RANSOMWARE E ATTACCHI ALLA SICUREZZA INFORMATICA: UNA RASSEGNA SISTEMATICA DELLA LETTERATURA
“Information security breaches due to ransomware attacks - a systematic literature review” (International Journal of Information Management Data Insights) - Nov. 2021
T.R. RESHMI
ELSEVIER – Science Direct
https://www.sciencedirect.com/
ELSEVIER - WEBPAGE DI PRESENTAZIONE / DI DOWNLOAD dell’Articolo
Un articolo recentemente pubblicato sull’ International Journal of Information Management Data Insights è dedicato al tema della sicurezza informatica e degli attacchi ransomware.
L’Autore sottolinea, in apertura, che i malware – ossia software dannosi – rappresentano una grave minaccia in quanto “specificamente progettati” allo scopo di causare danni al computer della vittima o alle reti che forniscono servizi. Il ransomware crittografa i file o blocca i dispositivi colpiti e richiede all'organizzazione “presa di mira” di pagare un riscatto per recuperare i dati o l'accesso alle informazioni(1).
Il rischio e le conseguenze degli attacchi risultano particolarmente gravi per le cosiddette “critical infrastructures”, ossia quelle strutture/quei settori la cui importanza risulta tale per cui l’attacco si traduce in effetti “debilitanti” sulla crescita dell'economia e sulla sicurezza delle nazioni.
L'articolo utilizza l'approccio della revisione sistematica della letteratura (SLR - Systematic Literature Review) per riassumere i vari tipi di ransomware, vulnerabilità, metodologie di attacco, impatti, tecniche di mitigazione e prevenzione degli attacchi. L’analisi si concentra principalmente sulle vulnerabilità del sistema operativo Windows.
Dal lavoro emerge che:
- sul fronte della prevenzione, la teoria suggerisce: 1) di adottare politiche di protezione ottimali nelle aziende, che siano in grado di fornire chiare linee guida a tutti gli utenti del sistema, prevedendo il necessario supporto per l'applicazione di tali politiche e procedure; 2) di realizzare soluzioni “multilivello” in materia di prevenzione, il che può essere ottenuto grazie a infrastrutture IT gestite in modo efficiente da professionisti (con compiti di manutenzione, risoluzione dei problemi e gestione della conformità); 3) di realizzare un sistema di reporting che utilizzi la posta elettronica interna o la messaggistica istantanea aziendale per informare gli utenti degli aggiornamenti (patch/updates) del sistema;
- il recupero dei dati dopo un attacco ransomware è ritenuto estremamente difficile/impraticabile nella maggior parte dei casi. Esistono tecniche di prevenzione che analizzano i “tratti comportamentali comuni” del ransomware (metodologie di accesso alle informazioni sui file e successiva crittografia dei contenuti) per identificarlo; tuttavia, le varianti più recenti di ransomware attack sono in grado di “aggirare” tali metodi preventivi;
- le possibili soluzioni sono euristiche e prevedono l'uso di tecniche di Artificial Intelligence/ Machine Learning (AI/ML) per migliorare il rilevamento e la prevenzione degli attacchi. Il Machine Learning viene identificato come il modo migliore per analizzare log (registrazione sequenziale e cronologica delle operazioni effettuate da un utente) di grandi dimensioni da diverse fonti e migliorare l'efficacia della classificazione; la selezione delle caratteristiche (feature selection) rappresenta il criterio principale per l'applicazione delle tecniche ML a tali log;
- secondo i risultati dell’approccio SLR, pertanto, la “classificazione rapida e semplice dei log” attraverso tecniche di ML (che abbiano specifiche caratteristiche, identificate con particolare precisione) migliorerebbe l'efficacia delle soluzioni/degli strumenti anti-ransomware.
__________________
(1) Sul tema, si veda anche:
“Assicurazione per I rischi di ransomware: divieto o obbligo?”
in: Panorama Assicurativo n. 216, ottobre 2021 (Sezione “FOCUS”)
https://www.panoramassicurativo.ania.it/newsletter/81098/articolo/81319