il traffico ignoto, identificare attacchi avanzati o consentire semplicemente le applicazioni che hanno un valido scopo aziendale.<\/p>\n Non appena il traffico \u00e8 stato delimitato, \u00e8 opportuno applicare policy basate su applicazioni e utenti. Esistono infinite combinazioni di policy che limitano l'accesso a determinate applicazioni per determinati gruppi di utenti e per determinate porzioni della rete. Con un'ampia visibilit\u00e0 e le policy corrette, si rendono inefficaci gran parte dei metodi che i criminali utilizzano per sferrare attacchi malware sulla rete.<\/p>\n Per ridurre ulteriormente la superficie di attacco, occorre bloccare tutti i tipi di file pericolosi o potenzialmente pericolosi. Sebbene non tutti i file di un certo tipo siano nocivi, \u00e8 consigliabile bloccare tutti quelli con un alta probabilit\u00e0 di essere nocivi. Una volta bloccati i file pericolosi, occorre implementare le policy adeguate alla propria tolleranza al rischio. Bisogna anche evitare che gli utenti colleghino endpoint non conformi alle risorse critiche di rete.<\/p>\n <\/p>\n Dopo aver ridotto la superficie di attacco, il passo successivo \u00e8 neutralizzare le minacce note. A tale scopo, \u00e8 necessario impedire l'accesso alla rete a exploit noti, malware e traffico command-and-control. Tale operazione di blocco accresce il costo di esecuzione di un attacco e di conseguenza ne riduce la probabilit\u00e0. I criminali sono infatti costretti a creare nuove varianti di malware o nuovi exploit che sfruttino vulnerabilit\u00e0 meno note.<\/p>\n Occorre inoltre impedire agli utenti di scaricare inavvertitamente software nocivi e prevenire il furto delle credenziali bloccando l'acceso agli URL di phishing conosciuti. In questo modo, tali minacce vengono messe completamente fuori gioco. Dopo aver bloccato le minacce note, occorre effettuare una scansione del malware noto sulle applicazioni SaaS, che stanno diventando sempre pi\u00f9 spesso un veicolo per introdurre minacce. Bisogna quindi bloccare qualsiasi malware ed exploit rinvenuto con la scansione. Un'operazione analoga deve essere compiuta per il malware e gli exploit presenti sugli endpoint.<\/p>\n <\/p>\n Una volta bloccate le minacce conosciute, \u00e8 essenziale identificare e bloccare qualsiasi minaccia sconosciuta, dal momento che i criminali informatici continuano a sviluppare nuovi exploit zero-day e varianti di ransomware. Il primo passo consiste nel rilevare e analizzare le minacce sconosciute nei file e negli URL. I nuovi file in arrivo devono essere scomposti e analizzati, ed \u00e8 necessario rintracciare eventuali comportamenti nocivi in entit\u00e0 mai viste prima. Occorre inoltre che scattino automaticamente, il prima possibile, le protezioni nelle diverse parti dell'infrastruttura di sicurezza, per evitare che gli attacchi vadano a segno. Ci\u00f2 include la ricostruzione del contesto per identificare l'autore dell'attacco, la campagna di malware e gli indicatori di compromissione associati all'attacco. Una volta identificati e bloccati comportamenti sospetti e minacce, bisogna bloccare malware e exploit sugli endpoint per garantire la sicurezza di tutti i punti di accesso.<\/p>\n L'obiettivo finale \u00e8 convertire lo sconosciuto in conosciuto e migliorare lo stato della sicurezza con nuove protezioni, pi\u00f9 rapidamente di quanto i criminali riescano a sviluppare i loro malware ed exploit, per tutto il ciclo di vita dell'attacco.<\/p>\n","protected":false},"excerpt":{"rendered":" La strategia pi\u00f9 efficace per neutralizzare gli attacchi ransomware \u00e8 prevenire il loro ingresso nell'organizzazione. Tuttavia, il numero di applicazioni e di servizi di cui le aziende hanno bisogno per funzionare \u00e8 …<\/p>\n","protected":false},"author":40,"featured_media":94606,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[5085],"tags":[],"coauthors":[716],"class_list":["post-94604","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-non-categorizzato"],"jetpack_featured_media_url":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-content\/uploads\/2017\/04\/Cyberpedia-social-ad-linkedin-520x320.png","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts\/94604","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/users\/40"}],"replies":[{"embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/comments?post=94604"}],"version-history":[{"count":1,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts\/94604\/revisions"}],"predecessor-version":[{"id":94605,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts\/94604\/revisions\/94605"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/media\/94606"}],"wp:attachment":[{"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/media?parent=94604"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/categories?post=94604"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/tags?post=94604"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/coauthors?post=94604"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\n
\n
\n
\n