Il 58% dei CISO pagherebbe i riscatti mentre gli endpoint remoti alimentano gli attacchi

Il 58% dei CISO pagherebbe i riscatti mentre gli endpoint remoti alimentano gli attacchi

Un nuovo rapporto di Absolute Security ha quantificato con precisione un problema attorno al quale i professionisti della sicurezza ruotano da anni: la protezione VPN degli endpoint remoti da ransomware non è più opzionale per i team di lavoro distribuiti. Secondo la ricerca, il 58% dei Chief Information Security Officer prenderebbe in considerazione il pagamento di un riscatto per porre fine a un attacco, citando il fermo operativo come principale fattore determinante. Forse ancor più significativo, il 57% delle aziende intervistate ha dichiarato che gli attacchi ransomware hanno avuto origine da dispositivi endpoint remoti o ibridi. Insieme, queste due cifre offrono un quadro chiaro di dove la sicurezza aziendale sta fallendo e di quanto costi quando accade.

Come gli endpoint remoti e ibridi sono diventati il punto d'accesso preferito dal ransomware

Il passaggio al lavoro distribuito ha creato una superficie d'attacco estesa che molte organizzazioni non hanno mai mappato completamente, figuriamoci protetta. Gli endpoint remoti — che si tratti di laptop di dipendenti connessi da reti domestiche, dispositivi di collaboratori esterni su reti Wi-Fi pubbliche o lavoratori ibridi che alternano ambienti in ufficio e da remoto — si trovano spesso al di fuori della visibilità diretta dei team di sicurezza aziendali. Possono eseguire software obsoleto, utilizzare autenticazioni deboli o connettersi ai sistemi aziendali tramite tunnel configurati in modo improprio.

Gli aggressori se ne sono accorti. Le credenziali di Remote Desktop Protocol (RDP) e VPN rimangono tra i vettori di accesso iniziale più comunemente sfruttati nelle campagne ransomware, e i dispositivi endpoint sono spesso il primo anello a cadere. Una volta compromesso un singolo dispositivo remoto, gli aggressori lo utilizzano come punto d'appoggio per muoversi lateralmente attraverso la rete, escalando i privilegi e distribuendo payload ransomware prima che la maggior parte delle organizzazioni abbia il tempo di rilevare l'intrusione. I risultati di Absolute Security, che mostrano come il 57% degli attacchi risalga a endpoint remoti o ibridi, confermano che questo non è un rischio marginale. È il pattern d'attacco dominante.

Le conseguenze di questo schema vanno ben oltre le singole organizzazioni. L'attacco ransomware a ChipSoft che ha esposto i dati dei pazienti olandesi illustra cosa accade quando gli aggressori riescono ad attraversare un endpoint per penetrare in un sistema che custodisce dati sensibili su larga scala. Sanità, finanza e infrastrutture critiche affrontano tutte un rischio crescente man mano che i loro team di lavoro diventano più distribuiti.

Perché il 58% dei CISO è disposto a pagare e cosa rivela sulla preparazione

La disponibilità a pagare un riscatto viene spesso inquadrata come una questione morale o legale, ma i dati di Absolute Security la reincorniciano come una questione operativa. Quando il 58% dei CISO afferma che prenderebbe in considerazione il pagamento, non sta avallando attività criminali. Sta riconoscendo che le proprie capacità di ripristino potrebbero non essere sufficienti ad assorbire il fermo operativo conseguente a un attacco grave senza subire danni finanziari e reputazionali significativi.

Si tratta di un problema di preparazione. Le organizzazioni dotate di infrastrutture di backup e ripristino robuste e collaudate, unite a solidi piani di risposta agli incidenti, hanno molte meno probabilità di trovarsi in una situazione in cui il pagamento sembra l'unica opzione. Il fatto che più della metà dei responsabili della sicurezza intervistati lo prenda in considerazione suggerisce che molte aziende rimangono impreparate, in particolare quando l'attacco ha origine da un endpoint che si trova al di fuori dei perimetri di sicurezza tradizionali.

Riflette anche quanto costoso sia diventato il fermo operativo. Le catene di approvvigionamento, i servizi rivolti ai clienti e le operazioni interne dipendono tutti dall'accesso continuo a sistemi e dati. Quando il ransomware blocca quei sistemi, ogni ora di ripristino ha un valore monetario misurabile. È questo calcolo, non la flessibilità morale, a guidare le decisioni di pagamento del riscatto. E come ha reso evidente la compromissione dell'email del Direttore dell'FBI, nessuna organizzazione o individuo è categoricamente immune dagli attacchi mirati.

