cosa sono e come difendersi
Transcript
cosa sono e come difendersi
Appunti di informatica SOLUZIONI PER L’IMPRESA Soluzioni per l’impresa Fenomeno Cryptolocker e Ransomware: cosa sono e come difendersi Appunti di informatica a cura della TECNOSOFT Un Ransomware è un tipo di malware che limita l'accesso del dispositivo che infetta, richiedendo un riscatto (ransom in Inglese) da pagare per rimuovere la limitazione. Ad esempio alcune forme di ransomware bloccano il sistema e intimano l'utente a pagare per sbloccare il sistema, altri invece cifrano i file dell'utente chiedendo di pagare per riportare i file cifrati in chiaro. La criminalità digitale, con i ransomware, sta seminando panico e procurando danni tra le aziende di tutte le dimensioni. Le nuove abitudini di utilizzo degli strumenti informatici, tra mobility e BYOD, non facilitano l'operato di chi si deve occupare di tutelare i dati aziendali. Gli attacchi, i furti, i danni che il cybercrimine è in grado di arrecare alla salute di una azienda stanno subendo accelerazioni e mutazioni impreviste sempre più frequenti. . “L’informazione è un Bene Aziendale e dobbiamo proteggerlo e custodirlo preziosamente”. [email protected] Gli attacchi ai sistemi informatici mostrano un'escalation, trovando sempre maggiori punti di accesso per entrare in possesso dei dati aziendali. Come funziona un attacco e quali armi abbiamo a disposizione per provare a sentirci al sicuro? Cosa fare per evitare possibili infezioni? Come saprete non esiste un sistema sicuro, o una protezione totale, ma esistono soluzioni e comportamenti che aumentano la sicurezza. Informazione e formazione: è importante formare e informare gli operatori addetti all’uso del PC. L’utente deve sapere come viene diffuso il virus, in modo che siano in grado di individuare e-mail sospette anche quando queste a prima vista sembrino legittime. Allo stesso tempo, l’utente deve essere in grado di individuare la presenza di file crittografati in modo tale da attivarsi prontamente con la procedura da seguire. La formazione è fondamentale sia per prevenire sia per isolare prontamente un’eventuale infezione. • Evitare file sospetti: Prestare attenzione e pensarci due volte prima di aprire gli allegati e-mail o fare clic sui file da origini sconosciute. Fare attenzione a file sospetti con estensioni nascoste. Accertarsi, magari telefonicamente, sul mittente. Eliminare/cancellare file dubbi. • Navigare con attenzione: evitare di entrare in siti sospetti soprattutto se trovati con ricerche non consone o troppo generali. Non utilizzare Explorer; navigare in internet utilizzando come browser firefox, crome o edge. Infrastruttura e Sistema Informatico: una rete ben progettata deve prevedere sia soluzioni che garantiscano la continuità del servizio che soluzioni di www.tecnosoft.it Pagina 3 di 3 Appunti di informatica SOLUZIONI PER L’IMPRESA backup che consentano l’eventuale ripristino delle funzioni e dei dati. Devono essere in oltre presenti e verificate con regolarità le procedure per gestire le eventuali emergenze (Disaster recovery). Penso sia inutile, anche in virtù dello sviluppo tecnologico, prevedere una verifica dell’efficacia delle soluzioni implementate e/o del loro ammodernamento. consente di elevare il livello di protezione anche in caso di infezione. Diritti minimali consentono di evitare che il malware riesca a lanciare comandi automatici e riduce l’esposizione ai soli file su cui l’utente ha diritti di modifica. • • • • • • Aggiornare il sistema operativo: I sistemi dei computer non aggiornati sono relativamente più vulnerabili agli attacchi ransomware. Ecco perché è importante eseguire aggiornamenti regolari di software e sistema operativo per migliorare la sicurezza del computer. Installare antivirus affidabile: Installare un buon software antivirus aiuta a rilevare e combattere le minacce malevole, offrendo una forma di protezione aggiuntiva anche se non totale. Effettuare aggiornamenti e scansioni pianificate. Dotarsi di firewall: installare un firewall come elemento importante per controllare l'utilizzo della rete rafforzando la politica di sicurezza prestabilita. Un firewall correttamente configurato e aggiornato analizza il traffico diretto al computer e blocca