Magic Quadrant™ per la gestione degli accessi privilegiati 2025: Netwrix riconosciuta per il quarto anno consecutivo. Scarica il report.

ContattaciSupportoCommunity
English Español Italiano Français Deutsch Português
Piattaforma
Soluzioni

Data Security Posture Management

Scopri e classifica i dati in ambienti ibridi. Valuta, dai priorità e mitiga i rischi per i dati sensibili.

Directory Management

Semplifica e proteggi l'amministrazione delle directory riducendo complessità, rischio e sforzo manuale.

Endpoint Management

Proteggi gli endpoint e previeni la perdita di dati mantenendo produttivi i team, indipendentemente da dove lavorano.

Identity Management

Proteggi ogni identità, semplifica ogni processo e mantieniti in anticipo sulla conformità — senza aggiungere complessità.

Identity Threat Detection & Response

Rimani un passo avanti alle minacce basate sull'identità — rimedia proattivamente ai rischi, blocca gli attacchi e assicura un recupero rapido.

Privileged Access Management

Riduci la superficie di attacco eliminando i privilegi permanenti, bloccando le credenziali e monitorando le sessioni privilegiate.
Prodotti in evidenza Vedi tutti i prodotti
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La piattaforma Netwrix 1Secure™

Esplora
Netwrix AI Ambienti che proteggiamo Integrazioni MSPs Rischi per la sicurezza di Active Directory Conformità Prezzi
Centro Risorse Vedi tutto
BlogCatalogo degli AttacchiConformitàStorie dei clientiFramework di cybersecurityGlossario di CybersecurityEventiFreewareGuideIdeas PortalNotiziePodcastPubblicazioniAnnunci dei ProdottiRicercaWebinar
Asset not found

Storia di successo in primo piano

DXC Technology consente ai clienti di ottenere la conformità PCI DSS e di concentrarsi su iniziative strategiche
Partner
Partner ProgramDiventa un PartnerMSPsTrova partnerWebinar
Asset not found

Storia in primo piano di un cliente

AppRiver migliora il controllo su Active Directory riducendo notevolmente il tempo di auditing
Asset not found

Storia in primo piano di un cliente

MSP aiuta il cliente a riprendersi dal ransomware in 6 ore
Perché Netwrix
Chi siamoLeadershipNetwrix AICasi di successoRiconoscimentiNotizieLavora con noi
Asset not found

Storia in primo piano di un cliente

Horizon Leisure Centres accelera la classificazione dei dati per conformarsi al GDPR e risparmia £80.000 all’anno
Asset not found

Storia in primo piano di un cliente

Samsung R&D Institute protegge i dati con l'utilizzo multipiattaforma e il rapido dispiegamento su macOS usando Netwrix Endpoint Protector
Centro risorseBuone pratiche
Migliori pratiche per la prevenzione di ransomware

Migliori pratiche per la prevenzione di ransomware

Come prevenire le infezioni da ransomware

Cos'è il Randomware e come funziona

Ransomware. Quella singola parola è al primo posto nella mente di così tanti responsabili IT in tutto il mondo, e per una buona ragione. Il ransomware rimane una delle minacce informatiche più intimidatorie oggi. Nel solo 2023, quasi il un quarto degli attacchi ha coinvolto il ransomware.

Il ransomware è un tipo di software maligno che cripta i file sensibili o i sistemi critici di una vittima, rendendoli inaccessibili e pertanto interrompendo i servizi e le operazioni aziendali. Esistono numerosi tipi di ceppi di ransomware con nuove varianti che emergono costantemente.

L'obiettivo principale degli operatori di ransomware è costringere la vittima a pagare un riscatto, spesso in criptovaluta difficile da tracciare, in cambio di una chiave di decrittazione che può ripristinare i file al loro stato originale. Ma oggi, questi attori minacciosi impiegano spesso una strategia di estorsione doppia, nella quale esfiltrano i dati di un'organizzazione prima di criptarli. Minacciare di pubblicare o vendere i dati rubati a meno che non venga pagato il riscatto fornisce una leva aggiuntiva per assicurarsi che vengano pagati anche se la vittima riesce a ripristinare i file in modo indipendente.

Data l'impatto finanziario elevato del ransomware, molte organizzazioni danno priorità alla protezione dal ransomware come obiettivo principale.

