Best practice per la protezione dal ransomware nel cloud nel 2025

Gli attacchi ransomware nel cloud sono in aumento, poiché le aziende adottano sempre più spesso tecnologie cloud. Per proteggere la tua organizzazione:

1. Implementa piani di backup e ripristino robusti
2. Utilizza l'autenticazione a più fattori e controlli di accesso rigorosi
3. Implementare un monitoraggio continuo e un sistema di rilevamento delle minacce basato sull'intelligenza artificiale
4. Mantenere tutti i software aggiornati e patchati
5. Condurre regolarmente corsi di formazione per i dipendenti sulla sicurezza informatica
6. Crittografare i dati sensibili e utilizzare un archivio cloud sicuro
7. Disporre di un piano di risposta agli incidenti chiaro e pronto all'uso

Strumenti come CWPP di SentinelOne possono aiutare a rilevare e rispondere rapidamente agli attacchi. Siate vigili e date priorità alla sicurezza del cloud per proteggere la vostra azienda dalle minacce ransomware in continua evoluzione.

Il BlackBerry Global Threat Intelligence Report (edizione settembre 2024) rivela che il ransomware cloud viene utilizzato sia dai criminali informatici che dalle organizzazioni criminali per colpire aziende di tutti i settori in tutto il mondo.

Un esempio recente è l'attacco ransomware del marzo 2024 al, in cui sono stati rubati 88 gigabyte di dati, causando il blocco della produzione.

Gruppi come questi adottano rapidamente nuovi approcci e tattiche per eludere i tradizionali meccanismi di protezione dal ransomware nel cloud e cercano nuove vulnerabilità di sicurezza. Gli attori che distribuiscono ransomware nel cloud sono per lo più motivati da ragioni finanziarie, poiché chiedono un riscatto in cambio dei dati rubati.

Gli attacchi ransomware nel cloud sono in costante aumento, poiché circa il 40% delle organizzazioni intervistate nell'ambito dell'indagine annuale sulla sicurezza SaaS 2024 ha ammesso di aver affrontato un incidente ransomware SaaS negli ultimi due anni. Sta accadendo più spesso di quanto si pensi.

Non sorprende che lo stesso sondaggio ha rilevato che il 71% delle organizzazioni ha aumentato i propri investimenti nella protezione dal ransomware nel cloud, mentre il 68% delle organizzazioni ha aumentato gli investimenti nell'assunzione e nella formazione del personale in strumenti e strategie di protezione dal ransomware nel cloud.

Pertanto, questo articolo affronterà le sfide uniche della protezione dal ransomware nel cloud. Imparerete tattiche pratichetattiche concrete per rafforzare la configurazione del cloud, sia che si tratti di un sistema ibrido o di un sistema completamente basato sul cloud computing.

Gli attacchi ransomware nel cloud sono in costante aumento: circa il 40% delle organizzazioni intervistate nell'ambito dell'indagine annuale sulla sicurezza SaaS 2024 ha ammesso di aver affrontato un incidente ransomware SaaS negli ultimi due anni. Succede più spesso di quanto si possa pensare.

Non sorprende che lo stesso sondaggio abbia rilevato che il 71% delle organizzazioni ha aumentato i propri investimenti nella protezione dal ransomware nel cloud, mentre il 68% delle organizzazioni ha aumentato gli investimenti nell'assunzione e nella formazione del personale in strumenti e strategie di protezione dal ransomware nel cloud.

Pertanto, questo articolo affronterà le sfide specifiche della protezione dal ransomware nel cloud. Otterrete tattiche pratiche per rafforzare la vostra configurazione cloud, sia che utilizziate un sistema ibrido o che abbiate adottato completamente il cloud computing.

Che cos'è il ransomware cloud?

Il ransomware cloud è un software dannoso che prende di mira le risorse cloud, come le applicazioni SaaS, l'archiviazione cloud o l'infrastruttura. Blocca i dati o i sistemi, richiedendo un pagamento per ripristinare l'accesso o decrittografare i file.

