My IBM Accedi Richiedi un preventivo
Rilevamento e prevenzione del ransomware con IBM QRadar SIEM

Rilevamento e prevenzione del ransomware con IBM QRadar SIEM
IBM QRadar SIEM aiuta a rilevare il ransomware prima che possa tenere in ostaggio i dati
Prenota una demo live
Icona di avviso su un display LCD digitale con rendering a riflessione

Rileva e rispondi al ransomware

Il ransomware è diventato uno dei modelli di business di maggiore impatto del cybercrime e costa alle organizzazioni miliardi di dollari all'anno. In un attacco ransomware, i criminali informatici sottraggono o criptano dati preziosi per poi chiedere un pagamento per restituirli. Questi attacchi si sono trasformati da seccatura per i consumatori a malware sofisticato, con capacità di crittografia avanzate, e nessun settore, area geografica o dimensione di impresa ne è immune.

Proteggere la tua organizzazione dal ransomware e da altri tipi di malware richiede una risposta rapida, perché a ogni secondo che passa vengono criptati più file e infettati più dispositivi – mentre danni e costi aumentano. IBM QRadar SIEM aiuta a rilevare rapidamente queste minacce, in modo da poter agire immediatamente e con cognizione di causa per prevenire o ridurre al minimo gli effetti dell'attacco.
Scopri il rischio del ransomware Leggi il report del 2024 sul costo di una violazione dei dati Report di Gartner 2024: IBM nominata Leader per il 14° anno consecutivo. Leggi il report. Leggi il report X-Force Threat Intelligence Index 2024 Leggi il report Threat Intelligence Index 2024
Scarica il prospetto informativo della soluzione della soluzione QRadar SIEM
La minaccia del ransomware

La minaccia del ransomware

Nella lotta contro il ransomware, la rilevazione precoce e la prevenzione sono essenziali. QRadar SIEM offre analitica di sicurezza intelligente che fornisce conoscenza attivabile per contrastare le minacce critiche.

 24%

di tutti gli attacchi informatici sono ransomware.¹

 5,13 

Il costo medio di un attacco ransomware è di 5,13 milioni di USD.¹

 108

Le organizzazioni con AI di sicurezza e automazione hanno identificato e contenuto una violazione dei dati con 108 giorni di anticipo.¹
Come SIEM di QRadar aiuta a proteggerti dal ransomware

Come SIEM di QRadar aiuta a proteggerti dal ransomware

Ransomware

Il ransomware, come la maggior parte del malware, attraversa diverse fasi. QRadar SIEM è in grado di individuare ransomware noti e sconosciuti in tutte queste fasi. Il rilevamento precoce può aiutare a prevenire i danni causati nelle fasi successive. QRadar fornisce estensioni per contenuti che includono centinaia di casi d'uso per generare avvisi in tutte queste fasi. Le estensioni per contenuti sono fornite tramite App Exchange e consentono di ottenere i casi d'uso più recenti. 

La maggior parte dei malware e dei ransomware "noti" può essere individuata nelle fasi iniziali. Per rilevare i ransomware sconosciuti, QRadar SIEM offre casi d'uso incentrati sulla rilevazione dei comportamenti dei ransomware. La visibilità su endpoint, server applicativi (on premises e cloud) e dispositivi di rete (firewall) consente a QRadar SIEM Use Case Manager di rilevare i modelli di comportamento del ransomware che si estendono all'infrastruttura IT e OT. Lo Use Case Manager può aiutarti a capire se hai casi d'uso o regole interessate da queste fasi tramite la matrice MITRE ATT&CK.
Fase di distribuzione (tattiche MITRE ATT&CK: accesso iniziale)

In questa fase il ransomware si presenta come un altro malware. Utilizza tecniche di phishing per indurre i tuoi ignari dipendenti a fare clic su un collegamento o su un eseguibile in un'e-mail, un Honeypot, un social media o un messaggio di testo.

Ecco alcuni esempi di casi d'uso di QRadar SIEM per individuare comportamenti di distribuzione e ransomware noti:

  • Eseguibile incorporato nell'e-mail
  • Comunicazione via e-mail o web con un host ostile
  • Oggetto dell'e-mail sospetto
Fase di infezione (tattiche MITRE ATT&CK: esecuzione, persistenza)

Questo è il momento in cui parte il cronometro. Il ransomware è ora presente nell'ambiente. Se il ransomware ha utilizzato un "dropper" per evitare la rilevazione nella fase di distribuzione, questo è il momento in cui il dropper chiama una richiesta di servizio e scarica il vero eseguibile e lo esegue.

