[section_title title=L’aumento del Ransomware nella sanità: “pagare o non pagare” è questo il dilemma – Parte 2]
Come proteggersi
Il training e la consapevolezza degli utenti sono fondamentali e probabilmente il primo passo per proteggersi dal ransomware. Gestire ogni mail sospetta con cautela; guardare il nome del dominio da cui proviene; controllare alla ricerca di errori di battitura; revisionare la firma e la legittimità della richiesta. Passa sul link per verificare dove conduce e, se l’URL sembra sospetto, digita il sito nel browser o tenta di trovarlo con i motori di ricerca piuttosto che cliccare sul link della mail. Per incrementare la sicurezza, le organizzazioni dovrebbero implementare una soluzione di sicurezza della posta elettronica che effettua la scansione di tutti gli allegati, oltre a filtrare alla ricerca di spyware e spam. Insieme al training periodico degli utenti e alla valutazione del rischio, sarebbe opportuno condurre test sulle vulnerabilità di phishing.
Dato che la maggior parte degli utenti interagisce con dispositivi personali/corporate, gli endpoint sono particolarmente a rischio se non vengono gestiti e se non dispongono della corretta protezione anti-malware. Le soluzioni anti-virus sono basate su signature e si dimostrano inefficaci se non sono aggiornate regolarmente. Le più nuove varianti di ransomware dispongono di hash univoci e di conseguenza non identificabili dalle tecniche signature based. Molti utenti disattivano le scansioni anti virus per evitare rallentamenti del sistema. Per indirizzare queste limitazioni, esistono soluzioni di endpoint security che si avvalgono di machine learning e intelligenza artificiale avanzate per identificare il malware. Sono caratterizzate anche da un footprint contenuto causando un overhead minimo sulle prestazioni.
La gestione degli endpoint è anch’essa una sfida aggiuntiva dato che negli ospedali i dispositivi si differenziano per formato e sistema operativo. I device mobile sono particolarmente vulnerabili come indicato nel 2016 Dell Security Annual Threat Report, che ha scoperto un numero crescente di ransomware indirizzati all’ecosistema Android. Scegliere una soluzione in grado di automatizzare il patching e gli aggiornamenti in ambienti con device, sistemi operativi e applicativi eterogenei sarà molto utile per indirizzare svariate minacce, tra cui il ransomware.
La maggior parte degli attacchi ransomware cercherà di diffondersi dall’endpoint all’infrastruttura di back-end, tramite la rete aziendale, dove risiedono i dati e le applicazioni mission critical. Segmentare la rete e isolare applicazioni e dispositivi critici su una rete separata o una virtual LAN può limitare la diffusione. Disporre del giusto next-generation firewall in grado di scansire il traffico indipendentemente dalle dimensioni dei file è fondamentale. Con l’aumento del traffico SSL cifrato, come indica il Dell Security Threat Report, c’è sempre il rischio di scaricare malware cifrato invisibile ai firewall tradizionali. E’ quindi fondamentale assicurarsi che il firewall/IPS sia in grado di decifrare e ispezionare il traffico cifrato senza rallentare la rete. La soluzione dovrebbe monitorare il traffico in ingresso e in uscita, e bloccare le comunicazioni con indirizzo IP sulle black list dato che il ransomware cerca di stabilire contatto con i suoi server command and control. Infine, non appena viene identificata una nuova variante di malware, il firewall dovrebbe disporre di un aggiornamento automatico e un processo di gestione centralizzato per il rapido rollout di update o policy su tutti i nodi.
Per gli utenti remote al di fuori del perimetro della rete aziendale, l’acceso Virtual Private Network (VPN) deve stabilire una connessione sicura, ma anche condurre un certo livello di interrogazione del device per verificare la conformità delle policy sull’endpoint. Se non dispone degli update di sicurezza richiesti non gli sarà concesso l’accesso in rete oppure potrà accedere a un set limitato di risorse.
Un’altra salvaguardia per evitare di pagare il riscatto è disporre di una valida strategia di backup and recovery. A seconda di quanto velocemente è stata identificata la compromissione, quanto si è diffusa e il livello di dati persi è accettabile, il rispristino da backup potrebbe essere una valida opzione. Tuttavia, questo richiede una strategia di backup intelligente, allineata alla criticità dei dati e alle esigenze di business in termini di recovery point e recovery time. Infine, avere una strategia non è sufficiente. Test periodici di disaster recovery e business continuity sono altrettanto importanti.
Essere preparati a indirizzare la minaccia del ransomware sta divenendo rapidamente una priorità per le istituzioni sanitarie. E’ in preparazione una nuova legge che amplierà gli atti HITECH al fine di includere la notifica di breach per attacchi ransomware, mettendo ancora più pressione sui provider affinché mettano in essere delle contromisure efficaci.
