Strategie per proteggere i file degli enti governativi dal ransomware

A seguito degli attacchi ransomware, le agenzie governative sono costantemente minacciate. I meccanismi di accesso remoto legacy come le VPN non sono più sufficienti per proteggere i file da crittografia, furto, fuga di dati e ransomware.

La migrazione dei file ai servizi cloud come alternativa è un'impresa complicata e impegnativa che potrebbe non essere un'opzione praticabile per i governi con severi requisiti normativi e vincoli di budget. Le tecnologie VPN e Desktop remoto non sono più sufficienti a proteggere adeguatamente le condivisioni di file governative se non gestite correttamente.

In questo articolo esaminiamo le varie alternative per connettersi in modo sicuro alle condivisioni di file da remoto proteggendole dal ransomware.

VPN per l'accesso remoto ai file

Con sempre più dipendenti che lavorano in remoto, la sicurezza VPN è una grande preoccupazione. Le agenzie governative hanno tradizionalmente utilizzato la tecnologia VPN (Virtual Private Network) per abilitare questa connettività remota, ma i problemi di sicurezza richiedono alle aziende di sfruttare nuovi modi per consentire l'accesso remoto sicuro alla condivisione di file esaminando le alternative VPN. Le notizie sono piene di storie quotidiane di aziende soggette a rischi per la sicurezza sempre crescenti. Ad esempio, il Krebsonsicurezza Il blog elenca numerose segnalazioni di ransomware che hanno bloccato governi e istituzioni.

Il problema con l’utilizzo del software VPN per connettersi alle risorse di lavoro è che gli utenti finali creano un tunnel aperto tra la rete domestica e quella aziendale. Questo metodo consente l'accesso remoto completo all'intera rete aziendale dall'esterno dell'ufficio, aggirando la maggior parte delle regole del firewall (la connessione VPN viene avviata tecnicamente dall'interno della LAN aziendale). Nella maggior parte dei casi, l'intera rete governativa interna è accessibile al lavoratore remoto, esponendo tutti i server e i desktop anziché solo le risorse necessarie. Ciò fornisce al malware un accesso laterale a numerose porte di rete sulla rete.

IL Note dell'Agenzia statunitense per la sicurezza informatica e le infrastrutture "Gli autori delle minacce utilizzano SMB per propagare malware attraverso le organizzazioni... Impedisci a tutte le versioni di SMB di essere accessibili esternamente alla tua rete bloccando la porta TCP 445 con i relativi protocolli sulle porte User Datagram Protocol 137-138 e sulla porta TCP 139."

In questo scenario, qualsiasi vulnerabilità della sicurezza o malware presente sul computer e sulla rete del lavoratore remoto può infettare la rete aziendale per la durata della connessione VPN. Ciò include il ransomware. Ad esempio, se il PC remoto è infetto da malware o virus, può diffondersi attraverso la VPN fino alla rete aziendale e aggirare le protezioni firewall aziendali. Inoltre, se il PC remoto viene compromesso, potrebbe essere utilizzato come canale direttamente nella LAN dell'ufficio dove gli hacker possono sfruttare le vulnerabilità della sicurezza per ottenere l'accesso non autorizzato ai sistemi.

L'implementazione dell'accesso remoto VPN sicuro ai file nell'ambiente ad alto rischio di oggi è un'alternativa complessa e costosa da mantenere e supportare.

Idealmente l’accesso VPN dovrebbe essere eliminato a favore di tecnologie Zero Trust che forniscono solo l’accesso di cui gli utenti hanno bisogno – e niente di più.