Ecco alcuni esempi di casi d'uso di QRadar SIEM per individuare comportamenti di infezione:

  • Rilevazione di file o processi dannosi
  • Rilevazione di IOC dannosi
  • Decodifica o download di file seguiti da attività sospette
Fase di staging (tattiche MITRE ATT&CK: persistenza, escalation dei privilegi, elusione delle difese, accesso alle credenziali)

Il ransomware scansiona il computer per analizzare i diritti amministrativi che potrebbe ottenere, farsi eseguire all'avvio, disabilitare la modalità di ripristino, eliminare copie shadow e altro ancora.

Ecco alcuni esempi di casi d'uso di QRadar SIEM per individuare comportamenti di staging:

    • Tentativo di eliminare copie shadow, backup
    • Recupero disabilitato nella configurazione di boot
    Fase di ricognizione (tattiche MITRE ATT&CK: rilevamento, movimento laterale, raccolta)

    Ora che il ransomware si è impossessato del computer dalla fase iniziale, inizia una fase di ricognizione della rete (percorsi di attacco), delle cartelle e dei file con estensioni predefinite e altro.

    Ecco alcuni esempi di utilizzo di QRadar SIEM per individuare comportamenti di ricognizione:

    • Tentativo di eliminare copie shadow, backup
    • Dimensioni limite del trasferimento dati
     Elementi essenziali di monitoraggio degli endpoint per QRadar
    Fase di cifratura (tattiche MITRE ATT&CK: esfiltrazione, impatto)

    Il vero danno inizia ora. Tra le azioni tipiche si annoverano: creare una copia di ciascun file, criptare le copie, collocare i nuovi file nella posizione originale. I file originali potrebbero essere estrapolati ed eliminati dal sistema: questo consente agli aggressori di minacciare la vittima di rendere pubblica la violazione o addirittura di far trapelare i documenti sottratti. 

    Ecco alcuni esempi di utilizzo di QRadar SIEM per individuare comportamenti di cifratura:

    • Cancellazione o creazione eccessiva di file
    • Numero sospetto di file rinominati o spostati sulla stessa macchina (UNIX)
    • Dimensioni limite del trasferimento dati
     Ti serve aiuto per monitorare l'esfiltrazione dei dati?
    Notifica di riscatto

    Il danno è compiuto e l'utente riceve una notifica su come pagare il riscatto per ottenere la chiave di decodifica. A questo punto non c'è molto altro da rilevare, se non la creazione del file di istruzioni per la decodifica.

    Ecco alcuni esempi di casi d'uso di QRadar SIEM per individuare comportamenti di notifica ransom:

    • Creazione di istruzioni per la decodifica del ransomware

    I casi d'uso per trovare il ransomware sono disponibili nelle seguenti estensioni dei contenuti che si trovano su App Exchange :

     Maggiori informazioni sui casi d'uso di QRadar SIEM per ciascuna fase
    Pianificazione di un attacco ransomware

    Pianificazione di un attacco ransomware

    Dopo la fase iniziale dell'infezione, il tempo riveste un'importanza critica. Tanto prima avviene il rilevamento, quanto prima si può avviare il piano di risposta all'incidente (IR). Tanto migliore è il piano di IR, quanto più rapido è l'arresto dell'avanzamento del ransomware nelle sue diverse fasi. NIST  e SANS offrono linee guida comprovate per l'IR. Qualsiasi piano di IR è caratterizzato da alcuni aspetti chiave.

    Backup inplace. I backup non in linea sono fondamentali in un attacco ransomware. Assicurati di sapere dove si trovano i backup e come ripristinare i tuoi sistemi. Includi nel processo di IR i passaggi relativi a chi contattare per ciascuno degli asset IT critici.

    Gruppi, strumenti e ruoli identificati. Man mano che il ransonware attraversa le varie fasi, dall'infezione iniziale alla cifratura, la composizione del team di risposta cambia. Questo di solito significa che è necessario coinvolgere più persone all'interno dell'organizzazione. Spesso ciò può comportare il ricorso a servizi di terze parti o, nel caso di una violazione, ciò può significare contattare legali, enti regolatori esterni e clienti. Sapere chi contattare e quando è fondamentale. Mantenere aggiornato un elenco di contatti è importante, ma integrare i ruoli di contatto nel processo è fondamentale per una risposta efficace. Carta e PDF sono adeguati, ma è importante poter disporre degli strumenti corretti e di un'automazione che consenta a tutto il team di accedere al processo di risposta al ransomware, alle azioni e alla documentazione storica.

