Nuove difese contro nuovi attacchi
QNAP opera da tempo nel settore storage e backup, quindi è noto come questi dispositivi siano utilizzati per salvare dati ed informazioni importanti. Sfortunatamente ciò espone i NAS QNAP ,come agli altri server e servizi nella rete locale, a tentativi di intrusione con lo scopo di ottenere un accesso non autorizzato alle informazioni sensibili. Con l’aumento del numero di casi di ransomware mirati che crittografano i dati personali e aziendali, è tempo di rivalutare a fondo le misure di sicurezza delle informazioni esistenti.
Cosa è un ransomware mirato?
Un ransomware mirato ottiene l’accesso alle reti locali utilizzando una o più tecniche. Il modus operandi è complesso e difficile da rilevare. Una volta violato il perimetro, il ransomware può silenziosamente risiedere nelle reti locali per lungo tempo e infettare gradualmente tutti i dispositivi. Il malware viene generalmente scoperto solo dopo l’attacco quando è oramai troppo tardi. Fabbriche, enti governativi e istruzione sono tra i principali settori vittima dei ransomware mirati.
Una volta che il server di archiviazione viene crittografato dal ransomware…
Questo può significare diverse cose. Per prima cosa, il malware non è stato rilevato per diverso tempo. È riuscito a penetrare completamente fino alla parte più importante dell’infrastruttura IT, ed è un problema serio. Seconda cosa, i dispositivi di sicurezza convenzionali vicini allo switch core non hanno rilevato le attività di malware che si sono verificate al livello inferiore della topologia di rete. La conseguente riduzione delle prestazioni (causata dalla scansione completa del traffico) rende impossibile la connessione di un NAS con richiesta elevata di prestazioni ed altri server di archiviazione a dispositivi di sicurezza convenzionali.
Le minacce del ransomware mirato
La rete locale “non protetta”
I dispositivi di sicurezza convenzionali si trovano sul bordo della rete locale per creare un perimetro. Una volta violato il perimetro, non sono presenti meccanismi di rilevamento e risposta per impedire il movimento laterale del ransomware mirato.
Il modus operandi “difficile da rilevare”
Gli hackers sono bravi a coprire le proprie tracce con diversi vettori di attacco. L’analisi e la scoperta di tali attacchi di malware richiede dei professionisti IT con grandi competenze che richiedendo costi elevati le rendono così poco attuabili
“Troppo tardi per reagire”
I ransomware mirati possono utilizzare virtualmente tutti i dispositivi collegati (ad esempio stampanti e VM) come parte dell’attacco. Questi client sono per lo più trascurati. Quando vengono rilevate eventuali attività di malware, è spesso troppo tardi.
La soluzione QNAP: Dispositivi ADRA NDR
I dispositivi NDR della serie ADRA sono la risposta di QNAP ai ransomware mirati. Abbiamo iniziato a creare una soluzione per proteggere il QNAP NAS da tali attacchi, che può essere utilizzata anche con NAS e server di archiviazione di altri marchi.
Rilevamento della minaccia: scoprire le attività ostili in tempo
Controllo delle minacce
Il dispositivo ADRA controlla pacchetti di rete specifici che passano attraverso lo switch per cercare attività sospette. Poiché controlla solamente parti del traffico di rete, non impatta sulla velocità di trasmissione dei processi di archiviazione e consente così servizi ad alte prestazioni.
Threat Trap
Threat Trap simula diversi servizi comuni (come SSH e SAMBA) per indurre l’attacco del malware. Una volta avviato l’attacco, questo può essere rilevato e isolato.
Analisi delle minacce: ottenere informazioni preziose per ulteriori azioni
Analisi profonda delle minacce
Una volta acquisite le attività sospette tramite il rilevamento minacce, i pacchetti di traffico di rete vengono analizzati rispetto a una raccolta di regole per determinare il tipo di attacco.
Analisi della correlazione delle minacce
Saranno valutati diversi eventi di rilevamento nel tempo per determinare le relazioni come criterio aggiuntivo per la valutazione dei livelli di rischio associati.
Risposta alle minacce: arrestare e contenere l’attacco di malware
Isolamento automatico
Isolare automaticamente i dispositivi interessati per contenere l’attacco di malware in un intervallo più piccolo, senza spegnere l’intera rete.
Gestione manuale del rischio
Gli amministratori IT possono adottare diverse azioni (come isolare o consentire temporaneamente) per affrontare in modo flessibile le diverse esigenze operative.
Usare il NAS QNAP per ripristinare rapidamente i dati interessati su computer/server in caso di attacco
Se ADRA NDR rileva un attacco di rete a rischio elevato, il personale IT può isolare e scansionare i computer/dispositivi interessati. Il NAS QNAP supporta gli snapshot per aiutare a proteggere i dati e i file dai ransomware mirati, possono inoltre essere usati come parte di una strategia di backup 3-2-1 per garantire il ripristino rapido dei dati ad uno stato di integrità in caso di attacchi. Il completamento del ripristino impiega alcuni secondi e garantisce una ridotta inattività del sistema.
Evento di lancio in Italia con diretta streaming e demo prodotto di cybersecurity