Vettori di attacco del ransomware cloud

Un esempio recente di vulnerabilità di sicurezza che ha coinvolto Microsoft Power Apps si è verificato nel marzo 2023, quando i ricercatori hanno scoperto una vulnerabilità critica nella funzione Custom Code della Power Platform.

Questa vulnerabilità comportava il rischio di divulgazione delle informazioni. Fortunatamente, Microsoft ha agito rapidamente e ha rilasciato una prima correzione il 7 giugno 2023, per mitigare il problema per la maggior parte dei clienti.

Questo incidente evidenzia come gli operatori di ransomware cloud sfruttino vari punti di ingresso, noti come vettori di attacco, per infiltrarsi e compromettere gli ambienti cloud. Questi vettori di attacco possono essere classificati come segue:

Potenziali vulnerabilità

• Difetti nelle API dei fornitori di servizi cloud (ad esempio, bypass dell'autenticazione, autorizzazioni eccessive, vulnerabilità di iniezione)
• Punti deboli nei modelli di sicurezza a responsabilità condivisa
• Vulnerabilità nelle piattaforme di orchestrazione dei container (ad es. Kubernetes)

Errori di configurazione comuni

• Controlli di accesso eccessivamente permissivi sui bucket di archiviazione cloud
• Segmentazione della rete virtuale configurata in modo errato
• Impostazioni di crittografia inadeguate per i dati inattivi e in transito

Pratiche di sicurezza inadeguate

• Gestione inadeguata delle chiavi di accesso e dei segreti
• Applicazione non uniforme delle patch alle risorse cloud
• Mancanza di politiche di gestione delle identità e degli accessi

Perché la protezione dal ransomware nel cloud è fondamentale nel 2025

Il ransomware è una piaga moderna che si sta diffondendo rapidamente. Solo nel 2023, l'FBI ha segnalato di aver ricevuto oltre 2.800 denunce con perdite pari a 59,6 milioni di dollari. Ma questo è solo l'inizio: il vero costo del ransomware può devastare i vostri dati, interrompere le operazioni e rovinare la vostra reputazione.

Alcuni esempi di recenti attacchi ransomware basati sul cloud includono:

• Sofisticazione degli attacchi in continua evoluzione: Nel maggio 2023, il gruppo di ransomware CL0p ha sfruttato una vulnerabilità zero-day di tipo SQL injection nel software cloud MOVEit Transfer, colpendo numerose organizzazioni ed esponendo i dati sensibili archiviati nel cloud.
• Criticità dei dati: Il servizio di trasferimento file basato su cloud GoAnywhere MFT ha subito un attacco zero-day nel maggio 2023. Il gruppo ransomware Cl0p ha sfruttato questa vulnerabilità, accedendo ed esfiltrando dati sensibili da oltre 130 organizzazioni che utilizzavano il servizio.
• Pressioni normative: Il 13 aprile 2024, Young Consulting è stata vittima di un attacco ransomware da parte di Black suit. L'esito di questo attacco ha portato alla divulgazione dei dati personali di circa 1 milione di persone. Questa violazione non ha solo causato la perdita di dati, ma ha anche provocato problemi di conformità con il GDPR e l'HIPAA.
• Danno alla reputazione: L'attacco ransomware del 2022 al gestore di password basato su cloud LastPass ha portato al furto dei dati dei clienti, danneggiando gravemente la reputazione dell'azienda e la fiducia dei suoi utenti.
• Continuità operativa: Nel dicembre 2021, il fornitore di servizi di gestione delle risorse umane basati su cloud Ultimate Kronos Group (UKG) ha subito un attacco ransomware che ha interrotto i suoi servizi di cloud privato, compromettendo la gestione delle retribuzioni e della forza lavoro di aziende come MGM Resorts, Samsung, PepsiCo, Whole Foods, Gap e Tesla.