Principali obiettivi degli attacchi di ransomware

Il ransomware si è evoluto in un modello di business, spesso orchestrato da gruppi altamente organizzati con un unico obiettivo: il guadagno monetario. Mentre questi cybercriminali una volta prendevano di mira entità che andavano dagli individui alle aziende globali in modo indiscriminato, sono diventati più strategici: gli aggressori prendono di mira frequentemente organizzazioni che probabilmente produrranno pagamenti rapidi e sostanziosi. I settori manifatturiero e sanitario, insieme ai piccoli comuni governativi che spesso mancano di personale adeguato o risorse per l'autorecupero, sono bersagli comuni di questi attacchi ransomware calcolati.

Come si sviluppano gli attacchi Ransomware

Gli attacchi ransomware raramente avvengono tutti in una volta. Gli attacchi ransomware più efficaci prevedono tipicamente un processo multi-fase che può durare giorni, settimane o addirittura mesi:

  • Fase 1: Il ransomware viene consegnato al bersaglio, ad esempio, tramite un'email con un link incorporato o un allegato infetto. L'interazione con questi elementi scarica il payload iniziale dannoso, che stabilisce una connessione con il server di comando e controllo (C&C) dell'attaccante.
  • Fase 2: Gli aggressori utilizzano il collegamento per introdurre ulteriori strumenti per eseguire l'attacco. Effettuano attività di ricognizione per esaminare la rete della vittima, individuare dati di alto valore e valutare le misure di sicurezza. Durante questa fase, possono copiare informazioni sensibili in una posizione esterna da utilizzare come leva secondaria nel processo di estorsione.
  • Fase 3: Questa fase segna l'inizio della crittografia. Gli aggressori potrebbero inizialmente prendere di mira i sistemi di backup della vittima, cercando di compromettere le capacità di ripristino dei dati. Una volta completato il processo di crittografia, viene emessa una richiesta di riscatto, con dettagli sulle istruzioni di pagamento. Potrebbero seguire delle negoziazioni, che potrebbero portare a un pagamento del riscatto ridotto.

Pagare un riscatto vs utilizzare strumenti per prevenire un'infezione da Ransomware

Decidere se pagare un riscatto è un dilemma difficile. Pagare può sembrare una soluzione rapida, ma non offre alcuna garanzia che gli aggressori forniranno una chiave di decrittazione. Inoltre, ci sono prove che suggeriscono che pagare il riscatto possa incoraggiare attacchi futuri. Di conseguenza, agenzie come l'FBI consigliano di non pagare.

Scegliere di non pagare, tuttavia, espone l'organizzazione a costi e complessità estensive di rimedio. Recuperare da un attacco ransomware può richiedere giorni o settimane, il che può impattare sulle entrate e portare a danni duraturi alla reputazione dell'azienda e alla fiducia dei clienti. Infatti, le spese associate al tempo di inattività e agli sforzi di recupero possono superare la richiesta di riscatto.

Questa realtà sottolinea l'importanza di investire in misure di sicurezza robuste per rilevare e neutralizzare gli attacchi ransomware in tempo per minimizzare i danni.

Come prevenire gli attacchi di ransomware: Migliori pratiche

Non esiste un modo per prevenire gli attacchi di ransomware e non c'è una tecnologia miracolosa su come proteggersi dal ransomware. Tuttavia, seguire queste migliori pratiche di prevenzione del ransomware ti aiuterà a minimizzare il rischio di infezioni da ransomware e a limitare i danni che un attacco riuscito potrebbe causare:

  • Evitate di concedere agli utenti diritti amministrativi sui loro dispositivi, poiché qualsiasi file malevolo scaricato erediterà questi permessi elevati. Se un utente necessita di accesso elevato, create un account utente separato con i privilegi specifici necessari.
  • Sviluppare un piano di risposta agli incidenti dettagliato per sventare rapidamente gli attacchi ransomware nelle loro fasi iniziali. La revisione regolare e la simulazione del piano di risposta agli incidenti sono essenziali per mantenere la sua efficacia e la preparazione del team.
  • Migliora la consapevolezza della sicurezza informatica con una formazione regolare per tutti i dipendenti. In particolare, insegnare loro come identificare gli allegati email sospetti e i collegamenti web, poiché gli attacchi di phishing sono un metodo primario per la distribuzione del ransomware. È anche importante valutare la loro padronanza del materiale con email di test.
  • Assicurati che il tuo software antivirus, la protezione degli endpoint e altre soluzioni di sicurezza, insieme ai loro database, siano sempre aggiornati.
  • Mantenete tutti i sistemi operativi e le applicazioni completamente aggiornati e al passo con i tempi in modo che le vulnerabilità note non possano essere sfruttate. Testate sempre i nuovi aggiornamenti software in un laboratorio prima di applicarli in produzione.
  • Disabilita il protocollo di comunicazione di rete SMB v1 su tutti i server e le postazioni di lavoro, poiché ciò aiuterà a prevenire la diffusione di comuni ceppi di ransomware come WannaCry attraverso la tua rete. Lo screenshot qui sotto mostra SMB v1 disabilitato su Windows Server.
  • Chiudete tutte le porte non necessarie nei vostri firewall. In particolare, assicuratevi che la porta 3389, utilizzata per il Remote Desktop Protocol (RDP), sia chiusa, poiché è un obiettivo comune di sfruttamento da parte degli hacker.
  • Implementare la segmentazione della rete. Suddividere una rete più grande in segmenti più piccoli e isolati limita la diffusione del ransomware se uno dei segmenti viene infettato. Le reti segmentate facilitano inoltre un monitoraggio più semplice e una rilevazione più rapida delle attività sospette.
  • Mantieni la tua struttura di permissions structure pulita e mantieni un rigido modello di least-privilege. Poiché il ransomware può accedere solo ai file ai quali l'account vittima ha accesso, questa strategia limiterà la quantità di dati che possono essere criptati.
  • Limitare i dispositivi di proprietà degli utenti a una rete ospite. Questa rete dovrebbe indirizzare tutto il traffico direttamente a internet, bloccando l'accesso alla rete interna, proteggendo le risorse locali.
  • Blocca le estensioni di ransomware note utilizzando File Server Resource Manager.
  • Incorporate le strategie di sandboxing e honeypot nel vostro programma di sicurezza. Il sandboxing implica l'utilizzo di un ambiente sicuro e isolato per eseguire e analizzare programmi sospetti senza rischiare la rete principale o il sistema, mentre gli Honeypot sono sistemi o risorse esca configurati per attrarre e analizzare gli attacchi informatici.
  • Utilizzate una soluzione di prevenzione della perdita di dati (DLP) per proteggere i vostri dati on-premises e nel cloud.
  • Prendere in considerazione l'implementazione di una gestione basata sull'intelligence delle minacce, che fornisce informazioni su minacce emergenti e modelli di attacco. Questa conoscenza consente alle organizzazioni di rafforzare proattivamente le loro difese, personalizzare le loro strategie di sicurezza e rispondere rapidamente agli attacchi ransomware, riducendo così significativamente il rischio di intrusioni riuscite e violazioni dei dati.

Migliori pratiche per l'uso di Group Policy per fermare il Ransomware

La Group Policy offre una varietà di impostazioni disponibili per aiutare a minimizzare il rischio di un'infezione da ransomware. Alcune di queste includono le seguenti:

  • Mostra le estensioni dei file. Gli aggressori a volte mascherano software dannoso con doppie estensioni dei file. Ad esempio, un file chiamato "invoice.pdf.exe" potrebbe apparire come "invoice.pdf" se le estensioni sono nascoste, inducendo in errore gli utenti a pensare che sia un innocuo PDF. Mostrando le estensioni dei file, gli utenti sono più propensi a individuare file sospetti con estensioni eseguibili (.exe, .vbs, .scr, ecc.) che si spacciano per tipi di file sicuri. È possibile creare un oggetto Criteri di Gruppo (GPO) utilizzando le Preferenze dei Criteri di Gruppo per mostrare le estensioni dei file sulle postazioni di lavoro degli utenti in modo che possano vedere le doppie estensioni dei file. Di seguito è mostrato un esempio.
  • Disabilita AutoPlay e Autorun su tutte le postazioni di lavoro. Questa importante impostazione di Criteri di gruppo impedisce l'esecuzione automatica di software potenzialmente dannosi da supporti esterni come le unità USB. Puoi utilizzare i Modelli amministrativi dei Criteri di gruppo per disabilitare Autoplay per le unità esterne come mostrato di seguito.
  • Stabilire una politica di password policy sicura e una politica di account lockout policy. Prevenire che gli avversari prendano il controllo degli account utente riduce il rischio di un'infezione da ransomware. Nei domini Active Directory, ciò può essere ottenuto tramite la policy di dominio predefinita, che impone standard come lunghezza minima della password, età minima della password e requisiti di complessità della password.
  • Bloccare l'uso di dispositivi USB rimovibili. Questa impostazione dei Criteri di Gruppo non solo ridurrà la diffusione di infezioni da malware, ma aiuterà anche a prevenire il trasferimento non autorizzato di dati.
  • Utilizza AppLocker per creare liste di consentiti e negati. Queste liste ti permettono di controllare quali software possono essere utilizzati sulle macchine aziendali e bloccare l'esecuzione di applicazioni non autorizzate.
  • Abilita Windows Defender SmartScreen. Questo blocca l'accesso ai siti noti per essere dannosi, riducendo il rischio che un utente inneschi involontariamente un'infezione da ransomware cadendo vittima di un'email di phishing.

