GUIDA RAPIDA: Riduzione degli attacchi di malware e ransomware i consigli dell'NCSC

Le organizzazioni dovrebbero seguire i consigli dell'NCSC e agire per migliorare la propria resilienza con l'aumento della minaccia informatica

In periodi come questi in cui i tuoi dati sono perennemente a rischio, è necessario porre maggiore attenzione in modo preventivo, alla sicurezza informatica. È possibile che siano arrivate email infette o presunte truffe che intimano il pagamento per poter riavere la propria identità.

Questa mini guida, aiuta le organizzazioni del settore pubblico e privato a gestire gli effetti del malware (che include il ransomware₁). Fornisce azioni per aiutare le organizzazioni a prevenire un'infezione da malware₂ e anche i passaggi da eseguire se sei già infetto.

In questa breve sintesi sono stati inseriti consigli rapidi anche per famiglie e privati.

Seguendo questa guida si ridurrà:

• la probabilità di contrarre l'infezione
• la diffusione di malware in tutta l'organizzazione
• l'impatto dell'infezione

Se sei già stato infettato da #malware, fai riferimento al nostro elenco di misure urgenti da intraprendere, espresso in nove punti essenziali «Passaggi da eseguire se la tua organizzazione è già infetta»

Per consigli su come ridurre al minimo i potenziali danni, le organizzazioni più piccole dovrebbero fare riferimento alla Small Business Guide dell'NCSC «National Cyber Security Centre».

Per informazioni sulla protezione dei tuoi dispositivi a casa, leggi la sintesi della guida scritta appositamente per individui e famiglie di #NCSC

Azioni da intraprendere

Ci sono alcune azioni che puoi intraprendere per aiutare a preparare la tua organizzazione da potenziali attacchi di malware e ransomware.

1. Azione 1: eseguire backup regolari
2. I backup aggiornati sono il modo più efficace per recuperare da un attacco ransomware, dovresti procedere come segue.
3. Esegui backup regolari dei tuoi file più importanti - sarà diverso per ogni organizzazione - verifica di sapere come ripristinare i file dal backup e verifica regolarmente che funzioni come previsto.
4. Assicurati di creare backup offline tenuti separati, in una posizione diversa (idealmente fuori sede), dalla tua rete e dai tuoi sistemi o in un servizio cloud progettato per questo scopo, poiché il ransomware prende di mira attivamente i backup per aumentare la probabilità di pagamento. Il nostro blog sui "Backup offline in un mondo online" fornisce utili consigli aggiuntivi per le organizzazioni.
5. Crea più copie di file utilizzando diverse soluzioni di backup e posizioni di archiviazione. Non dovresti fare affidamento sull'avere due copie su un'unica unità rimovibile, né dovresti fare affidamento su più copie in un unico servizio cloud.
6. Assicurati che i dispositivi che contengono il backup (come dischi rigidi esterni e chiavette USB) non siano collegati permanentemente alla rete. Gli aggressori prenderanno di mira i dispositivi e le soluzioni di backup connessi per rendere più difficile il ripristino.
7. Dovresti assicurarti che il tuo servizio cloud protegga le versioni precedenti del backup dall'eliminazione immediata e ti consenta di ripristinarle. Ciò eviterà che i dati in tempo reale e di backup diventino inaccessibili: i servizi cloud spesso si sincronizzano automaticamente subito dopo la sostituzione dei file con copie crittografate.
8. Assicurarsi che i backup siano collegati solo a dispositivi puliti noti prima di avviare il ripristino.
9. Scansiona i backup alla ricerca di malware prima di ripristinare i file. Il ransomware potrebbe essersi infiltrato nella rete per un periodo di tempo e replicato nei backup prima di essere scoperto.
10. Corregge regolarmente i prodotti utilizzati per il backup, in modo che gli aggressori non possano sfruttare le vulnerabilità note che potrebbero contenere.