Migliori pratiche per prevenire il ransomware nel cloud

Cybersecurity Ventures definisce il ransomware la "minaccia più immediata" al giorno d'oggi. Per proteggersi da esso, ecco alcune pratiche essenziali:

#1 Implementare piani di backup e ripristino robusti

A causa di piani di backup o ripristino inadeguati, le organizzazioni possono trovarsi ad affrontare tempi di inattività prolungati e perdite finanziarie significative.

L'incidente di ransomware gennaio 2023 Royal Mail ransomware, messo a segno dalla banda LockBit, è un ottimo promemoria dei rischi esistenti. Mettete regolarmente alla prova i vostri piani di ripristino, sottoponeteli sempre a stress test e non limitatevi a fidarvi ciecamente.

L'automazione dei backup può anche ridurre la possibilità di errori, assicurando che i vostri file rimangano protetti in ogni senso, sia durante il trasferimento che a riposo.

#2 Autenticazione a più fattori (MFA) e controlli di accesso

Impostate un pass MFA. Questo può rappresentare un ostacolo difficile da superare per gli attori non autorizzati. L'autenticazione MFA è molto sottovalutata, ma è fondamentale, come indicano i rapporti di Microsoft indicano che il 99,9% degli account violati non disponeva di MFA, che avrebbe potuto prevenire oltre il 99,2% degli attacchi.

Oltre all'autenticazione a più fattori (MFA), è possibile provare a rafforzare l'accesso attraverso politiche di privilegi minimi, garantendo agli utenti solo ciò di cui hanno bisogno e nulla di più.

I professionisti IT possono integrare metodi di autenticazione adattivi che variano in base alla posizione, al dispositivo o ad altri fattori contestuali. Verificate regolarmente queste autorizzazioni e, per le azioni sensibili, potete affidarvi all'accesso Just-In-Time (JIT) per ridurre i rischi di esposizione non necessari.

#3 Monitoraggio continuo e rilevamento delle minacce

IBM riferisce che nel 2023 il tempo medio necessario per identificare una violazione era di 204 giorni, un periodo troppo lungo per adottare un approccio proattivo. È necessario implementare sistemi avanzati di rilevamento delle minacce che utilizzano l'analisi comportamentale per individuare rapidamente le anomalie.

Security Information and Event Management (SIEM) utilizzano l'analisi del comportamento degli utenti e delle entità (UEBA) per un rilevamento dettagliato delle minacce. Valutate la possibilità di istituire un centro operativo di sicurezza (SOC) attivo 24 ore su 24, 7 giorni su 7, o di collaborare con un fornitore di servizi di sicurezza gestiti come McAfee, IBM Security o Microsoft Azure Security Center per garantire una vigilanza continua.

#4 Aggiornamenti software e patch regolari

Una vulnerabilità critica, la vulnerabilità di Microsoft Exchange (CVE-2023-21709) – è emersa nell'agosto 2023 e consentiva agli aggressori di aumentare i privilegi senza l'interazione dell'utente. Microsoft ha rilasciato una correzione più completa (CVE-2023-36434) in ottobre, eliminando la necessità di modifiche manuali alla configurazione.

L'automazione della gestione delle patch con strumenti come Microsoft Intune, Google Workspaces, Amazon Workspaces o WSUS garantisce il controllo di queste correzioni critiche.

Monitorate le vostre risorse cloud verificando regolarmente la presenza di software obsoleti e configurazioni errate e mantenete un inventario completo di tutte le vostre risorse cloud per garantire che nulla sfugga al vostro controllo.

#5 Programmi di formazione e sensibilizzazione dei dipendenti

La vostra sicurezza è forte solo quanto il vostro anello più debole, che spesso è l'errore umano.

Una formazione costante e mirata sul phishing e sul social engineering è fondamentale per mantenere un team vigile.

I responsabili di reparto dovrebbero organizzare attacchi di phishing simulati per testare la reazione dei dipendenti sotto pressione, assicurandosi che siano preparati ad affrontare minacce reali.

Cercate di scoraggiare l'attribuzione di colpe e incoraggiate la segnalazione tempestiva di qualsiasi attività sospetta.