Migrazione Cloud/Sincronizzazione e condivisione

La migrazione delle organizzazioni a soluzioni basate sul cloud come metodo per proteggere i file per l'accesso remoto come SharePoint è un'impresa complicata e impegnativa. La migrazione delle condivisioni di file ai servizi cloud richiede mesi di pianificazione per ordinare e identificare i dati da spostare da un pool di condivisioni di file che possono risalire ad anni, se non decenni. Per esempio; Per eseguire la migrazione dei file in SharePoint, i file devono essere convertiti per rimuovere i caratteri non consentiti in SharePoint (~ ” # % & * : < > ? / \ { | }.) e mappati nelle raccolte di SharePoint per rimanere entro i limiti di archiviazione di SharePoint utilizzando strumenti specializzati che deve essere acquistato a un costo aggiuntivo. Ad esempio, abbiamo identificato I 5 principali costi di migrazione di SharePoint che le imprese devono prendere in considerazione.

Internet è piena di storie di migrazioni di SharePoint e Cloud andate male quando non eseguiti con un'attenta pianificazione e due diligence. La migrazione è più complicata quando si migrano organizzazioni con dati altamente sensibili, come agenzie governative, con una serie di normative governative e di conformità. I governi dovranno prevedere un budget per questi costi nascosti di sviluppo, approvvigionamento e implementazione quando confrontano SharePoint con altri condivisione di file aziendali soluzioni.

Per i governi preoccupati per la sovranità dei dati che migrano verso un fornitore di cloud storage con formati di file proprietari e vincoli al fornitore, potrebbe avere più senso migrarli su AWS o Condivisioni file di Azure dove le autorizzazioni NTFS e i nomi dei file possono essere conservati e dove i limiti di archiviazione e i vincoli del fornitore non rappresentano un problema. La semplice migrazione delle condivisioni di file nel cloud, tuttavia, non li proteggerà dal ransomware o dal furto e dalla perdita di dati.

Sebbene i fornitori forniscano strumenti per migrare i file sulla propria piattaforma di archiviazione cloud, una volta migrati, tutti i metadati vanno persi rendendo complessa o impraticabile l'esportazione dei file su condivisioni file o altri sistemi. Le organizzazioni dovranno riflettere attentamente sulle implicazioni dello spostamento di file su piattaforme proprietarie basate su cloud poiché potrebbero scoprire che, se per qualsiasi motivo, desiderano passare a un altro servizio, i costi futuri di eventuali condivisioni di file di migrazione supereranno di gran lunga i costi a breve termine. risparmio.

Desktop remoto/RDS

RDP è un'ulteriore alternativa utilizzata dalle agenzie governative per fornire accesso remoto ai sistemi e alle condivisioni di file. Secondo l'ultimo rapporto di Coveware, quasi 50% di exploit ransomware sono stati il risultato di problemi di sicurezza legati a violazioni dell'infrastruttura di Servizi Desktop remoto (RDS). Il rapporto ha rilevato che nel “primo trimestre del 2021, le connessioni di protocollo desktop remoto compromesse hanno riguadagnato la prima posizione come vettore di attacco più comune. “

RDP rimane una vulnerabilità frustrantemente comune nonostante gli sforzi per proteggerla con le migliori pratiche di sicurezza, tra cui:

Applicazione di patch alle vulnerabilità RDP

Mentre RDP opera su un canale criptato sui server, esiste una vulnerabilità nel metodo di crittografia nelle versioni precedenti di RDP, che lo rende un gateway preferito dagli hacker. Microsoft stima che quasi 1 milione di dispositivi siano attualmente vulnerabili ai rischi per la sicurezza dei desktop remoti. La società ha emesso un patch legacy per le sue piattaforme obsolete, tra cui Windows XP, Windows Server 2008, Windows 2003 e Windows 2007. (Per queste piattaforme legacy, RDP è noto come servizi terminal.)

L'applicazione di patch è un modo importante per migliorare la sicurezza RDP, tuttavia deve essere eseguita in modo coerente e tempestivo per prevenire exploit zero-day ransomware.

