Parliamo spesso dell’idea che la sicurezza informatica sia diventata più importante che mai. Le minacce sono diventate più sofisticate e i danni sono aumentati. Ma non parliamo spesso del motivo per cui le  minacce sono diventate più difficili da affrontare. Uno dei motivi principali? La criminalità informatica è diventata un grande business. Oggi parleremo della tendenza del malware-as-a-service (MaaS), di come MaaS influisce sul panorama delle minacce e di cosa puoi fare per reagire.

Malware-as-a-service

Il nostro Head Security Nerd, Gill Langston, ha recentemente pubblicato un blog sulla minaccia diffusa per gli ospedali e gli operatori sanitari sulla base di un avviso emesso da US-CERT. La minaccia utilizza la famiglia di ransomware Ryuk, che è stata particolarmente popolare nell’ultimo anno. L’articolo di Gill copre la sequenza temporale dell’attacco per come si svolgono gli attacchi di Ryuk e ti consigliamo vivamente di dare un’occhiata all’articolo pubblicato sul blog se sei interessato.

Ma uno degli aspetti interessanti di Ryuk, e di alcuni attacchi simili, è che sono sofisticati, ma possono essere utilizzati da persone senza sofisticate capacità di hacking e codifica. Gli sviluppatori di Ryuk e attacchi simili spesso fanno un grosso lavoro pesante, quindi vendono l’accesso al malware per una riduzione degli eventuali profitti. Ciò consente agli sviluppatori di malware di guadagnare denaro e ridurre il rischio di rilevamento nel processo.

Ciò significa anche che le persone senza i mezzi per creare i propri attacchi sofisticati ora hanno accesso ad armi cibernetiche più potenti. In un certo senso, gli sviluppatori agiscono come trafficanti di armi, offrendo potenti malware o ransomware a una più ampia comunità di criminali informatici. In breve, più persone possono attaccare con l’artiglieria pesante di quanto non farebbero altrimenti.

Tenere un passo avanti ai criminali informatici

Tuttavia, sebbene questa tendenza sia certamente una cattiva notizia, c’è molto dalla tua parte come consulente IT o fornitore di servizi. Per cominciare, non sei il solo ad affrontare questi problemi. La maggior parte del crimine informatico supera i confini tra il mondo aziendale e quello della sicurezza nazionale che le agenzie governative spesso rilasciano informazioni gratuite per aiutare le organizzazioni a prevenire gli attacchi. Come ha menzionato Gill nel suo blog, vale la pena entrare nelle mailing list di alcune di queste agenzie, quindi sei consapevole quando esiste una potenziale minaccia che potrebbe interessarti direttamente. Ad esempio, puoi iscriverti agli avvisi US-CERT dalla Cybersecurity and Infrastructure Security Agency (CISA) accedendo al loro sito , scorrendo fino alla fine della pagina e iscrivendoti agli avvisi.

Inoltre, il fatto che questi attacchi siano diffusi significa che i fornitori di sicurezza innovano frequentemente per affrontare questi problemi. Sebbene i cattivi abbiano i loro incentivi, il nostro settore si adatta costantemente alle mutevoli circostanze e raccoglie la sfida. Gli MSP possono fare lo stesso.

Allora come fai la tua parte? Quando si tratta di lavorare con i tuoi clienti, vuoi assicurarti di dare loro una sicurezza completa e stratificata dove puoi. Ciò comprende:

• RILEVAMENTO E RISPOSTA DEGLI ENDPOINT

Questo può essere uno dei suggerimenti più importanti qui: il rilevamento e la risposta degli endpoint (EDR) deve svolgere un ruolo centrale nel tuo stack di sicurezza. Mentre alcuni clienti possono trascinare i piedi e restare con l’antivirus, spostarli su EDR è davvero nel loro interesse per aiutare a prevenire questi attacchi sofisticati. Le soluzioni EDR possono cercare anomalie nel comportamento degli endpoint che potrebbero essere ritenute sospette. Ad esempio, se qualcosa sull’endpoint avvia l’eliminazione di massa dei file, può segnalarlo, avvisare il tuo team o persino intraprendere un’azione per tuo conto. Con attacchi più sofisticati progettati per aggirare l’antivirus, la protezione adattiva basata sull’intelligenza artificiale potrebbe presto diventare obbligatoria. Vale la pena raccomandare vivamente EDR nell’attuale ambiente di minaccia (soprattutto perché possiamo aspettarci che questa tendenza peggiori).

• PROTEZIONE E-MAIL

Anche la protezione della posta elettronica deve far parte di qualsiasi approccio alla sicurezza su più livelli. Molti attacchi, in particolare minacce informatiche sofisticate e multistadio, spesso iniziano con un’e-mail. Qualcuno apre un’e-mail, scarica un documento allegato e l’attacco viene lanciato. Per questo motivo, non vuoi tirare i dadi attenendoti alla sicurezza della posta elettronica nativa: l’aggiunta di un prodotto aggiuntivo per la sicurezza della posta elettronica dedicato può aiutarti a sfruttare l’intelligence sulle minacce e l’apprendimento automatico per proteggerti da potenziali minacce.

• BACKUP SU CLOUD

Con l’onnipresente minaccia del ransomware, ti consigliamo di disporre di backup nel cloud fuori sede. Anche se disponi di una soluzione EDR in grado di ripristinare il ransomware, vorrai comunque eseguire il backup nel cloud in caso di perdita del sito a causa di un disastro naturale o per minacce interne come l’eliminazione di massa dei file. È sempre utile avere un backup.

• PATCH

Abbiamo accennato in precedenza come non sei solo. La maggior parte dei fornitori di software lavora instancabilmente per prevenire i difetti di sicurezza e, quando si presentano, trovarli e risolverli. Ecco perché è fondamentale fare la propria parte e correggere le vulnerabilità quando sono disponibili gli aggiornamenti.

Come accennato nel post, uno degli strumenti più importanti per affrontare questo ambiente di minaccia è il rilevamento e la risposta degli endpoint. SolarWinds ® Endpoint Detection and Response utilizza l’intelligenza artificiale delle minacce e l’analisi comportamentale per segnalare e persino rispondere a comportamenti sospetti degli endpoint quando si verificano. Ciò significa che se emerge una nuova minaccia invisibile, SolarWinds EDR può avvisarti anche se la più ampia comunità di sicurezza non è ancora a conoscenza della minaccia.

Scopri di più su SolarWinds EDR (EDRi) integrato nella dashboard di RMM e N-Central

FONTE: SolarWinds MSP BLOG

Traduzione ed adattamento: N4B SRL – Distributore Autorizzato SolarWinds MSP