La sicurezza informatica sta diventando sempre più cruciale e fondamentale per gli MSP per poter garantire ai propri clienti un livello tranquillità e “sicurezza” per la loro integrità e business continuity.

Il settore dei servizi gestiti ha visto un’ondata di clienti colpiti da ransomware a causa degli aggressori che hanno avuto accesso ai loro sistemi tramite strumenti utilizzati dal loro provider di servizi gestiti (MSP) per gestire e monitorare da remoto i sistemi client. Mentre i vendors hanno accusato gli MSP di aver utilizzato credenziali deboli e cattiva cyberhygiene, gli MSP sono sempre più minacciati mentre gli aggressori si rendono conto che l’accesso ai loro sistemi può dare loro accesso diretto a molte aziende diverse.

Oggi, come MSP, dovresti aspettarti che i tuoi sistemi (e quelli dei tuoi clienti) vengano attaccati. Riuscire a violare la sicurezza di un MSP apre le porte di tutti i suoi clienti, un unico attacco permette di raggiungere i dati di molti clienti. Il ransomware può colpire chiunque, ovunque, in qualsiasi momento e non esiste un proiettile magico per fermarlo. Tuttavia, puoi essere preparato, e ciò significa mettere in atto sistemi, strumenti e processi per aiutarti a evitare gli attacchi, o quantomeno contenerli e limitarne l’effetto.

Ecco un elenco di ciò che ogni MSP (indipendentemente dalla soluzione utilizzata) dovrebbe prendere in considerazione per garantire che i propri sistemi e quelli dei propri clienti siano più sicuri. Nota che questo non è un elenco esaustivo.

3 strumenti indispensabili

  • Protezione dati

Avere un sistema di backup efficace ed una procedura di disaster recovery organizzata e testata è di livello 101 quando si tratta di limitare l’impatto di una violazione. È semplice: quando i dati di un’azienda sono bloccati dal ransomware, devi essere in grado di recuperarli rapidamente e con il minor numero possibile di dati persi. In caso contrario, si potrebbero verificare gravi perdite finanziarie per l’azienda. È qui che entra in gioco il backup ed la procedura di disaster recovery : con il backup regolare dei sistemi e la possibilità di ripristinarli rapidamente, si limita l’impatto che avrà una violazione.

Per fare ciò, è necessario sapere esattamente quanti dati l’azienda può permettersi di perdere (obiettivo del punto di ripristino o RPO) e per quanto tempo può permettersi di rimanere offline senza incorrere in gravi perdite finanziarie (obiettivo del tempo di recupero o RTO). Scopri di più su RTO e RPO qui . Una volta che conosci i limiti accettabili, puoi impostare gli SLA per soddisfare i tuoi clienti, garantendo allo stesso tempo l’impatto di eventuali interruzioni.

  • Rilevazione e risposta dell’endpoint (EDR)

Oggi, l’antivirus non è sufficiente per proteggere dalla crescente marea di malware e ransomware e minacce zero days. È qui che entra in gioco End Point Detection & Response (EDR).

Le soluzioni EDR vanno oltre le soluzioni antivirus. Invece di usare le firme tradizionali, analizzano le attività su un endpoint per individuare comportamenti sospetti. Invece di aspettare che una firma venga scoperta e inviata a una soluzione AV, gli strumenti EDR utilizzano l’intelligenza artificiale e l’apprendimento automatico per individuare comportamenti anomali che altre soluzioni non potrebbero rilevare. Ad esempio, se una connessione viene stabilita tramite RDP per raggiungere un comando e controllare la rete per scaricare un virus, EDR potrebbe notare questo come un comportamento strano e tentare di spegnerlo automaticamente.

Gli MSP che utilizzano EDR possono aiutare a ridurre il rischio di una grave violazione e risolvere i problemi di sicurezza prima che diventino catastrofici. Ad esempio, se il ransomware tenta di crittografare i file sul computer di un cliente, un prodotto come EDR può interrompere e mettere in quarantena il processo offensivo e ripristinare rapidamente l’endpoint in uno stato sicuro, sostituendo i file crittografati con versioni integre e integre. Ciò consente di evitare tempi di inattività, perdita di produttività e telefonate irritate da parte dei clienti.

  • Monitoraggio delle minacce

Sempre più spesso, quando si parla di sicurezza informatica, i dati sono i re, il nuovo petrolio. Più conoscenza e intelligence hai sulla tua rete e sulle minacce possibili, meglio è, a condizione che le soluzioni per  gestirle siano pertinenti e attuabili. Le soluzioni di rilevamento e monitoraggio delle minacce sfruttano più feed di intelligence per aiutare a rilevare minacce in un panorama più ampio e allarmi sonori. La soluzione di monitoraggio delle minacce può automatizzare gran parte del processo e contribuire a collocare la tua intelligence sulle minacce nel contesto insieme ad altri dati, come i log. È quindi possibile utilizzare queste informazioni per rilevare le minacce e, si spera, risolverle il prima possibile.

