Rilevazione e prevenzione del ransomware con IBM Security QRadar SIEM
IBM Security QRadar SIEM aiuta a rilevare il ransomware prima che possa tenere in ostaggio i tuoi dati
Richiedi una demo
Persona che scrive su una lavagna bianca in ufficio
Rileva e rispondi al ransomware

Il ransomware è diventato uno dei modelli di business di maggiore impatto del cybercrime e costa alle organizzazioni miliardi di dollari all'anno. In un attacco ransomware, i criminali informatici sottraggono o criptano dati preziosi per poi chiedere un pagamento per restituirli. Questi attacchi si sono trasformati da seccatura per i consumatori a malware sofisticato, con capacità di crittografia avanzate, e nessun settore, area geografica o dimensione di impresa ne è immune.

Proteggere la tua organizzazione dal ransomware e da altri tipi di malware richiede una risposta rapida, perché, ogni secondo, vengono criptati più file e infettati più dispositivi e aumentano danni e costi. IBM Security QRadar SIEM aiuta a rilevare rapidamente queste minacce, in modo da poter agire immediatamente e con cognizione di causa per prevenire o ridurre al minimo gli effetti dell'attacco.

Scopri il rischio del ransomware

Leggi la guida completa ai ransomware

Leggi il report Costo di una violazione dei dati 2022

Scarica il prospetto informativo della soluzione della soluzione QRadar SIEM
La minaccia del ransomware

Nella lotta contro il ransomware, la rilevazione precoce e la prevenzione sono essenziali. QRadar SIEM offre analitica di sicurezza intelligente che fornisce conoscenza attivabile per contrastare le minacce critiche.

21%

Il 21% di tutti gli attacchi informatici sono ransomware¹

4,54 USD

Il costo medio di un attacco ransomware è di 4,54 milioni di USD2

146%

Si è verificato un aumento del 146% dei ransomware Linux con un nuovo codice3

Come SIEM di QRadar aiuta a proteggerti dal ransomware

Il ransomware, come la maggior parte del malware, attraversa diverse fasi. QRadar SIEM è in grado di individuare ransomware noti e sconosciuti in tutte queste fasi. La diagnosi precoce può aiutare a prevenire i danni causati nelle fasi successive. QRadar fornisce estensioni di contenuto che includono centinaia di casi d'uso per generare avvisi in tutte queste fasi. Le estensioni dei contenuti vengono fornite tramite App Exchange e consentono di ottenere i casi d'uso più recenti. Le raccolte di IBM Security X-Force Threat Intelligence sono utilizzate come riferimenti nei casi d'uso per aiutare a trovare i più recenti indicatori di compromissione (IOC) noti, come indirizzi IP, hash di file malware, URL e altro ancora.

La maggior parte dei malware e dei ransomware "noti" può essere individuata nelle fasi iniziali. Per rilevare i ransomware sconosciuti, QRadar SIEM offre casi d'uso incentrati sulla rilevazione dei comportamenti dei ransomware. La visibilità su endpoint, server applicativi (on premises e cloud) e dispositivi di rete (firewall) consente a QRadar SIEM Use Case Manager di rilevare i modelli di comportamento del ransomware che si estendono all'infrastruttura IT e OT. Lo Use Case Manager può aiutarti a capire se hai casi d'uso o regole interessate da queste fasi tramite la matrice MITRE ATT&CK.


Fase di distribuzione (tattiche MITRE ATT&CK: accesso iniziale)

In questa fase il ransomware si presenta come un altro malware. Utilizza tecniche di phishing per indurre i tuoi ignari dipendenti a fare clic su un collegamento o su un eseguibile in un'e-mail, un Honeypot, un social media o un messaggio di testo.

