Analisi dei cyberattacchi e risposta rapida per PMI

Tratto da Blog Kaspersky
Autore: Hugh Aver – 15/04/2021
 
 
Bloccare una minaccia non è sufficiente, bisogna analizzare e ricostruire l’intera catena d’infezione
 
 
 

La maggior parte delle soluzioni di sicurezza per piccole e medie imprese blocca semplicemente l’esecuzione di malware su una workstation o un server e, per anni, questo metodo è sembrato sufficiente. Se un’azienda riusciva a rilevare le minacce informatiche sui dispositivi finali, poteva arrestare la diffusione dell’infezione sulla rete e proteggere l’infrastruttura aziendale.

Tuttavia, i tempi cambiano. Un tipico attacco informatico moderno non è più un incidente isolato sul computer di un dipendente ma un’operazione complessa che colpisce una porzione considerevole dell’infrastruttura. Pertanto, ridurre al minimo i danni di un cyberattacco di oggi richiede non solo di bloccare il malware, ma anche di capire rapidamente cosa è successo, come è successo e dove potrebbe accadere di nuovo.

Cosa è cambiato?

Il cybercrimine moderno si è evoluto a tal punto che anche una piccola azienda potrebbe ragionevolmente essere preda di un attacco mirato e su tutti i fronti. In certa misura, questa evoluzione è il risultato della crescente disponibilità degli strumenti che consentono di portare a termine un attacco complesso e in più fasi. Inoltre, i cybercriminali cercano sempre di massimizzare il rapporto sforzo-profitto e i creatori di ransomware si contraddistinguono davvero in questo senso. Ultimamente, abbiamo notato un loro crescente impegno in esaustive ricerche e in lunghi preparativi; a volte, si appostano silenziosamente nella rete obiettivo per settimane, esplorando l’infrastruttura e rubando informazioni vitali prima di colpire con la cifratura dei dati e la successiva richiesta di riscatto.

Una piccola impresa può anche servire come obiettivo intermedio in un attacco alla supply chain; i criminali informatici a volte usano l’infrastruttura di un appaltatore, un provider di servizi online o di un piccolo partner per assaltare un’impresa più grande. In questi casi, possono anche sfruttare le vulnerabilità zero-day, tattica normalmente più costosa.

Capire cosa è successo

Porre fine a un attacco complesso e multilivello richiede un quadro chiaro di come il cybercriminale sia riuscito a penetrare nell’infrastruttura, quanto tempo vi abbia trascorso, a quali dati possa aver avuto accesso e così via. Eliminare semplicemente il malware sarebbe come curare i sintomi di una malattia senza affrontarne le cause.

Nelle aziende di grandi dimensioni, ad occuparsi delle indagini c’è il SOC, il dipartimento di sicurezza informatica o un servizio esterno dedicato a questo scopo. Le grandi aziende usano soluzioni di classe EDR per questo: budget e personale limitati fanno sì che spesso le piccole aziende scartino a priori queste opzioni. Eppure, le piccole imprese hanno comunque bisogno di strumenti specializzati che le aiutino a rispondere prontamente alle minacce complesse.

Kaspersky Endpoint Security Cloud con EDR

Per configurare la soluzione Kaspersky per PMI con funzionalità EDR non serve un esperto in sicurezza poiché l’aggiornamento di Kaspersky Endpoint Security Cloud Plus offre una migliore visibilità dell’infrastruttura. L’amministratore può identificare rapidamente i percorsi che utilizza una minaccia per diffondersi, ottenere informazioni dettagliate sui dispositivi colpiti, visualizzare rapidamente i dettagli dei file dannosi e vedere dove vengono utilizzati. Tutto ciò aiuta gli amministratori a rilevare prontamente tutti i “punti caldi” delle minacce, bloccare l’esecuzione dei file pericolosi e isolare i dispositivi colpiti, riducendo al minimo i potenziali danni.

 

Per ulteriori informazioni: dircom@argonavis.it

18 Aprile 2021