Come l'infrastruttura VPN riduce la superficie d'attacco e il rischio di movimento laterale

Una VPN implementata correttamente non è una soluzione miracolosa, ma rappresenta uno strato fondamentale che, se configurato adeguatamente, riduce significativamente l'esposizione creata dagli endpoint remoti. I tunnel crittografati impediscono l'intercettazione delle credenziali su reti non protette. La segmentazione della rete imposta attraverso le policy VPN limita fino a dove un aggressore può spingersi una volta all'interno. E i requisiti di autenticazione centralizzata fanno sì che i dispositivi compromessi abbiano meno probabilità di attraversare silenziosamente la rete senza essere rilevati.

La parola chiave è "adeguatamente". Le configurazioni VPN che si basano sull'autenticazione a singolo fattore, che concedono un accesso ampio alla rete anziché autorizzazioni circoscritte, o che rimangono senza patch per periodi prolungati possono esse stesse diventare vettori d'attacco. Il principio del privilegio minimo, applicato a livello VPN, significa che un endpoint compromesso può raggiungere solo le risorse specifiche di cui ha bisogno, non l'intera rete aziendale. Abbinare l'accesso VPN all'autenticazione a più fattori e ai controlli dello stato dell'endpoint prima della connessione crea una barriera significativa che rallenta gli aggressori e dà ai difensori il tempo di rispondere.

Per i team di lavoro ibridi in particolare, un'applicazione coerente delle policy VPN su tutti i tipi di dispositivi — inclusi i dispositivi personali utilizzati per lavoro — è essenziale. La superficie d'attacco descritta nel rapporto di Absolute Security è, in parte, un divario nell'applicazione delle policy tanto quanto un problema tecnico.

Cosa possono fare ora i team distribuiti per rafforzare i propri endpoint

I risultati di Absolute Security sono uno sprone all'azione, non solo alla riflessione. Le organizzazioni con team di lavoro distribuiti possono adottare misure concrete per ridurre il rischio rappresentato dagli endpoint remoti.

Verificate il vostro inventario degli endpoint. Non è possibile proteggere ciò che non si riesce a vedere. Un inventario completo e aggiornato di ogni dispositivo che si connette ai sistemi aziendali — inclusi i dispositivi di collaboratori esterni e quelli personali — è il punto di partenza per qualsiasi strategia di sicurezza degli endpoint.

Imponete l'MFA su tutte le connessioni VPN. Questo singolo controllo elimina una categoria significativa di attacchi basati sulle credenziali. Le sole password rubate non dovrebbero essere sufficienti per ottenere l'accesso remoto.

Segmentate l'accesso alla rete per ruolo. Anziché concedere agli utenti remoti un accesso ampio alla rete, configurate le policy VPN in modo che ogni utente o classe di dispositivo possa raggiungere solo i sistemi pertinenti alla propria funzione. Questo limita il movimento laterale in caso di compromissione di un dispositivo.

Applicate le patch agli endpoint e all'infrastruttura VPN in modo costante. Molte intrusioni ransomware di alto profilo sfruttano vulnerabilità note per le quali esistono già patch. La gestione automatizzata delle patch elimina il ritardo umano su cui fanno affidamento gli aggressori.

Testate il vostro piano di ripristino. Se un attacco ransomware colpisse oggi i vostri sistemi più critici, quanto tempo richiederebbe il ripristino? Eseguire regolarmente esercitazioni su carta e test di ripristino dei backup è l'unico modo per rispondere onestamente a questa domanda e colmare le lacune prima che diventino rilevanti.

Il rapporto di Absolute Security è un utile punto di riferimento per valutare dove si trova attualmente la sicurezza aziendale in termini di preparazione al ransomware. I numeri sono sobri: la maggior parte degli attacchi ha origine dagli endpoint remoti e la maggior parte dei responsabili della sicurezza ritiene che il pagamento possa essere inevitabile. Ma indicano anche direttamente cosa deve cambiare. Visibilità degli endpoint, policy VPN applicate e capacità di ripristino collaudate non sono controlli esotici. Sono la base che ogni organizzazione distribuita dovrebbe essere in grado di verificare. Valutare se la propria configurazione attuale soddisfi effettivamente questo standard è il punto giusto da cui iniziare.