Ecco alcuni esempi di casi d'uso di QRadar SIEM per individuare comportamenti di distribuzione e ransomware noti:

  • Eseguibile incorporato nell'e-mail
  • Comunicazione via e-mail o web con un host ostile
  • Oggetto dell'e-mail sospetto

Fase di infezione (tattiche MITRE ATT&CK: esecuzione, persistenza)

Questo è il momento in cui parte il cronometro. Il ransomware è ora presente nell'ambiente. Se il ransomware ha utilizzato un "dropper" per evitare la rilevazione nella fase di distribuzione, questo è il momento in cui il dropper chiama una richiesta di servizio e scarica il vero eseguibile e lo esegue.

Ecco alcuni esempi di casi d'uso di QRadar SIEM per individuare comportamenti di infezione:

  • Rilevazione di file o processi dannosi
  • Rilevazione di IOC dannosi
  • Decodifica o download di file seguiti da attività sospette

Fase di staging (tattiche MITRE ATT&CK: persistenza, escalation dei privilegi, elusione delle difese, accesso alle credenziali)

Il ransomware scansiona il computer per analizzare i diritti amministrativi che potrebbe ottenere, farsi eseguire all'avvio, disabilitare la modalità di ripristino, eliminare copie shadow e altro ancora.

Ecco alcuni esempi di casi d'uso di QRadar SIEM per individuare comportamenti di staging:

    • Tentativo di eliminare copie shadow, backup
    • Recupero disabilitato nella configurazione di boot

    Fase di ricognizione (tattiche MITRE ATT&CK: rilevamento, movimento laterale, raccolta)

    Ora che il ransomware si è impossessato del computer dalla fase iniziale, inizia una fase di ricognizione della rete (percorsi di attacco), delle cartelle e dei file con estensioni predefinite e altro.

    Ecco alcuni esempi di utilizzo di QRadar SIEM per individuare comportamenti di ricognizione:

    • Tentativo di eliminare copie shadow, backup
    • Dimensioni limite del trasferimento dati
    Elementi essenziali di monitoraggio degli endpoint per QRadar

    Fase di cifratura (tattiche MITRE ATT&CK: esfiltrazione, impatto)

    Il vero danno inizia ora. Tra le azioni tipiche si annoverano: creare una copia di ciascun file, criptare le copie, collocare i nuovi file nella posizione originale. I file originali potrebbero essere estrapolati ed eliminati dal sistema: questo consente agli aggressori di minacciare la vittima di rendere pubblica la violazione o addirittura di far trapelare i documenti sottratti. 

    Ecco alcuni esempi di utilizzo di QRadar SIEM per individuare comportamenti di cifratura:

    • Cancellazione o creazione eccessiva di file
    • Numero sospetto di file rinominati o spostati sulla stessa macchina (UNIX)
    • Dimensioni limite del trasferimento dati
    Ti serve aiuto per monitorare l'esfiltrazione dei dati?

    Notifica di riscatto

    Il danno è compiuto e l'utente riceve una notifica su come pagare il riscatto per ottenere la chiave di decodifica. A questo punto non c'è molto altro da rilevare, se non la creazione del file di istruzioni per la decodifica.

    Ecco alcuni esempi di casi d'uso di QRadar SIEM per individuare comportamenti di notifica ransom:

    • Creazione di istruzioni per la decodifica del ransomware

    I casi d'uso per trovare il ransomware sono disponibili nelle seguenti estensioni di contenuto che si trovano su App Exchange (il collegamento risiede al di fuori di ibm.com):

    Maggiori informazioni sui casi d'uso di QRadar SIEM per ciascuna fase
    Pianificazione di un attacco ransomware

    Dopo la fase iniziale di infezione, il tempo è fondamentale. Prima avviene la rilevazione, prima si può avviare il piano di risposta all'incidente (IR). Migliore è il piano di IR, più rapido è l'arresto dell'avanzamento del ransomware nelle fasi. NIST (collegamento esterno a ibm.com) e SANS (collegamento esterno a ibm.com) hanno linee guida IR che hanno superato la prova del tempo. Qualsiasi piano IR presenta alcuni aspetti chiave.

