Sophos Central Endpoint Intercept X - La soluzione contro il ransomware
Affrontiamo la realtà. Chi oggi si collega a Internet con un computer è, fin da subito, esposto a un’enorme varietà di minacce, dalle quali ci si può proteggere in modo sensato solo con una combinazione di buon senso, un valido antivirus e, idealmente, anche un firewall con web filter a protezione della rete. Spegnere il computer la sera senza essersi beccati nel frattempo un malware sta diventando una vera sfida.
Da novembre 2015 il tema Ransomware è sulla bocca di tutti e per molto tempo non è esistita alcuna protezione tecnica, ma solo consigli e raccomandazioni per i responsabili IT. Con Sophos Intercept X Sophos ha ora lanciato sul mercato un prodotto che integra le soluzioni di sicurezza endpoint già esistenti e può proteggere da ransomware, attacchi zero‑day e attacchi stealth.
In questo post del blog tralasciamo per un momento i classici virus, worm e trojan e ci concentriamo sulla categoria davvero spiacevole, ovvero la cosiddetta ransomware (trojan di cifratura). Inoltre mostriamo in che modo Sophos può proteggerci da questo tipo di malware e quali prodotti sono necessari a questo scopo.
Che cos’è esattamente la ransomware?
Immaginate di aprire, del tutto ignari, l’allegato di un’e‑mail e di vedere all’improvviso un messaggio sullo schermo che vi informa che i vostri dati sono stati cifrati e che li riavrete solo dopo aver pagato un “riscatto”. Il pagamento però non avviene tramite i soliti metodi come PayPal, carta di credito o bonifico bancario, perché gli aggressori vogliono che le loro transazioni restino il più possibile anonime e non tracciabili. Come se dopo un incidente del genere non si fosse già abbastanza sotto stress, ci si deve anche confrontare con il tema dei Bitcoin. Piuttosto sfacciato, non trovate?
Ransomware: quando vi viene chiesto un riscatto per riavere accesso ai vostri stessi dati.
L’hacker moderno ha così trovato un metodo estremamente efficace per guadagnare molto denaro in brevissimo tempo. L’hacker - o, più correttamente, l’organizzazione che c’è dietro - ottiene in questo modo notevoli risorse finanziarie, di cui una parte viene reinvestita nello sviluppo e nella diffusione di nuove varianti di ransomware. Aumenta quindi in modo costante il rischio che anche voi, o addirittura la vostra azienda, ne diventiate vittime. Provate a pensare a quanto valgono per voi i dati aziendali.
Nel seguente video Sophos spiega l’argomento in 90 secondi:
La ransomware non scomparirà
La ransomware è al momento probabilmente la forma di attacco più efficace - ed è proprio per questo che non scomparirà tanto presto. I dati vengono cifrati: chi vuole riaverli deve pagare. Le vittime non sono solo le aziende: anche i privati possiedono dati di valore. In linea di principio, quindi, è potenzialmente a rischio chiunque. Le aziende, tuttavia, corrono un rischio decisamente più elevato, perché molti utenti accedono contemporaneamente agli stessi dati. Basta che un solo collaboratore venga infettato e l’unità di rete condivisa viene cifrata: l’azienda si blocca. Per gli hacker la ransomware è una storia di successo, un business da miliardi. Chi finora non ha fatto nulla in proposito dovrebbe attivarsi al più presto.
Come ci si può proteggere dalla ransomware?
Quando il tema “ransomware” ha iniziato a essere discusso pubblicamente, sono apparsi numerosi vademecum che indicavano ai responsabili IT quali misure adottare contro i crypto‑trojan. In sostanza si raccomandava di formare il personale, di sensibilizzarlo in modo mirato su questi rischi e di eseguire regolarmente backup dei dati aziendali. All’epoca non esisteva una soluzione software in grado di riconoscere in modo affidabile un trojan di questo tipo. I produttori dei classici antivirus erano sopraffatti da questi trojan di nuova generazione, spesso molto sofisticati - e alcuni lo sono ancora oggi.
Sophos ha introdotto poi, nel dicembre 2015, Sophos Sandstorm, una prima soluzione per contrastare gli Advanced Persistent Threats (APT) e il malware zero‑day. È stato un primo passo importante. Se volete proteggervi in modo specifico dalla ransomware, vi consigliamo il nuovo prodotto Sophos Intercept X, che a nostro avviso dovrebbe essere installato su ogni endpoint.
Aggiornamento: nel frattempo sono disponibili i nuovi prodotti Intercept X Advanced e Intercept X Advanced per Server.
