Le minacce informatiche continuano a fare notizia, e organizzazioni di ogni settore devono affrontare il rischio derivante da strategie di attacco sempre più elaborate e ingannevoli. Pensiamo per esempio ai costanti problemi causati dai ransomware e ai costi enormi affrontati dalle aziende che decidono di pagare il riscatto nella speranza di riottenere i propri dati crittografati.

Come emerso da una recente ricerca Commvault, per l'88% dei professionisti IT intervistati la prevenzione di danni ai dati è tra le principali preoccupazioni quando si tratta di proteggerli e di reagire a minacce e attacchi. Inoltre, il 72% è preoccupato dal ripristino dei dati dopo un attacco e dalla riduzione al minimo dei tempi di inattività.

Una delle preoccupazioni più diffuse nasce dalla mancanza di strumenti in grado di rilevare adeguatamente gli attacchi ransomware nelle fasi iniziali del processo per impedirne il successo. Solo il 12% delle organizzazioni ha dichiarato che i propri strumenti di rilevamento del ransomware fossero adeguati e in grado di gestire anche il crescente patrimonio di dati, indipendentemente dalla loro ubicazione.

Domenico Iacono di Commvault

Il ransomware e il rischio informatico in generale stanno ridefinendo il modo in cui le aziende devono migliorare la loro capacità di proteggere l'infrastruttura e le preziose risorse di dati, riducendo così il pericolo aziendale. I professionisti IT devono essere un passo avanti e investire in tecnologie proattive che migliorino la loro resilienza. Di conseguenza, combinare protezione dei dati e cybersecurity è la nuova normalità.

In questo contesto estremamente difficile, la priorità attuale per la maggior parte delle aziende è di rafforzare le difese perimetrali per evitare le intrusioni. In particolare, è necessario un approccio a più livelli per proteggere i dati in modo completo, dato che il backup da solo non è più sufficiente, ed evitare di affrontare uno scenario di ripristino è molto più desiderabile che mitigare le interruzioni di attività.

L’ora delle tecnologie di deception

Per ottenere la più solida postura di sicurezza per proteggere i dati dagli attacchi ransomware, le organizzazioni hanno bisogno di strumenti poliedrici che operino in ogni fase della catena di attacco. Sebbene siano generalmente sottoutilizzate, le moderne tecnologie di deception stanno svolgendo un ruolo sempre più cruciale nell'individuazione precoce di minacce invisibili e zero-day che riescono a eludere gli strumenti di sicurezza convenzionali. Ma quali sono queste tecnologie e come funzionano?

La cyber deception è una strategia di sicurezza proattiva che funziona ingannando malintenzionati per prevenire attacchi dannosi. Le soluzioni di cyber deception più avanzate oggi iniziano dove finiscono gli strumenti di sicurezza convenzionali, utilizzando un processo in due fasi per rallentare e far emergere minacce sconosciute e zero-day. Per esempio, utilizzando esche e sensori di minaccia, i malintenzionati o il malware intrusivo possono essere deviati verso risorse apparentemente convincenti ma false. A questo punto, le segnalazioni fidate vengono immediatamente inviate ai principali stakeholder e sistemi di sicurezza, notificando loro la presenza di minacce in corso prima che possano compromettere i sistemi o i dati reali.

A differenza degli honeypot, progettati per esaminare e imparare dagli attaccanti e dai loro tentativi, i sensori di minaccia sono sviluppati per coinvolgere attivamente i cyber criminali non appena viene avviato un attacco. Utilizzando un'architettura efficiente, simile a un servizio web, questi sensori di minaccia sono progettati per imitare qualsiasi risorsa dell'utente, inondando i loro ambienti con risorse digitali falsificate che sono indistinguibili per gli attaccanti. Senza impatto sulle normali operazioni di rete, attirano gli attaccanti con esche che li distolgono e li ingannano durante le fasi di ricognizione, scoperta, movimento laterale e altro ancora.

Inoltre, poiché i sensori di minaccia sono visibili solo all'attaccante, le aziende beneficiano di notifiche estremamente precise sui falsi positivi, che consentono di conoscere attività, percorsi di attacco e tecniche impiegate. Questo approccio consente alle organizzazioni di offrire una difesa a più livelli da minacce quali gli attacchi ransomware, dando agli utenti la possibilità di identificare e deviare immediatamente le minacce pericolose prima che i dati vengano rubati, danneggiati o compromessi.

Nel contesto attuale, in cui il ransomware si è rapidamente evoluto in un forte fattore di criminalità informatica in tutto il mondo, è evidente come le tecnologie esistenti, da sole, non siano in grado di prevenire ogni attacco, né di garantire alle vittime un rapido ripristino. Le aziende devono invece concentrarsi sulla creazione di soluzioni più efficaci, progettate per affrontare i rischi specifici posti da ransomware e altre tattiche di cybercrime sofisticate. Utilizzando la deception come strategia di protezione proattiva, è possibile creare una posizione molto più robusta per mettere in difficoltà i malintenzionati prima che abbiano la possibilità di chiedere un riscatto.

Domenico Iacono è Sales Engineer, Team Lead Italy & Spain di Commvault