Blocco dell'accesso alla porta 3389

Il protocollo delle migliori pratiche per prevenire l'esposizione a problemi di sicurezza RDP inizia con la creazione di una policy per gestire gli endpoint e assicurarsi che la porta non sia accessibile a Internet. Un approccio proattivo può aiutarti a concentrarti sulla prevenzione dell'accesso iniziale ridurre al minimo i rischi per la sicurezza del PSR.

Limita gli utenti RDP

È possibile limitare chi può accedere tramite RDP e chi può aggiungere o rimuovere un account utente dal gruppo Utenti desktop remoto.

Utilizza una rete privata virtuale prima di accedere a RDP

Quando usi a Rete privata virtuale (VPN) connessione, aggiungi un ulteriore livello di sicurezza RDP al tuo sistema. La VPN garantisce che prima che possa essere stabilita una connessione RDP ai tuoi server, è necessario effettuare una connessione alla rete privata sicura, che è crittografata e ospitata all'esterno dei tuoi sistemi interni. Sebbene le VPN offrano alcuni miglioramenti rispetto all'accesso diretto a RDS, non proteggono le condivisioni di file una volta che gli utenti stessi sono autorizzati a accedere alle reti interne nel caso in cui un utente apra un'e-mail di phishing ed esegua malware.

Utilizza un gateway Desktop remoto

Un gateway RDP/RDS (insieme a una VPN) migliora il controllo rimuovendo tutti gli accessi remoti degli utenti al sistema e sostituendoli con una connessione desktop remoto punto a punto. L'accesso degli utenti a un gateway avviene prima della connessione a qualsiasi servizio back-end. Questo gateway può essere ulteriormente migliorato per richiedere l’autenticazione a due fattori per limitare ulteriormente l’esposizione e mitigare i rischi.

Limitare l'esposizione utilizzando questi metodi può fornire protezioni aggiuntive dagli attacchi ransomware alla condivisione di file in remoto, ma non risolve le protezioni di accesso alla condivisione di file una volta che l'utente si trova all'interno della rete. I governi vorranno implementare ulteriori blocchi all’interno della rete per limitare l’accesso delle PMI alla porta TCP 445 e l’accesso laterale alla rete per impedire agli attacchi ransomware di infettare le condivisioni di file e i sistemi internamente.

Accesso alla condivisione file Zero Trust

Secondo Gartner, entro il 2023, 60% delle imprese eliminerà gradualmente la maggior parte delle proprie soluzioni VPN di accesso remoto a favore di Zero Trust Network Access (ZTNA). La sicurezza non può essere garantita dalle VPN poiché le porte di rete aperte possono essere compromesse e sfruttate. Con la VPN, gli hacker possono ottenere l'accesso alle reti aziendali interne dove molte aziende sono vulnerabili alla crittografia ransomware e ad altri attacchi aziendali che mettono fine a catastrofici. Ciò che stava lentamente diventando una realtà per adattarsi al nuovo panorama Zero Trust è aumentato notevolmente dopo la pandemia, con i lavoratori remoti che creano un incubo logistico per i dipartimenti IT di tutto il mondo. La sicurezza della rete e l’accesso remoto alla condivisione dei file sono parte essenziale del governo così come dell’integrità e della governance dei dati.

Poiché ZTNA diventa lo standard di riferimento nella sicurezza di rete, cosa è necessario per fornire quel livello di sicurezza e creare un santuario di condivisioni di file al riparo dalle minacce senza spendere una fortuna e perdere tempo prezioso con la migrazione dei dati verso qualche altra piattaforma basata su cloud?

Un esempio di Zero Trust per l'accesso sicuro alla condivisione di file remoti è MyWorkDrive. MyWorkDrive fornisce accesso remoto sicuro Zero Trust a file e condivisioni di file senza dover utilizzare VPN, migrare file su servizi cloud o mantenere una complessa infrastruttura desktop remoto.

I dipendenti governativi possono accedere ai file e alle condivisioni di file in remoto da qualsiasi luogo e in qualsiasi momento.