Più rapidamente il vostro team si sentirà a proprio agio nel dare l'allarme, più velocemente sarà possibile neutralizzare le potenziali minacce.

#6 Crittografia dei dati e archiviazione sicura nel cloud

La violazione del 2023 del Dipartimento dei Trasporti degli Stati Uniti, che ha compromesso i dati personali di 237.000 dipendenti, ha sottolineato l'importanza fondamentale della crittografia.

Non lasciare i tuoi dati esposti al pubblico: crittografali. Proteggi le tue chiavi, sostituiscile spesso e scegli un servizio di archiviazione cloud con una crittografia integrata solida. Per le informazioni più sensibili, fate uno sforzo in più con la crittografia lato client, in modo da essere gli unici a detenere le chiavi.

#7 Utilizzo dell'intelligenza artificiale e dell'apprendimento automatico

Ricerche recenti hanno dimostrato che l'intelligenza artificiale è uno strumento potente per migliorare la precisione e rafforzare la propria posizione di sicurezza contro varie minacce e attacchi informatici.

L'intelligenza artificiale può aiutare a setacciare grandi quantità di dati e identificare i modelli comportamentali man mano che si verificano. L'apprendimento automatico migliora il rilevamento delle minacce nel tempo e automatizza le attività di routine. Tuttavia, dovrebbe integrare, e non sostituire, le competenze umane in una solida strategia di sicurezza.

Come rispondere a un attacco ransomware al cloud

La Cybersecurity and Infrastructure Security Agency (CISA) raccomanda alle aziende di seguire la checklist fornita nella guida #StopRansomware. Condividiamo una versione sintetica della checklist che vi guiderà attraverso il processo di risposta, dal rilevamento al contenimento e all'eliminazione.

Ecco i passaggi:

1. Identificare l'attacco

• Rilevare l'incidente: monitorare i sistemi alla ricerca di attività insolite, come file crittografati o tentativi di accesso non autorizzati.
• Isolare i sistemi infetti: scollegare i dispositivi interessati per impedire l'ulteriore diffusione del ransomware. Se non è possibile spegnere temporaneamente la rete o scollegare gli host interessati, è possibile prendere in considerazione lo spegnimento dei dispositivi. Concentrarsi innanzitutto sull'isolamento degli host critici per le operazioni quotidiane, al fine di ridurre al minimo ulteriori interruzioni.
• Raccogliere prove: Raccogliere log, screenshot e qualsiasi dato rilevante che possa essere utile alle indagini. Per gli ambienti cloud, acquisire snapshot dei volumi per catturare una visione puntuale, fornendo un chiaro riferimento per successive analisi durante la fase di indagine.

2. Valutare il danno

• Determinare la portata dell'attacco: prima di poter riprendere il controllo, è necessario avere un quadro chiaro dell'impatto dell'attacco. Eseguire un'analisi approfondita per individuare i sistemi interessati e i dati compromessi e assicurarsi che il vettore di attacco sia ora inattivo. Quando si coordina con il proprio team, utilizzare canali di comunicazione sicuri come le telefonate per evitare di allertare gli aggressori, che potrebbero intensificare l'attacco o attivare il ransomware se si rendono conto di essere stati scoperti.
• Valutare l'impatto sull'azienda: valutare le potenziali conseguenze finanziarie e reputazionali dell'attacco. Le perdite dirette possono essere misurate in termini monetari, come i costi di inattività del sistema, i costi di violazione dei dati, i costi di ripristino, i risarcimenti, le spese legali e le multe o sanzioni. Le perdite indirette, come il danno alla reputazione, la perdita di vantaggio competitivo, il calo del morale dei dipendenti e l'aumento del tasso di abbandono dei clienti, possono essere misurate con diversi metodi, come sondaggi, benchmarking di settore, analisi dei dati storici ed esecuzione di simulazioni.

