Una soluzione rapida ed essenziale al ransomware all'interno dell'azienda
Il ransomware è chiaramente il flagello del 2016. Ogni settimana si verifica una nuova e significativa epidemia a livello aziendale di questa insidiosa classe di malware, che paralizza ed estorce denaro a un numero sempre crescente di organizzazioni.
Per essere una minaccia che non è affatto mirata, sembra colpire con grande successo sia le grandi che le piccole imprese.
malware può entrare dalla porta principale di una strategia di "difesa approfondita" fallita o dalla porta secondaria di un dispositivo mobile collegato alla rete aziendale il lunedì mattina.
Ciononostante, molti team di sicurezza e amministratori di rete si stanno affrettando a bloccare la rapida crittografia dei documenti accessibili tramite condivisioni di rete.
Esistono diverse nuove tecnologie a disposizione delle organizzazioni per rilevare la presenza di ransomware all'interno della rete e avvisare il personale addetto alla sicurezza di un'epidemia (che è solo un esempio delle funzionalità offerte dal prodotto Vectra). Tuttavia, spesso è molto più difficile arrestare automaticamente un'epidemia in corso.
Mi viene spesso chiesto quale sia il modo "migliore" per mitigare questa minaccia (ovvero, come può un'organizzazione impedire al ransomware di bloccare la propria attività nel modo più economico e più efficace possibile?).
Il modo più rapido e "essenziale" per mitigare la crittografia di rete del ransomware è in realtà piuttosto semplice e segue il principio del "canarino nella miniera di carbone".
Il ransomware tenta di enumerare e crittografare i file presenti sulle condivisioni di rete all'interno dell'azienda. Un metodo di protezione semplice consiste nell'assicurarsi che ogni computer disponga di un paio di condivisioni montate e monitorate.
Se un utente o un computer tenta di scrivere o eliminare un file su tali condivisioni, le credenziali di accesso dell'utente vittima vengono immediatamente sospese. E se l'organizzazione utilizza una qualche forma di controllo dell'accesso alla rete (NAC), anche il computer host viene immediatamente disconnesso dalla rete.
Poiché l'attuale generazione di ransomware tende a scorrere in sequenza le condivisioni montate in ordine alfabetico o alfabetico inverso, è probabilmente sufficiente garantire che le prime e le ultime condivisioni montate, come le unità A: o D: e Z: o Y:, siano condivisioni canary monitorate.
Anche garantire che le azioni canarie dispongano di un gran numero di file usa e getta può essere utile, poiché il ransomware impiegherà del tempo per crittografare questi file. Ciò fornisce un periodo di tempo in cui le informazioni relative alla revoca delle credenziali e dell'accesso alla rete possono essere propagate al resto della rete.
Questa tecnica è simile a quella che ho utilizzato in passato per contrastare malware che invia spam malware gli attacchi automatizzati di forza bruta alle credenziali. Aggiungendo account utente che appaiono come primi e ultimi in una directory utente, come Active Directory e contatti e-mail, e monitorando qualsiasi utilizzo di tali nomi, è possibile rilevare e mitigare rapidamente e automaticamente la minaccia.
Ad esempio, se qualcuno tenta di inviare un'e-mail al nome fittizio presente nella rubrica, il server di posta blocca automaticamente tutte le richieste di invio di e-mail da parte dell'utente fino a quando il team IT non avrà effettuato le opportune verifiche.
L'uso di condivisioni di file canary ransomware, come gli account canary in Active Directory e nella posta elettronica, può essere un approccio economico ed efficace per mitigare le minacce. A volte i metodi più semplici possono essere i più efficaci.