Contrastare la ransomware con Sophos Intercept X
Sophos Intercept X è, a nostro giudizio, assolutamente imprescindibile per proteggersi efficacemente da queste nuove minacce. Intercept X si basa sulla tecnologia dell’azienda di sicurezza SurfRight, acquisita lo scorso anno. Il primo prodotto derivato da questa acquisizione è stato Sophos Clean. Con Intercept X questa tecnologia è stata integrata anche in Sophos Central e ampliata con funzionalità aggiuntive. Nel rilevamento dei pattern di minaccia, la soluzione utilizza analisi comportamentali, vettori di attacco e Big Data. In questo modo il malware può essere individuato senza dover dipendere da aggiornamenti o firme. Il rilevamento senza firme offre anche il vantaggio di proteggere da malware sconosciuto e da attacchi che sfruttano vulnerabilità zero‑day.
CryptoGuard - un’innovazione anti‑ransomware
Un componente centrale di Intercept X è CryptoGuard. Questa funzionalità protegge dalla ransomware e riconosce immediatamente quando i file vengono cifrati. In quel momento il processo di cifratura viene bloccato e i file già interessati vengono ripristinati automaticamente, evitando così perdite di dati.
Funzione chiave: l’analisi
Il vero punto di forza arriva alla fine. Immaginate che, nonostante tutte le misure di protezione, un malware riesca comunque a entrare nella rete. Com’è potuto accadere? Quali dispositivi sono stati infettati e cosa bisogna fare ora? A tutte queste domande risponde nel dettaglio il “Root Cause Analysis Tool” di Intercept X. Un’analisi visiva a 360 gradi vi aiuta a capire dove si è verificato l’attacco, quali componenti del sistema sono stati coinvolti e in quale punto avrebbe potuto essere bloccato. Inoltre ricevete raccomandazioni operative concrete per attacchi analoghi in futuro.
Protezione aggiuntiva rispetto all’antivirus esistente
L’offerta di pacchetti antivirus è pressoché infinita. Esistono, ad esempio, Symantec, McAfee, Kaspersky, Trend Micro, Avira e Avast, solo per citarne alcuni. È molto probabile che utilizziate già uno di questi prodotti. Con Intercept X non dovete cambiare nulla. Al contrario: Sophos Intercept X dovrebbe proprio essere installato in aggiunta alle soluzioni di sicurezza endpoint di qualsiasi fornitore, così da innalzare il livello generale di sicurezza.
Intercept non sostituisce un antivirus, ma costituisce un ulteriore livello di protezione.
Sophos Intercept X può naturalmente essere utilizzato anche insieme a Sophos Central Endpoint Standard (NUOVO!) o Advanced, offrendo così un livello di protezione aggiuntivo particolarmente efficace.
Gestione di Intercept X
Intercept X può essere installato e gestito tramite la console di gestione cloud Sophos Central. Gli amministratori possono verificarne e modificarne le impostazioni, assegnare licenze, aggiungere nuovi endpoint e monitorare tutte le attività.
Requisiti di sistema
Intercept X funziona senza problemi accanto al vostro attuale antivirus, indipendentemente dal fatto che si tratti di McAfee, Kaspersky, Symantec, Trend Micro, Avira, Avast o un’altra soluzione di protezione endpoint.
Secondo il nostro contatto presso Sophos è in fase di sviluppo anche una soluzione per Mac, che verrà ugualmente integrata in Intercept X.
Provare subito Sophos Intercept X!
Per poter valutare personalmente Sophos Intercept X avete a disposizione una versione di prova gratuita di 30 giorni. Vi serve soltanto un account Sophos Central.
Se non avete ancora un account Sophos Central, potete registrarvi sul sito di Sophos e testare tutte le funzionalità, incluso “Sophos Intercept X”, gratuitamente per 30 giorni.
Se invece disponete già di un account Sophos Central e il periodo di prova di 30 giorni è già scaduto, potete acquistare una licenza per “Sophos Intercept X” nel nostro shop oppure scegliere il nostro “Sophos Central Abbonamento” e noleggiare le licenze in modalità “pay‑as‑you‑go”, con fatturazione mensile flessibile:
Ransomware Simulator
Se non vi fidate ancora del tutto e pensate di essere sufficientemente protetti dalla ransomware anche senza Intercept X, date un’occhiata al programma di test indipendente e gratuito “RanSim” di KnowBe4. Con questo strumento potete verificare se il vostro sistema potrebbe essere compromesso da un attacco di ransomware.