3. Contenere l'attacco

• Implementare misure di contenimento: Sfruttare la segmentazione della rete per isolare i sistemi compromessi e implementare strumenti EDR come SentinelOne Singularity, insieme a soluzioni di sicurezza native per il cloud, per bloccare le aree interessate.
• Correggere le vulnerabilità: assicurarsi che tutti i sistemi siano aggiornati con gli ultimi aggiornamenti di sicurezza. Purtroppo, le patch non vengono applicate automaticamente al software. I professionisti IT applicano le ultime patch rilasciate dai fornitori di software tramite una strategia di gestione delle patch. Poiché gli autori degli attacchi ransomware cercano sistemi privi delle ultime patch di sicurezza utilizzando software di scansione automatizzata, è necessario correggere regolarmente le vulnerabilità.

4. Recuperare i dati

• Utilizzare i backup: ripristinare i dati da backup puliti che non sono stati colpiti dal ransomware. Valutare la possibilità di migliorare la sicurezza dei backup combinando backup immutabili con tecniche di sicurezza avanzate come l'air gapping. In questo modo, anche se il ransomware tenta di crittografare i backup, una versione pulita rimane accessibile.
• Valutare metodi di recupero alternativi: Se i backup non sono disponibili o sono compromessi, esplorare opzioni come i servizi di recupero dati o la negoziazione con gli aggressori. Nell'agosto 2024, l'ARRL ha confermato di aver pagato un riscatto di 1 milione di dollari al gruppo ransomware Embargo dopo che un attacco a maggio aveva crittografato i suoi sistemi.

5. Informare le parti interessate

• Informare le parti interessate: Avvisare l'alta dirigenza, il reparto IT, l'assicurazione informatica e i fornitori di servizi di sicurezza in merito al piano di risposta agli incidenti.
• Comunicare in modo trasparente: Controllare i danni e assicurarsi di comunicare ai clienti la propria posizione in merito alla violazione e alle azioni intraprese. Rivolgersi anche alle forze dell'ordine, come l'FBI Internet Crime Complaint Center, la CISA o l'ufficio locale dell'FBI, per richiedere assistenza.

6. Indagare e imparare

• Indagine approfondita: analizza i log di sistema per identificare il tipo di ransomware e individuare i file crittografati. Quindi, controlla i log delle applicazioni per vedere quali app erano attive durante l'attacco.

Passare alla revisione dei registri di sicurezza per tracciare l'indirizzo IP dell'autore dell'attacco e scoprire come ha ottenuto l'accesso non autorizzato. Infine, i registri di rete possono aiutare a rilevare modelli di traffico anomali e individuare dove l'attacco potrebbe aver avuto inizio o essersi diffuso.

• Misure preventive: Rafforzate le vostre difese implementando regolarmente controlli di sicurezza robusti come firewall, IDPS, EDR, antivirus/antimalware, gestione delle patch, MFA e backup automatici. I test di penetrazione regolari svolgono un ruolo cruciale nell'identificare in modo proattivo le vulnerabilità prima che gli aggressori possano sfruttarle, consentendoti di stare al passo con le potenziali minacce.

7. Segnalare l'incidente

• Rispettare le normative: se richiesto dalla legge, presentare immediatamente una segnalazione alle autorità. Negli Stati Uniti, il Cyber Incident Reporting for Critical Infrastructure Act del 2022 impone la segnalazione di incidenti informatici rilevanti che potrebbero minacciare la sicurezza nazionale, le relazioni estere o la fiducia del pubblico, tra gli altri fattori critici. La mancata segnalazione può comportare conseguenze legali e finanziarie.
• Imparare dall'esperienza: condividere ciò che si è imparato con le principali parti interessate, inclusi partner commerciali, assicuratori e forze dell'ordine. Questo scambio di conoscenze aiuta gli altri a rafforzare le loro difese e riduce la probabilità che attacchi simili si verifichino in tutto il settore.

Rilevare e risolvere gli incidenti di ransomware nel cloud con SentinelOne CWPP

Il rilevamento, il contenimento e il ripristino rapidi sono passaggi importanti nella protezione dal ransomware nel cloud. Sebbene abbiamo discusso varie strategie, gestirle tutte può essere difficile.

