Affrontare un grave attacco informatico richiede conoscenze specialistiche e, fortunatamente, non è qualcosa che la maggior parte dei team IT deve affrontare quotidianamente. Se accade il peggio, è una buona idea coinvolgere dei soccorritori specializzati in incidenti informatici per aiutarti a neutralizzare e a rimediare all’attacco.
Rispondere a un attacco informatico grave può essere incredibilmente stressante. Sebbene nulla possa alleviare completamente lo stress dovuto alla sua gestione, disporre di un efficace piano di Incident Response è un modo infallibile per ridurre al minimo l’impatto. Sapere in anticipo chi contattare per l’assistenza specialistica in caso di incidenti informatici accelererà la tua risposta e ridurrà i costi finanziari e operativi dell’incidente.
La nostra ricerca mostra che il 90% delle organizzazioni ha una qualche forma di piano di Incident Response. Se aggiungi ora Sophos Rapid Response al tuo, non perderai tempo a cercare di identificare un provider nel bel mezzo dell’attacco.
Se non hai ancora preso in considerazione l’utilizzo di un servizio di Incident Response di emergenza, queste tre recenti situazioni in cui il team di Sophos Rapid Response è stato coinvolto potrebbero convincerti a tenere il numero di telefono di un esperto a portata di mano.
1. sistemi IT modificati aumentano il rischio
Molte aziende hanno subito un cambiamento significativo per adattarsi alla pandemia di COVID-19 e ai nuovi modelli di lavoro a distanza. Per un’azienda di medie dimensioni, attiva 24 ore su 24, 7 giorni su 7, lo spostamento di una rete da air gap a online ha cambiato il livello di rischio, lasciandola inavvertitamente esposta agli attacchi.
Gli aggressori hanno rilasciato il ransomware poche ore dopo, alle 4 del mattino, ora locale. Per le quattro ore successive, l’IT dell’obiettivo e il team Rapid Response di Sophos sono stati impegnati in un combattimento dal vivo con gli avversari umani che hanno orchestrato l’attacco.
Quest’ultimo alla fine è fallito, ma non prima che gli aggressori avessero crittografato i dati presenti su dispositivi non protetti, eliminato i backup online e distrutto un dominio online e non difeso.
2. Sei stato osservato
Molte organizzazioni non dispongono del livello di visibilità della propria rete che consenta loro di riconoscere un avversario in agguato, come nel caso dell’attacco ransomware Colonial Pipeline.
Molti degli odierni operatori di ransomware preferiscono agire in completa segretezza fino al momento di rilasciare il payload finale, spesso durante i tempi di inattività dell’azienda. Secondo l’Active Adversary Playbook 2021 di Sophos, il tempo medio di permanenza degli aggressori osservato è di 11 giorni, con alcune aziende che hanno aggressori presenti nella loro rete per sei mesi o più.
Allo stesso modo, durante un attacco, è necessario stabilire un metodo di comunicazione per garantire una risposta rapida. Ciò dovrebbe tenere conto della possibilità che i normali canali di comunicazione (ad es. e-mail aziendale) possano essere interessati da un incidente. Avrai voglia di parlare con le persone di ciò che sta accadendo, ma gli aggressori potrebbero intercettarti, quindi non utilizzare i normali canali di comunicazione. Se gli intrusi sono nella tua rete da un po’ di tempo, probabilmente avranno accesso alla posta elettronica, ad esempio.
3. L’educazione degli utenti è fondamentale
Nel caso di un attacco a un istituto di ricerca biologica che coinvolgeva il ransomware Ryuk, gli studenti hanno utilizzato i loro personal computer per accedere alla rete. Ciò ha lasciato l’istituto esposto nel momento in cui uno di questi studenti universitari esterni ha deciso di volere una copia personale di uno strumento software di visualizzazione dei dati che stavano già utilizzando per lavoro. Per evitare di acquistare questo costoso software, ha cercato una versione “craccata” e ha invece scaricato un info-stealer dannoso che ha messo in moto l’attacco ransomware.
In questo caso, l’implementazione di una solida autenticazione di rete e controlli di accesso, combinata con la formazione dell’utente finale, avrebbe potuto impedire il verificarsi di questo attacco. Serve come un potente promemoria di quanto sia importante avere le corrette basi di sicurezza.
In conclusione
Prepara un piano di Incident Response efficace e aggiornalo secondo necessità. Se ritieni di non avere le competenze o le risorse per farlo – per monitorare le minacce o per rispondere a incidenti di emergenza – considera la possibilità di rivolgerti a esperti esterni per chiedere aiuto.
Ricorda che potresti non essere in grado di utilizzare i tuoi normali canali di comunicazione durante un incidente. Pianifica in anticipo assicurandoti che i contatti chiave (inclusi esperti esterni) siano dettagliati nel tuo piano di risposta e assicurati di poter accedere al piano offline.
Se si verifica un incidente attivo, il servizio Sophos Rapid Response può aiutarti a uscire rapidamente da un incidente informatico. Il nostro team di esperti addetti all’Incident Response è disponibile 24 ore su 24, 7 giorni su 7, 365 giorni all’anno per aiutare qualsiasi organizzazione che subisca una violazione attiva.
Per parlare con il team Sophos Rapid Response italiano chiama il numero: 02 873 17993
Se poi vuoi sapere in dettaglio come funziona, come ingaggiarlo e vederlo all’opera su un caso reale iscriviti al nostro webinar che si terrà il 1° dicembre alle ore 10:00. Puoi farlo collegandoti a questo link: https://events.sophos.com/webinar-sophosrapidresponse?cmp=135241