Prima e dopo un attacco informatico, cosa fare

Quando un’azienda ha subìto un attacco, ogni responsabile della sicurezza deve sapere come affrontare la minaccia, ma soprattutto occorre riportare ordine il prima possibile, anche per evitare che alcune violazioni vengano da lì in poi associate all’azienda (basti citare l’attacco WannaCry all’NHS nel 2017 o quello di SolarWinds nel 2020).

Scott McKinnon (nella foto in alto), Field CISO di VMware per l’EMEA (Europa, Middle East, Africa), ci offre un programma articolato in 4 fasi per aiutare i responsabili della sicurezza a rispondere nel modo corretto e più veloce a un attacco informatico.

1) Non sottovalutare mai la pianificazione

I piani di ripresa dopo un attacco informatico mancano spesso di procedure chiare, oltre a prove di un’accurata pianificazione preventiva e una valutazione dei sistemi veramente critici per l’azienda. Nel campo della sicurezza informatica, la diffusione del ransomware è continuo: si calcola che si verifica un attacco ogni 11 secondi. Quindi chi si prepara partendo dal presupposto che una violazione si verificherà comunque, è sempre più preparato. È essenziale creare un solido “recovery plan” in caso di attacco ransomware che anticipi i futuri punti critici. Una progettazione di questi piani che tenga conto dello scenario peggiore di “tutto fermo”, può fare davvero la differenza: si possono così anticipare le sfide principali destinate a ritardare il recovery quando il ransomware prende il controllo completo. Avendo già valutato il rischio, un’organizzazione sarà in grado di riprendersi molto più rapidamente.

Ogni membro della squadra di sicurezza ha un ruolo da svolgere, ma dopo una violazione informatica le loro responsabilità possono confondersi e portare a dannosi errori di comunicazione. Ecco perché è importante assegnare chiaramente le responsabilità in un team e ai singoli. La capacità di “schierare” le risorse in modo efficiente, sia online che offline, fa risparmiare minuti preziosi in fase di rilevamento e risposta.

2) Investire nell’automazione per non pagare il riscatto 

Quando si trovano di fronte a un riscatto da parte degli hacker, le aziende possono pensare che la via d’uscita più semplice sia quella di effettuare il pagamento per poter tornare a lavorare come sempre. Tuttavia, a lungo termine il pagamento delle richieste può fare più male che bene. Nel 2022 è risutalto che il 92% delle aziende che hanno pagato un riscatto non ha in realtà riacquistato un completo accesso ai propri dati, a dimostrazione del fatto che il pagamento non equivale quasi mai a una “business continuity” totale e che le reti potrebbero trovarsi di nuovo sotto attacco, oltre a rendere le aziende che pagano il riscatto nuovamente bersaglio in futuro.

Le organizzazioni devono invece investire in tecnologie di recovery automatizzate, così da lasciare che sia la tecnologia a combattere per loro. Chi può contare su una tecnologia all’avanguardia non si fa prendere dal panico e non ha bisogno di pagare un riscatto, perché il ripristino automatizzato che utilizza un flusso di lavoro passo dopo passo è l’approccio più corretto per rispondere ad attacchi informatici. Una volta compromesso un componente della rete infatti, il ransomware cerca di diffondersi e i workflow automatizzati alzano il “ponte levatoio” per isolare le reti e impedire il movimento laterale e la re-infezione.

Il recovery automatico riduce anche il rischio di errori umani e di decisioni affrettate, che possono causare ulteriori crisi oltre a danni duraturi alla reputazione aziendale, intrinsecamente legata alla fiducia del pubblico nella sua competenza. In alcuni casi, con un caso particolarmente dannoso e di alto profilo, è importante comunicare pubblicamente i risultati di un’indagine interna. Per ogni stakeholder dell’azienda, diretti o indiretti, la trasparenza è infatti fondamentale per mantenere la loro fiducia.

3) Valutare l’integrità dei dati per riprendere il controllo

I dati sono un po’ come la dinamite: se esplodono, la perdita può essere disastrosa. Il ransomware cripta infatti i dati in una cassaforte che soltanto l’hacker può sbloccare. In alcuni casi, il ransomware è stato impiantato da attori malintenzionati e nascosto in bella vista per settimane o addirittura mesi, diffondendosi nei backup dei dati che alla fine diventano inutili.

La maggior parte degli attacchi ransomware oggi utilizza tecniche “fileless”. Per questo motivo, le aziende devono esaminare attentamente i backup dopo un attacco, per proteggere i file non compromessi e prevenire una nuova infezione. La combinazione di approcci tradizionali con il moderno rilevamento automatico garantisce una strategia solida, che copre tutte le basi per la protezione delle reti e per stare al passo con il panorama degli attacchi.

4) Riunirsi per riflettere sulle lezioni apprese

Il lavoro di squadra è il fondamento di ogni soluzione positiva agli attacchi informatici. Un attributo chiave di qualsiasi squadra per la sicurezza con risultati eccellenti è la sua capacità di analizzare in modo critico e creativo le strategie adottate, per imparare dagli errori e prepararsi a quanto avverrà di nuovo in futuro.

Una volta neutralizzata una violazione, è infatti fondamentale sedersi a un tavolo e condividere gli insegnamenti tratti dall’esperienza. Ciò comporta la necessità di riunire tutti i reparti interessati, per garantire che il piano di ripristino sia adatto a tutti e che vengano recepiti gli apprendimenti. Queste sessioni vanno organizzate con un ordine del giorno concordato, per garantire che l’analisi sia efficace e le procedure di cybersecurity possano essere migliorate di conseguenza, colmando eventuali lacune. Combinando questo sforzo con ambienti di laboratorio e di test per simulare il ripristino, ci si assicura così che le squadre d’intervento siano ulteriormente preparate ad affrontare con ancor più efficacia nuovi attacchi. Nel caso in cui i dati compromessi siano personali, è essenziale che, ai sensi del GDPR (General Data Protection Regulation, il Regolamento generale sulla protezione dei dati), le aziende facciano rapporto all’autorità di controllo che per il Regno Unito è l’ICO (Information Commissioners Office) e informino le persone interessate entro 72 ore dalla violazione.

Obiettivo: uscire dalla battaglia al massimo con qualche graffio

Gli hacker sembrano essere sempre all’avanguardia e la diffusione del ransomware è un’arma fondamentale del loro arsenale anche propagandistico. È facile che le aziende siano disorientate dal lancio di un attacco, poiché la destabilizzazione del business ha un impatto sugli stakeholder di tutta l’organizzazione. Tuttavia, se la pianificazione del “recovery plan” viene integrata fin dall’inizio nelle operazioni, con investimenti nelle più recenti tecnologie di rilevamento e risposta oltre alle migliori pratiche di sicurezza, le organizzazioni sono molto più in grado di affrontare le minacce che si presentano. Con un solido programma di ripristino non solo aggiornato ma in atto, le squadre di ripristino possono anche uscire dalla battaglia con qualche graffio, ma hanno molte più probabilità di riuscire a riportare in poco tempo l’azienda alla sua normale attività, riportandole all’ordine il prima possibile.