Soluzioni integrate come Cloud Workload Protection Platform’s di SentinelOne’s (CWPP) possono semplificare questo processo. Vediamo come la CWPP affronta questi aspetti critici:

• Rilevamento delle minacce in tempo reale: il motore basato sull'intelligenza artificiale di SentinelOne monitora continuamente i carichi di lavoro cloud alla ricerca di attività sospette, rilevando gli attacchi ransomware nelle prime fasi del loro ciclo di vita.
• Prevenzione automatizzata: la piattaforma è in grado di bloccare automaticamente gli attacchi ransomware prima che causino danni significativi, riducendo al minimo l'impatto degli incidenti.
• Risposta rapida: SentinelOne consente ai team di sicurezza di rispondere rapidamente agli incidenti ransomware fornendo informazioni dettagliate sull'origine, la portata e l'impatto dell'attacco.
• Monitoraggio continuo: la piattaforma monitora costantemente gli ambienti cloud per identificare e affrontare potenziali vulnerabilità che potrebbero essere sfruttate dagli autori degli attacchi ransomware. È in grado di difendere in tempo reale da ransomware, zero day e attacchi senza file.
• Integrazione con le piattaforme cloud: il CWPP in tempo reale di SentinelOne si integra con le principali piattaforme cloud, fornendo una protezione completa in ambienti ibridi e multi-cloud.
• Visibilità forense della telemetria del carico di lavoro: fornisce informazioni utili per le indagini e la risposta agli incidenti con un registro dei dati delle attività a livello di processo del sistema operativo. CWPP distribuisce milioni di agenti che godono della fiducia di marchi leader, hyperscaler e organizzazioni cloud ibride in tutto il mondo.
• Architettura eBPF e intelligence sulle minacce: il motore di intelligenza artificiale comportamentale aggiunge la dimensione temporale nella valutazione delle intenzioni dannose. Il motore di intelligenza artificiale statica di SentinelOne è addestrato su oltre mezzo miliardo di campioni di malware e ispeziona le strutture dei file alla ricerca di caratteristiche dannose. Il motore di controllo delle applicazioni sconfigge i processi non autorizzati non associati all'immagine del carico di lavoro.
• Rilevamento runtime arricchito con contesto di build time: Visualizzazione automatizzata degli attacchi Storyline™ e mappatura su MITRE ATT&CK TTP. Include anche IaC per il provisioning DevOps, integrazione Snyk e supporta 15 distribuzioni Linux, 20 anni di server Windows e 3 runtime container.

Conclusione

Il cloud computing ha trasformato il mondo degli affari, ma introduce anche nuovi rischi legati al ransomware. Man mano che le minacce si evolvono, anche le difese devono adattarsi. Backup efficaci, controlli di accesso rigorosi e rilevamento delle minacce basato sull'intelligenza artificiale sono essenziali, ma la sicurezza deve essere dinamica e stratificata per rimanere all'avanguardia.

La tecnologia da sola non basta. È essenziale costruire una cultura della sicurezza informatica. La formazione regolare dei dipendenti, le simulazioni di attacchi e la comunicazione aperta sulle minacce dovrebbero essere routine. Sebbene la prevenzione del ransomware sia l'ideale, essere preparati con un piano di risposta collaudato è ciò che vi proteggerà in caso di attacco.

Assicuratevi che il vostro team abbia un piano di risposta chiaro, sappia chi contattare e comprenda come ripristinare rapidamente il sistema.

Strumenti come CWPP di SentinelOne possono rafforzare le vostre difese, ma la responsabilità finale ricade su di voi e sul vostro team. La lotta contro il ransomware nel cloud è continua, quindi rimanete informati, siate pronti e non abbassate mai la guardia. La vostra attività dipende da questo.

Contattate SentinelOne per ricevere assistenza oggi stesso. Per saperne di più, richiedi una demo live gratuita.

"

FAQs