tutti i dati che possono risultare nocivi alla stabilità del sistema. Il firewall serve perciò a difendere il sistema da attacchi provenienti dall'esterno proteggendolo da codici malevoli attraverso delle regole. Disattivare l'accesso remoto: I malware spesso puntano a computer che utilizzano RDP (Remote Desktop Protocol). Tenere RDP disattivato se non è richiesto l'accesso remoto. • Attivare una corretta politica delle policy di sicurezza. Implementare soluzioni di backup distribuito e frequente. Monitorare le soluzioni di sicurezza attive Cosa fare se si è infettati? Nello sfortunato evento che si verifichi un attacco da ransomware, non farsi prendere dal panico. Le azioni da intraprendere in caso di rilevamento di infezioni sono semplici ed efficaci. 1. Spegnere rapidamente il computer e riavviare tutto il sistema informatico. Il programma è residente nella memoria ram volatile, una volta spenta la postazione non si riattiverà. 2. Può essere sufficiente scollegare il cavo di rete e disattivare il WiFi assicurandosi di disconnettersi subito da Internet, ma sicuramente spegnere il PC infetto è l’azione migliore. 3. Ripulire il sistema assicurandosi di rimuovere le infezioni 4. Ripristinare il computer utilizzando le soluzioni di backup implementate. Tuttavia si consiglia in ogni caso di contattare i servizi di assistenza per verificare le eventuali potenziali esposizioni e misure di sicurezza informatica preventiva. Ridurre l’esposizione: attraverso il responsabile informatico configurare correttamente il sistema. Dare agli utenti i diritti minimi per poter lavorare www.tecnosoft.it Pagina 3 di 3 Appunti di informatica SOLUZIONI PER L’IMPRESA L'arma migliore contro il ransomware è il backup! Servizi & Soluzioni TECNOSOFT Il ransomware, basato su crittografia, è sempre più sofisticato e non può essere rilevato in tempo dal software anti-malware. Una volta infettato, è più possibile accedere ai propri dati e non vi è alcuna garanzia di poterli recuperare. Insistiamo vivamente di eseguire periodicamente le copie degli archivi dati su più supporti. Attivare una vera e propria politica dei salvataggi dotandosi di un sistema di backup multiplo ripaga sicuramente. Si consiglia di eseguire backup regolari quotidiani per ripristinare i files infetti e ridurre i danni. Una soluzione di backup robusta e personalizzata che consente di ripristinare le versioni precedenti dei files infetti evita situazioni spiacevoli e fermo lavori costosi. Cosa è possibile fare se il sistema è già stato infettato? Purtroppo, nella maggior parte dei casi non c’è molto che l’utente possa fare, a meno che non sia stato effettuato il backup dei dati. Se non ci sono alternative, sicuramente ci si può appoggiare a strutture che riescono a decifrare i dati bloccati dal ransomware senza dover pagare il riscatto. Oltre a questa costosa soluzione, si può tentare a recuperare i dati modificati e/o cancellati dal ransomware usando apposite utilites. La rapidità con cui un sistema o semplicemente un file viene ripristinato a seguito di un errore o di un attacco ransomware può dipendere dal livello di efficienza della gestione dei processi di backup e ripristino, nonché dal sistema utilizzato. I processi di salvataggio possono risultare complessi e richiedere tempi molto lunghi, si tratta quindi di trovare assieme al nostro consulente, le giuste soluzioni in grado di soddisfare le esigenze specifiche dell'azienda. o Ridurre il rischio associato alla perdita di dati. o Risolvere i problemi di backup assicurando il ripristino dei dati in poche ore. o Ridurre al minimo le interruzioni delle attività o Ridurre i costi associati alle risorse da impiegare nelle attività di backup. Questi sono alcuni punti di intervento che noi della Tecnosoft proponiamo di studiare assieme al responsabile informatico Aziendale. “Le soluzioni le abbiamo.” Di recente abbiamo attivato una collaborazione con società per il recupero dei dati che in molti casi riescono a decriptare i files ostaggio da versioni di ransomware. In maniera gratuita è possibile far effettuare una verifica se la tipologia di criptazione è nota e pertanto recuperare facilmente il tutto inviando alcuni di questi files da analizzare. www.tecnosoft.it Pagina 3 di 3