Questo può aiutarti a rilevare anomalie nell’ambiente di rete prima che causino il caos. È possibile che si desideri aumentare i profili di monitoraggio degli utenti amministratori e indagare su eventuali azioni strane. Ad esempio, se noti più tentativi di accesso non riusciti su un account amministratore, verifica se proviene da un utente legittimo o da attori malintenzionati.

3 processi indispensabili

  • Formazione sulla consapevolezza della sicurezza 

I dipendenti tuoi e dei tuoi clienti sono le tue risorse più importanti, ma possono anche essere il tuo anello più debole quando si tratta di sicurezza informatica. Se le persone non comprendono l’importanza di password complesse e fanno clic sugli allegati nelle e-mail potenzialmente pericolose, stai lasciando una grande backdoor aperta nelle reti della tua azienda ed in quelle dei tuoi clienti. Tenere sessioni di formazione regolari può aiutare a rafforzare le basi della sicurezza informatica e trasformare i dipendenti in un deterrente piuttosto che in una vulnerabilità. Tuttavia, la formazione deve essere coinvolgente e non un semplice atto formale: leggi il nostro blog  sulla formazione e sulla consapevolezza della sicurezza per assicurarti di ottenere il risultato giusto.

  • Test di penetrazione

Testare qualsiasi processo o prodotto è una parte vitale per creare un’azienda di successo. Lo stesso dovrebbe essere detto per la tua sicurezza. I penetration test dovrebbero essere considerati una parte fondamentale di qualsiasi strategia di sicurezza poiché consentono agli ambienti di essere sottoposti a stress test in modo controllato. Questo può aiutare le aziende a prepararsi per attacchi informatici, malware e altro, controllando continuamente e regolarmente la presenza di punti deboli, vulnerabilità e comportamenti scorretti degli utenti su app, servizi e reti. E questo vale anche per la tua rete. Chiedi a qualcuno di testare la tua rete. L’ultima cosa che desideri è che la tua infrastruttura lasci i tuoi clienti vulnerabili. Con i criminali che prendono sempre più di mira gli MSP, devi assicurarti che la tua “casa” sia in ordine. Se non è possibile eseguire autonomamente i penetration test, è possibile collaborare con un provider di servizi di sicurezza gestiti (MSSP) per aiutarti.

  • Risposta all’incidente

I rapporti suggeriscono che uno degli MSP violati abbia effettivamente fatto ricorso al pagamento degli hacker nel tentativo di sbloccare i dati, ma questa è una strategia molto rischiosa e non sappiamo se abbia avuto successo in questo caso. Pochissime aziende ammettono di aver pagato a seguito di un attacco ransomware, quindi i dati sul funzionamento effettivo sono poco chiari. Ricorda che queste persone sono criminali: ti fideresti di loro?

Ciò significa disporre di un piano di continuità aziendale adeguato, che deve includere un’efficace strategia di recupero dei dati (vedere la protezione dei dati sopra), la capacità di chiudere o mettere in quarantena le aree della rete e comprendere come gestire la divulgazione nell’evento di una violazione per garantire la conformità alle normative sui dati chiave che riguardano la tua azienda e la tua regione (anche a quelle in ambito GDPR). È fondamentale che il tuo team sappia come gestire eventuali incidenti non appena si presentano, in modo rapido ed efficace.

Sicuro, non mi dispiace

In questi giorni chiunque può cadere vittima di un attacco informatico. Tuttavia, gli MSP rappresentano un obiettivo redditizio per molti hacker a causa del valore dei dati e dei sistemi IT che controllano. Quando arriverà il prossimo attacco e quale forma prenderà, non lo sappiamo. I criminali informatici sono in costante innovazione. Ma dovresti aspettarti di essere attaccato e devi essere preparato. Anche se non stai fornendo servizi di sicurezza, devi mantenere la tua casa in ordine. NON DEVI assolutamente essere l’anello debole nelle difese del tuo cliente.

Adotta un approccio proattivo, scopri l’importanza di scegliere il partner e gli strumenti adeguati per garantire alle Aziende e alla P.A. la sicurezza IT, la Business Continuity e la compliance al GDPR.

N4B SRL Distributore Solarwinds MSP – Legal Logger – Swascan – LeadBI  Partner Privacylab Academy

– 0522-1607412