Gli MSP hanno il compito di proteggere i propri clienti dalle minacce informatiche. Anche se non sei principalmente nel settore della sicurezza, le PMI spesso non fanno la distinzione: spesso presumono che tu gestisca tutto ciò che è IT, inclusa la sicurezza.

I criminali informatici spesso innovano i loro mestieri, condividono le conoscenze con altri criminali e persino noleggiano servizi di malware sofisticati. Ciò significa che dovrai tenere il passo con gli strumenti di sicurezza più recenti per assicurarti di ridurre adeguatamente i rischi per la sicurezza.

In questo blog e nel successivo della serie, tratteremo alcune tendenze del crimine informatico e offriremo un modello di sicurezza a più livelli che puoi utilizzare per proteggere i dati dei tuoi clienti.

Tendenze degli attacchi informatici

Come accennato, i criminali informatici spesso innovano. Mentre molte minacce utilizzano metodi più vecchi e collaudati, alcuni hacker e criminali hanno spostato il crimine informatico in avanti creando nuovi attacchi o creando variazioni su standard precedenti.

Detto questo, diamo una rapida occhiata ad alcuni sviluppi:

  • Ransomware: i criminali informatici utilizzano ancora il ransomware tradizionale per crittografare macchine e dati. Ma con l’attacco ransomware Maze, abbiamo visto i criminali informatici minacciare di violare e rilasciare dati se le vittime non avessero pagato un riscatto. Ciò esercita un’ulteriore pressione sulle vittime affinché paghino.
  • Vettori di attacco: sebbene la posta elettronica rimanga uno dei principali vettori di attacco, abbiamo visto i criminali spostarsi sempre più verso attacchi che utilizzano porte aperte rivolte a Internet, in particolare il protocollo desktop remoto (RDP). Questo cambiamento ha preceduto la pandemia, ma è stato particolarmente devastante poiché le organizzazioni sono passate sempre più al lavoro a distanza.
  • Attacchi senza file: la maggior parte dei programmi antivirus sono progettati per analizzare solo i file. Per contrastare questo problema, i criminali informatici hanno sempre più utilizzato attacchi senza file che vengono eseguiti nella memoria di sistema in modo che i programmi AV non possano rilevarli. Un attacco senza file può sfruttare strumenti di amministrazione pre-approvati dalla maggior parte dei sistemi come PsExec o PowerShell per ottenere persistenza o causare danni.
  • Attacchi agli MSP: infine, abbiamo visto che il crimine informatico si rivolge sempre più a MSP, fornitori di servizi IT e fornitori di sicurezza. I criminali sanno che se compromettono un MSP, spesso possono accedere ai dati di più aziende. Di conseguenza, gli MSP devono prestare sempre maggiore attenzione alla propria sicurezza interna. In alcuni casi, gli MSP potrebbero voler assumere un MSSP esterno per controllare la loro rete interna o eseguire test periodici di penna per ridurre ulteriormente il rischio.

Il tema alla base della maggior parte di questi è che i criminali informatici hanno trovato sempre più modi per aggirare le difese. Ad esempio, Maze ransomware rende il backup e il ripristino discutibili, quindi dovrai concentrarti maggiormente sulla prevenzione del ransomware che sul ripristino (sebbene il backup e il ripristino siano ancora estremamente importanti, soprattutto per il ransomware tradizionale che comprende ancora la maggior parte degli attacchi). Gli attacchi senza file cercano di aggirare l’AV e spesso utilizzano strumenti amministrativi pre-approvati, quindi i programmi antivirus tradizionali potrebbero non essere in grado di rilevare questi attacchi.

La linea di fondo è questa: il livello di sicurezza continua a salire………..

Attacchi in più fasi

Un’altra tendenza importante da menzionare riguarda l’uso di attacchi in più fasi. L’esempio dell’intera catena di attacchi per il ransomware Ryuk può davvero aiutare a illustrare l’importanza di più livelli di sicurezza per potenziali clienti o clienti esitanti. Per riassumere brevemente, la maggior parte degli attacchi attraversa più livelli per essere efficace. Tuttavia, il vantaggio è che questo ti offre più opportunità per prevenire, fermare o recuperare da un attacco.

Ad esempio, un attacco comune potrebbe iniziare a livello di Internet con un’e-mail dannosa. Qui, una buona soluzione per la sicurezza della posta elettronica può tentare di filtrare le e-mail dannose. Se passa oltre, richiede che un utente faccia clic sul collegamento dannoso e, si spera, la formazione sulla sicurezza gli ricorderà di pensarci due volte prima di fare clic su un collegamento dannoso. Se il controllo non funziona, potresti fare in modo che una soluzione di rilevamento e risposta degli endpoint (EDR) annoti il ​​comportamento dannoso dal file scaricato, quindi intraprenda rapidamente un’azione per tuo conto.

Gli strati di cui hai bisogno

Per iniziare a migliorare la tua posizione di sicurezza, è utile avere una struttura in mente. Simile al modello OSI per il networking, pensare in termini di diversi livelli a cui può verificarsi un elemento di un attacco offre maggiori possibilità di risoluzione dei problemi e, nel caso della sicurezza, di posizionare le giuste difese.

Sebbene ci siano più framework là fuori per concettualizzare gli attacchi, ne presenteremo uno semplice qui.

Vale la pena notare che i dati sono al centro del modello. Nella maggior parte dei casi, questo è ciò a cui mirano i criminali informatici: accedere ai dati e rubarli e rivenderli o crittografarli per un riscatto. Di conseguenza, il tuo obiettivo è fermare gli attacchi il più lontano possibile dai dati.

In altre parole, è importante disporre di protezioni a livello di Internet per bloccare le minacce prima che raggiungano la rete o il dispositivo. In questo modo aumenterai le tue possibilità di proteggere quei dati importantissimi per i tuoi clienti.

Attorno a questi dati, abbiamo cinque livelli: dispositivo, applicazione, persone, rete e Internet. Ogni livello ha livelli di protezione specifici che puoi aggiungere per impedire a un attacco di raggiungere i dati. Noterai anche che la recuperabilità è al di fuori di questo modello: i backup non aiutano necessariamente con la prevenzione, ma sono assolutamente essenziali durante la risposta agli incidenti e il ripristino. Devono far parte di qualsiasi stack di sicurezza.

Qual è il prossimo?

Nella seconda parte di questa serie, tratteremo ciò che effettivamente va in ciascuno di questi livelli. Riceverai consigli pratici per le basi della gestione di ogni livello per i tuoi clienti.

Scopri le funzioni di N-ABLE RMM. Se desideri migliorare la protezione degli endpoint per gli endpoint Windows e Mac dei tuoi clienti, inizia con una prova gratuita di 30 giorni di N-ABLE RMM  e contattaci per saperne di più: commerciale@n4b.it

FONTE: N-ABLE BLOG

Traduzione ed adattamento: N4B SRL – Distributore Autorizzato N-ABLE