Migliori pratiche per rilevare e rispondere agli attacchi di ransomware

Oltre alle misure di prevenzione, è necessario anche disporre di strategie di rilevamento e risposta. Più velocemente si riesce a rilevare un attacco ransomware, più rapidamente è possibile contenerlo e mitigarlo per minimizzare i danni all'impresa. Le seguenti migliori pratiche possono aiutare:
Implementare un sistema di rilevamento e prevenzione delle intrusioni che esegue il monitoraggio e l'analisi del traffico di rete.

  • Monitora i tuoi file server per la modifica di un grande numero di file con diverse estensioni in un breve lasso di tempo. Se tale attività viene osservata, scollega prontamente il computer sorgente dalla rete.
  • Mantieni un inventario completo e aggiornato di tutti i tuoi server, workstation, punti di accesso, dispositivi di cybersecurity e altre attrezzature aziendali, inclusi i loro indirizzi di rete, così puoi trovare rapidamente la fonte di un attacco e isolarla.
  • Se rilevi un processo sospetto o sconosciuto su un server o dispositivo utente, scollega immediatamente quella macchina dalla rete o disabilitala. Quindi, conduci un'indagine approfondita per comprendere e mitigare qualsiasi rischio potenziale.
  • State attenti alle notifiche di sistema che richiedono denaro per decrittare i vostri file — alcune potrebbero essere false situazioni in cui non è avvenuta alcuna cifratura.
  • Anche se hai già confermato un'infezione da ransomware, non pagare i responsabili. Potresti non recuperare i tuoi dati e probabilmente continueranno ad attaccare per farti pagare di nuovo.

Migliori pratiche per garantire il recupero da un attacco di ransomware

Per assicurarti di poter recuperare da un attacco ransomware senza dover ricorrere all'opzione rischiosa di pagare gli aggressori, segui queste migliori pratiche:

  • Effettuate regolarmente il backup di tutti i vostri dati sensibili, sistemi e core settings. Assicuratevi di mantenere diverse iterazioni di backup e di conservarle al sicuro dal ransomware (offline o nel cloud). Avere backup affidabili vi aiuterà a ripristinare rapidamente i vostri file critici.
  • Abilita WindowsFile History così gli utenti possono ripristinare i file salvati prima dell'infezione da ransomware.
  • Cercate di determinare la specifica variante di ransomware che sta influenzando il vostro sistema. Se è una versione più vecchia, la comunità IT potrebbe avere risorse e informazioni per assistervi nei vostri sforzi di recupero.
  • Siate consapevoli che gli attacchi ransomware di successo non criptano tutti i vostri file. Valutate attentamente quali segmenti della vostra rete sono stati compromessi e quali sono stati risparmiati.
  • Esamina le soluzioni specializzate di decrittazione anti-ransomware che possono ripristinare i tuoi dati, inclusa la lista di strumenti gratuiti mantenuta dall'organizzazione No More Ransom.
  • Se subisci un attacco, dopo aver ripristinato i tuoi dati e le operazioni, analizza l'incidente per identificare e rimediare alle lacune nelle tue difese per aiutare a prevenire future infezioni.

Ottieni una guida gratuita per la prevenzione dei ransomware

Chiunque abbia esperienza nel mitigare gli attacchi di ransomware confermerà che tutto l'aiuto possibile è ben accetto. Come dice il proverbio, "meglio prevenire che curare." Conoscere le migliori pratiche per evitare il ransomware e come fermarlo è significativamente meno costoso che riprendersi da un attacco.

Netwrix offre una guida gratuita alla prevenzione del ransomware, realizzata da esperti esperti nella lotta a questa minaccia. Anche se ti senti preparato, questa guida potrebbe fornire strategie che potresti non aver considerato in precedenza. Scaricala oggi come passo aggiuntivo per proteggerti proattivamente dal ransomware.

Soluzione Netwrix Ransomware Protection

Prevenire e intercettare i ransomware — implementando un approccio alla sicurezza multilivello

Ottieni una demo

Condividi su

Risorse correlate

Approfondisci con le nostre risorse correlate

Resource Center
eBook

Facilitare la prevenzione della perdita di dati con le soluzioni Netwrix

Prevenzione della perdita di dati
eBook

Distribuire software su Windows: doloroso ma non è necessario che lo sia

Endpoint Management