    Un processo ben definito e l'automazione. Un processo di IR può contenere molte attività e può includere più processi decisionali. È buona norma allineare il proprio processo alle fasi delineate da NIST e SANS. Ad esempio, è possibile organizzare il processo di IR in base alle seguenti fasi:

    1. Rilevazione e identificazione
    2. Arricchimento e convalida
    3. Contenimento e correzione
    4. Recupero e trasmissione

    QRadar SOAR fornisce playbook per definire il processo di IR e automatizzare le numerose azioni che un analista può dover eseguire per avanzare rapidamente nelle fasi. La risposta alla violazione di QRadar SOAR è in grado di creare le attività di segnalazione necessarie alle autorità di regolamentazione in base ai PI esposti.

    Inventario degli asset IT, proprietari, PI.  Quando un sistema è infetto,  un analista della sicurezza deve conoscere il proprietario, le applicazioni e i dati del sistema. Le soluzioni di gestione degli asset, come ServiceNow o SAP, possono aiutare a gestire i contatti per i sistemi. IBM Guardium Discover and Classify può aiutare a trovare origini dati e PI in ogni fonte. In questo modo, gli analisti sanno sempre se una violazione dei dati comporta anche una violazione della conformità alle normative.

     Maggiori informazioni sulla pianificazione di un attacco ransomware
    Case study

    Case study

    Migliorare la difesa delle città con la threat intelligence

    La città di Los Angeles, il LA Cyber Lab e IBM collaborano per fornire threat intelligence e rafforzare i business locali vulnerabili.

     Accelerazione della correzione delle minacce con QRadar SIEM

    L’integrazione dei dati, l’analisi dei log e l’assegnazione delle priorità degli incidenti aiutano la società di investimento e sviluppo immobiliare vietnamita a rilevare e rispondere alle minacce.

     Gestione della sicurezza informatica con le soluzioni combinate di IBM

    Con l’hosting di una soluzione QRadar SIEM sull’archiviazione IBM FlashSystem ad alte prestazioni, Data Action (DA) offre una maggiore sicurezza alle banche alternative.
    Casi d'uso correlati

    Casi d'uso correlati

    La rilevazione delle minacce dal centro all'endpoint con QRadar SIEM protegge la tua organizzazione in diversi modi.

     Individuazione delle minacce

    Integra le soluzioni di individuazione delle minacce informatiche di IBM Security nella tua strategia di sicurezza per contrastare e mitigare le minacce più rapidamente.

     Conformità

    Integra i pacchetti di conformità in QRadar SIEM per garantire la conformità e automatizzare la segnalazione.

     Rilevazione delle minacce

    Blocca rapidamente gli attacchi informatici con la rilevazione delle minacce quasi in tempo reale di QRadar SIEM. 
    Risorse correlate

    Risorse correlate

    IBM Security QRadar

    Scopri come QRadar aiuta a difendersi dalle crescenti minacce, modernizzando e scalando le operazioni di sicurezza attraverso visibilità, rilevamento, indagine e risposta integrati.

    Guarda come QRadar SIEM aiuta un analista a indagare su un reato, determinarlo come minaccia e inviarlo a SOAR per porvi rimedio.

     Come potenziare i tassi di rilevamento e risparmiare tempo nella ricerca delle minacce

    Un approccio di rilevamento delle minacce efficace per ridurre il tempo che trascorre dall’intrusione all’individuazione, riducendo il danno che gli aggressori possono infliggere.
    Fai il passo successivo

    Fissa un appuntamento per una dimostrazione personalizzata di QRadar SIEM o consulta uno dei nostri esperti di prodotto.

    Prenota una demo live
    Continua a esplorare Documentazione Supporto Community Partner Risorse Blog Learning Academy
    Note a piè di pagina

    1 Cost of Data Breach Report 2024
    Prodotti Trial delle soluzioni IBM Sconti Servizi Industrie Case study Inside IBM (US) Servizi finanziari Sviluppatori Business Partner Giornalisti Università e studenti IBM Consulting Supporto Trova un Business Partner IBM Client Center Carriere Newsroom Partecipa alla ricerca sull'esperienza utente Per gli investitori Corporate Responsibility in IBM (US) Informazioni IBM Segnalazioni Whistleblowing X LinkedIn Facebook YouTube Italia — Italiano Contatta Privacy Condizioni di utilizzo Accessibilità