CYBERSECURITY
RANSOMWARE DANNOSO E TRASFORMISTA Chester Wisniewski, principal research scientist di Sophos, racconta come sta cambiando il fenomeno degli attacchi con richiesta di “riscatto”, e quali minacce si nascondono nel cloud.
G
li attacchi informatici si trasformano e si arricchiscono continuamente. In gran parte non è possibile prevederli, ma è anche vero che gli errori umani e le debolezze di alcune tecnologie (o del modo in cui vengono adottate) contribuiscono ad accentuare i rischi. Quelli legati al cloud computing, per esempio. E poi ci sono i ransowmare, una tipologia di attacco che sta mostrando il suo vero potenziale aggressivo, al di là delle singole richieste di riscatto, e che nel 2019 ha mandato in tilt sistemi informatici di enti pubblici, città e ospedali. Che cosa ci aspetta nel futuro? Ne abbiamo discusso con Chester Wisniewski, prin40 |
APRILE 2020
cipal research scientist di Sophos. Come è cambiato il fenomeno dei ransomware?
Nel 2019 si è osservato un importante cambiamento, in quanto gli attacchi ransomware hanno diminuito il focus sul Pc che avevano in precedenza e si sono rivolti con maggiore decisione verso i server aziendali. Questo è avvenuto per due motivi: da un lato, gli endpoint sono oggi molto protetti a livello di soluzioni e processi, mentre i server lo sono di meno e risultano maggiormente vulnerabili per il ritardo nelle attività di patching. Spesso in azienda ci si preoccupa per aspetti come uptime e affidabilità dei server, e si
rimanda il patching, che in Europa – una volta che una vulnerabilità è nota – avviene normalmente in un periodo compreso due settimane e un mese per quanto riguarda i Pc e dopo oltre 90 giorni per i server. Se parliamo poi di ambienti business-critical come Erp o altro, si arriva ad aggiornamenti effettuati una sola volta all’anno. In aggiunta, si assume che i server siano protetti dalla rete aziendale, ma questi attacchi viaggiano criptati, la decriptazione avviene a livello di server e sulla rete passa tutto. Infine, in alcuni casi le imprese sono restie ad aggiungere livelli di sicurezza ai server perché vogliono ridurne le prestazioni. Tutto questo porta ad avere in alcuni casi un livello di sicu-