    Backup inplace. I backup non in linea sono fondamentali in un attacco ransomware. Assicurati di sapere dove si trovano i backup e come ripristinare i tuoi sistemi. Includi nel processo di IR i passaggi relativi a chi contattare per ciascuno degli asset IT critici.

    Gruppi, strumenti e ruoli identificati. Man mano che il ransonware attraversa le varie fasi, dall'infezione iniziale alla cifratura, la composizione del team di risposta cambia. Questo di solito significa che è necessario coinvolgere più persone all'interno dell'organizzazione. Spesso ciò può comportare il ricorso a servizi di terze parti o, nel caso di una violazione, ciò può significare contattare legali, enti regolatori esterni e clienti. Sapere chi contattare e quando è fondamentale. Mantenere aggiornato un elenco di contatti è importante, ma integrare i ruoli di contatto nel processo è fondamentale per una risposta efficace. Carta e PDF sono adeguati, ma è importante poter disporre degli strumenti corretti e di un'automazione che consenta a tutto il team di accedere al processo di risposta al ransomware, alle azioni e alla documentazione storica.

    Un processo ben definito e l'automazione. Un processo di IR può contenere molte attività e può includere più processi decisionali. È buona norma allineare il proprio processo alle fasi delineate da NIST e SANS. Ad esempio, è possibile organizzare il processo di IR in base alle seguenti fasi:

    1. Rilevazione e identificazione
    2. Arricchimento e convalida
    3. Contenimento e correzione
    4. Recupero e trasmissione

    QRadar SOAR fornisce playbook per definire il processo di IR e automatizzare le numerose azioni che un analista può dover eseguire per avanzare rapidamente nelle fasi. La risposta alla violazione di QRadar SOAR è in grado di creare le attività di segnalazione necessarie alle autorità di regolamentazione in base ai PI esposti.

    Inventario degli asset IT, proprietari, PI.  Quando un sistema è infetto,  un analista della sicurezza deve conoscere il proprietario, le applicazioni e i dati del sistema. Le soluzioni di gestione delle risorse, come ServiceNow o SAP, possono aiutare a gestire i contatti per i sistemi. IBM Security Discover and Classify può aiutare a trovare fonti di dati e PI in ogni fonte. In questo modo, nel caso di una violazione dei dati, gli analisti sanno se sono coinvolte le normative.

    Maggiori informazioni sulla pianificazione di un attacco ransomware
    Studi dei casi Migliorare la difesa delle città con la threat intelligence

    La città di Los Angeles, il LA Cyber Lab e IBM collaborano per fornire threat intelligence e rafforzare i business locali vulnerabili.

    Accelerazione della correzione delle minacce con QRadar SIEM

    L'integrazione dei dati, l'analisi dei log e l'assegnazione delle priorità degli incidenti aiutano la società di investimento e sviluppo immobiliare vietnamita a rilevare e rispondere alle minacce.

    Gestione della sicurezza informatica con le soluzioni combinate di IBM

    Con l'hosting di una soluzione QRadar SIEM sull'archiviazione IBM FlashSystem® ad alte prestazioni, Data Action (DA) offre una maggiore sicurezza alle banche alternative.

    Casi d'uso correlati

    La rilevazione delle minacce dal centro all'endpoint con QRadar SIEM protegge la tua organizzazione in diversi modi.

    Individuazione delle minacce

    Integra le soluzioni di individuazione delle minacce informatiche di IBM Security nella tua strategia di sicurezza per contrastare e mitigare le minacce più rapidamente.

    Conformità

    Integra i pacchetti di conformità in QRadar SIEM per garantire la conformità e automatizzare la segnalazione.

    Rilevazione delle minacce

    Blocca rapidamente gli attacchi informatici con la rilevazione delle minacce quasi in tempo reale di QRadar SIEM. 

    Passa alla fase successiva

    Fissa un appuntamento per una dimostrazione personalizzata di QRadar SIEM o consulta uno dei nostri esperti di prodotto.

    Richiedi una demo
    Più modi di esplorare Documentazione Supporto Comunità Partner Risorse