Ci sono stati casi in cui gli aggressori hanno distrutto file copiati o interrotto i processi di ripristino prima di condurre attacchi ransomware. Idealmente, gli account di backup e le soluzioni dovrebbero essere protetti utilizzando Privileged Access Workstations (PAW) e firewall hardware per imporre l'elenco di indirizzi IP consentiti. L'autenticazione a più fattori (MFA) deve essere abilitata e il metodo MFA non deve essere installato sullo stesso dispositivo utilizzato per l'amministrazione dei backup. Le soluzioni Privileged Access Management (PAM) eliminano la necessità per gli amministratori di accedere direttamente ai sistemi di backup di alto valore.

Azione 2: impedire che il malware venga distribuito e diffuso ai dispositivi

Puoi ridurre la probabilità che contenuti dannosi raggiungano i tuoi dispositivi attraverso una combinazione di:

• filtraggio per consentire solo i tipi di file che ti aspetteresti di ricevere
• bloccare i siti Web noti per essere dannosi
• ispezionare attivamente i contenuti
• utilizzando le firme per bloccare il codice dannoso noto

Questi vengono in genere eseguiti dai servizi di rete anziché dai dispositivi degli utenti. Esempi inclusi:

1. filtro della posta (in combinazione con il filtro antispam) che può bloccare e-mail dannose e rimuovere gli allegati eseguibili. La piattaforma Mail Check guarda il video di NCSC può anche aiutare le organizzazioni idonee in questo. Verifica l'idoneità della tua organizzazione a Mail Check.
2. proxy di intercettazione, che bloccano i siti Web dannosi noti
3. gateway di sicurezza Internet, che possono ispezionare il contenuto di determinati protocolli (inclusi alcuni protocolli crittografati) alla ricerca di malware noto
4. elenchi di navigazione sicura all'interno dei browser Web che possono impedire l'accesso a siti noti per ospitare contenuti dannosi

0:36 / 1:36 Mail Check

Le organizzazioni idonee sono incoraggiate a iscriversi al servizio di nomi di dominio protettivi dell'NCSC. Ciò impedirà agli utenti di raggiungere siti dannosi noti. Verifica l'idoneità della tua organizzazione per PDNS.

Il ransomware viene distribuito sempre più spesso da aggressori che hanno ottenuto l'accesso in remoto tramite servizi esposti come Remote Desktop Protocol (RDP) o dispositivi di accesso remoto senza patch. Per prevenire questo, le organizzazioni dovrebbero:

disabilita RDP se non è necessario (se non sei sicuro di eseguire RDP, ti consigliamo di registrarti con il servizio Early Warning dell'NCSC)

abilitare l'autenticazione a più fattori in tutti i punti di accesso remoto nella rete e applicare l'elenco di autorizzazioni IP utilizzando i firewall hardware

utilizzare una VPN che soddisfi le raccomandazioni NCSC, per l'accesso remoto ai servizi; Software as a Service o altri servizi esposti a Internet dovrebbero utilizzare il Single Sign-On (SSO) in cui è possibile definire le politiche di accesso (per ulteriori informazioni leggi il nostro post sul blog sulla protezione delle interfacce di gestione)

utilizzare il modello con privilegi minimi per fornire l'accesso remoto - utilizzare account con privilegi bassi per l'autenticazione e fornire un processo controllato per consentire a un utente di aumentare i propri privilegi all'interno della sessione remota, ove necessario

correggere immediatamente le vulnerabilità note in tutti i dispositivi di accesso remoto e di fronte all'esterno (facendo riferimento alla nostra guida su come gestire le vulnerabilità all'interno dell'organizzazione, se necessario) e seguire le linee guida per la riparazione del fornitore, inclusa l'installazione di nuove patch non appena diventano disponibili

Passaggi da eseguire se la tua organizzazione è già infetta

Se la tua organizzazione è già stata infettata da malware, questi passaggi possono aiutare a limitare l'impatto:

1. Scollegare immediatamente i computer, laptop o tablet infetti da tutte le connessioni di rete, sia cablate, wireless o basate su telefoni cellulari.
2. In un caso molto serio, valuta se potrebbe essere necessario spegnere il Wi-Fi, disabilitare qualsiasi connessione alla rete principale (inclusi gli switch) e disconnettersi da Internet.
3. Reimposta le credenziali comprese le password (soprattutto per l'amministratore e altri account di sistema), ma verifica di non bloccarti fuori dai sistemi necessari per il ripristino.
4. Cancella in modo sicuro i dispositivi infetti e reinstalla il sistema operativo.
5. Prima di eseguire il ripristino da un backup, verifica che sia privo di malware. Dovresti eseguire il ripristino da un backup solo se sei molto sicuro che il backup e il dispositivo a cui lo stai collegando siano puliti.
6. Connetti i dispositivi a una rete pulita per scaricare, installare e aggiornare il sistema operativo e tutti gli altri software.
7. Installa, aggiorna ed esegui software antivirus.
8. Riconnettiti alla tua rete.
9. Monitora il traffico di rete ed esegui scansioni antivirus per identificare se permangono infezioni.

L'NCSC ha pubblicato congiuntamente un avviso: Approcci tecnici alla scoperta e alla riparazione delle attività dannose, che fornisce informazioni più dettagliate sui processi di riparazione.

Individui e famiglie

I consigli di sicurezza informatica dell'NCSC per proteggere te e la tua famiglia e la tecnologia su cui fai affidamento.

Cos'è la sicurezza informatica?

La sicurezza informatica è il mezzo attraverso il quale individui e organizzazioni riducono il rischio di essere colpiti dalla criminalità informatica.

La funzione principale della sicurezza informatica è proteggere i dispositivi che tutti utilizziamo (smartphone, laptop, tablet e computer) e i servizi a cui accediamo online, sia a casa che al lavoro, da furti o danni. Si tratta anche di impedire l'accesso non autorizzato alle grandi quantità di informazioni personali che memorizziamo su questi dispositivi e online.

La sicurezza informatica è importante perché smartphone, computer e Internet sono ormai una parte così fondamentale della vita moderna, che è difficile immaginare come funzioneremmo senza di loro. Da operazioni bancarie e acquisti online, e-mail e social media, è più importante che mai adottare misure che possano impedire ai criminali informatici di entrare in possesso dei nostri account, dati e dispositivi.

Consapevolezza informatica e sicurezza online

Dalle operazioni bancarie allo shopping, dallo streaming ai social media, le persone trascorrono più tempo che mai online. Cyber Aware è il consiglio del governo britannico su come rimanere al sicuro online.

Oltre alle nostre sei azioni Cyber Aware, l'NCSC ha fornito ulteriori indicazioni per coloro che desiderano rimanere al sicuro online.

Usa una password forte e separata per la tua email

Perché è importante prestare particolare attenzione alla tua password e-mail.

Installa gli ultimi aggiornamenti software e app

L'applicazione tempestiva degli aggiornamenti di sicurezza aiuterà a proteggere i tuoi dispositivi e account dai criminali informatici.

Attiva la verifica in due passaggi (2SV)

Attivare la verifica in due passaggi è uno dei modi più efficaci per proteggere i tuoi account online dai criminali informatici.

Gestori password: utilizza browser e app per archiviare in sicurezza le tue password

Hai bisogno di aiuto per ricordare tutte le tue password? Ottieni un gestore di password o salvale sul tuo browser.

Backup dei tuoi dati

Come assicurarti di poter recuperare foto, documenti e altri dati personali importanti archiviati sulle apparecchiature IT.

Tre parole casuali

Combina tre parole casuali per creare una password che sia "abbastanza lunga e abbastanza forte".

1) #Ransomware. Tipo di software - Un ransomware è un tipo di malware che limita l'accesso del dispositivo che infetta, richiedendo un riscatto da pagare per rimuovere la limitazione.

2) #Malware, nella sicurezza informatica, indica un qualsiasi programma informatico usato per disturbare le operazioni svolte da un utente di un computer. Termine coniato nel 1990 da Yisrael Radai, precedentemente veniva chiamato virus per computer; in italiano viene anche comunemente chiamato codice maligno.

Source by Redazione