Una nuova guida dal blog di Netwrix per aiutare i professionisti IT a rinforzare le proprie difese contro i Ransomware

Quest’anno, i ransomware sono stati ai primi posti della classifica dei problemi di sicurezza che hanno causato notti insonni ai responsabili della sicurezza IT. Nonostante fosse diverso tempo che gli attacchi ransomware erano in crescita, quest’anno si è verificato un evento apocalittico: WannaCry ha infettato più di 300.000 computer in 99 paesi, compresi quelli di aziende note e organizzazioni governative di tutto il mondo quali Renault, LATAM Airlines, Deutsche Bahn, FedEx e il servizio sanitario nazionale del Regno Unito.

Non esiste uno strumento magico per prevenire gli attacchi di ransomware dato che i cybercriminali si stanno continuamente innovando. Tuttavia, una combinazione intelligente delle misure di sicurezza elencate qui sotto potrà aiutarvi a rinforzare le vostre difese.

È qui riportata una guida rapida per prevenire gli attacchi da ransomware:

#1. Se utilizzi Windows, assicurati che la versione sia Windows 10

Una delle motivazioni per cui il ransomware ha colpito il SSN del Regno Unito così pesantemente è stato perché era in uso una versione di Windows non aggiornata dal 2014. Le aziende con Windows 10 non sono state colpite da WannaCry e Petya. Poiché la difesa da malware e virus è un costante gioco al gatto e al topo, Microsoft rilascia aggiornamenti per Windows 10 due volte all’anno per assicurare ai suoi utenti un sistema operativo protetto contro gli ultimi strumenti di attacco. Inoltre vengono rilasciati due aggiornamenti qualitativi al mese, aggiornando funzionalità che comprendono modifiche per garantire la massima protezione agli utenti di Windows 10 da nuove minacce.

Le aziende hanno la possibilità di utilizzare la Long Term Servicing Branch (LTSB), una versione di Windows 10 che riceve gli aggiornamenti delle funzionalità una volta ogni 3 anni. Microsoft non raccomanda l’utilizzo di questa versione in quanto espone gli utenti a rischi e ne compromette la sicurezza.

Windows Defender è stato implementato dentro Windows 10 e la versione Enterprise E5 SKU include Windows Defender Advanced Threat Protection, che fornisce una elevata protezione contro gli exploit zero-day grazie ai miglioramenti nel rilevamento tramite analisi comportamentali e apprendimento automatico.

#2. Non ignorare gli aggiornamenti

Dato che Windows 10 è un esempio di SaaS (Software as a Service), Microsoft richiede che i dispositivi che non appartengono al Long-Term Servicing Branch ricevano aggiornamenti altrimenti saranno esclusi dalle funzionalità più recenti. Windows Update for Business utilizza il servizio Windows Update basato su cloud per rilasciare e gestire gli aggiornamenti di Windows, garantendo così alle aziende una certa flessibilità nel decidere quando verranno applicati gli aggiornamenti di qualità e il miglioramento delle funzionalità, ma questi aggiornamenti non possono essere rimandati a tempo indeterminato.

Le grandi aziende devono verificare gli aggiornamenti e, nonostante questa sia una best practice, applicare il prima possibile questi aggiornamenti piuttosto che troppo tardi, per garantire la protezione del proprio business. I reparti IT sono naturalmente sotto pressione, ma devono trovare il modo di garantire che i dispositivi siano aggiornati per proteggerli dalle ultime minacce.

#3. Impostazione del controllo delle applicazioni

Le versioni Enteprise SKU di Windows hanno il controllo delle applicazioni integrato, consentendo alle aziende di creare whitelist di eseguibili, script, file di installazione e applicazioni del Windows Store approvati e sicuri. Una delle modalità tramite cui WannaCry infetta macchine Windows è impiantando un file dropper JavaScript quando un utente fa click su un collegamento dannoso. In Windows 10, i componenti AppLocker o Device Guard possono bloccare questi file.

La PowerShell è diventata una delle vie preferite degli hacker per compromettere Windows, pertanto è necessario garantire che solamente script sicuri possano eseguire al suo interno. La modalità ConstrainedLanguage limita fortemente quello che la PowerShell può fare tramite codice che non è firmato e garantito da Windows. Abilitare le regole di script di AppLocker è l’unico modo supportato di mettere la PowerShell in modalità ConstrainedLanguage.

Un altro dei modi preferiti degli hacker di compromettere Windows è tramite il codice Visual Basic per applicazioni. Se un utente ha Microsoft Office, è necessario valutare di limitare la possibilità di fargli eseguire macro. Lo si può fare tramite l’impostazione di criteri di gruppo nel Office Trust Center per bloccare le macro nella maggior parte dei dispositivi.

#4. Segui le best practices di sicurezza

Molte aziende non riescono a seguire le best practices di sicurezza basilari. Microsoft ha pubblicato le impostazioni di base di sicurezza raccomandate per Windows come parte del Security Compliance Toolkit. Invece di decidere come configurare individualmente centinaia di postazioni, è possibile lasciare fare questo lavoro a Microsoft.

Le impostazioni di base che erano state pubblicate prima di WannaCry disabilitavano Server Message Block v1, il protocollo legacy (cioè quello che non viene più aggiornato da tempo) che WannaCry ha utilizzato per infettare remotamente le macchine Windows, permettendo ai ransomware di propagarsi rapidamente. Se le aziende avessero messo in atto le misure descritte sopra, molte di esse avrebbero evitato il disastro di WannaCry.

È inoltre importante seguire le raccomandazioni per l’impostazione degli account di gestione privilegiati. Rimuovere i privilegi amministrativi agli utenti, restringere l’utilizzo di account amministratori di dominio solo ai domain controller e assicurarsi che gli account di amministratore locale abbiamo password univoche su ogni dispositivo può proteggere contro attacchi di tipo pass-the-hash e da token. Credential Guard in Windows 10 Enterprise fornisce una protezione aggiuntiva per gli account di dominio isolandone le credenziali grazie all’utilizzo della virtualizzazione hardware.

 

https://blog.netwrix.com/2017/08/30/quick-guide-how-to-prevent-ransomware/