A differenza di Sync & Share, MyWorkDrive si integra esclusivamente e in modo nativo in un'infrastruttura di condivisione file Windows esistente senza migrazione di file o vincoli al fornitore.

MyWorkDrive fornisce l'accesso tramite https senza accesso remoto alle porte o ai server della rete interna. I metodi di accesso includono:

Gestore file Web

Accedi alle tue condivisioni di file in remoto utilizzando qualsiasi browser Web con a Gestore di file basato sul Web. MyWorkDrive Web File Manager è il più elegante e facile da usare del settore, ricco di funzionalità di cui gli utenti hanno bisogno senza dover installare nulla. Gli utenti possono accedere, visualizzare, modificare e collaborare sui file senza dispositivi da gestire e senza il rischio di esporre reti interne o condivisioni di file a ransomware utilizzando una sessione sicura del browser Web.

Unità di rete mappata

Connettiti ai tuoi file in remoto utilizzando MyWorkDrive Client unità mappata che consente agli utenti di mappare in modo sicuro un'unità sui propri file di lavoro da qualsiasi luogo senza sincronizzazione o VPN. Abilita facoltativamente l'autenticazione a due fattori e SAML/SSO per ulteriore sicurezza e conformità.

MyWorkDrive ti consente inoltre di inviare lettere di unità per ciascuna condivisione, adattandole alla tua esperienza utente interna. Gli utenti accedono semplicemente all'URL del sito Web MyWorkDrive utilizzando le credenziali Active Directory esistenti o l'accesso SSO. Tutte le unità mappate in rete vengono visualizzate automaticamente. Con MyWorkDrive il personale governativo può lavorare in sicurezza da casa con un'esperienza di unità di rete mappata senza il supporto o i problemi di sicurezza di VPN o Desktop remoto.

Mapped Drive Client aggiunge ulteriori controlli di sicurezza e protezione a livello di applicazione che non sono disponibili con le tradizionali unità di rete mappate su VPN.

  • Lettere di unità inviate dal server che rispecchiano le lettere di unità mappate utilizzate in ufficio.
  • Blocco del tipo di file
  • Autenticazione a due fattori
  • SAML/Single Sign-On.
  • Visualizzazione Prevenzione perdita di dati di file con restrizioni di download/copia/stampa.
  • Autorizzazioni granulari.
  • Autorizzazioni NTFS di Active Directory Protette per impostazione predefinita.
  • Interfaccia di caricamento di file in blocco.
  • Aprire i documenti di Office online senza le app di Office locali installate.
  • Si connette tramite la porta https 443 invece della porta SMB 445 che in genere è bloccata dagli ISP.
  • Unità di rete mappate protette da DLP

Visualizza e modifica file online direttamente dal client dell'unità mappata.

Questa funzionalità elimina i requisiti di formazione per gli utenti finali e la necessità di accedere dal client Web utilizzando una visualizzazione nativa di file e cartelle in Esplora risorse, aggiungendo anche funzionalità di sicurezza DLP per proteggere i dati sensibili.

Con MyWorkDrive, impedisci facilmente i download di file e cartelle pur continuando a visualizzare file e cartelle in un'interfaccia client tradizionale con unità mappata. Visualizza o modifica file online bloccando download, appunti, stampa, caricamento o ridenominazione dei file. Filigrane e dettagli utente visualizzati e registrati su tutti i file visualizzati. La sicurezza e la conformità dei dati sono della massima importanza sia per il settore pubblico che per quello privato. Soddisfa i nuovi requisiti CMMC nonché NIST, FedRamp, HIIPA, Fina e GDPR.

Daniel, fondatore di MyWorkDrive.com, ha lavorato in vari ruoli di gestione della tecnologia al servizio di aziende, governo e istruzione nell'area della Baia di San Francisco dal 1992. Daniel è certificato in Microsoft Technologies e scrive di tecnologia dell'informazione, sicurezza e strategia ed è stato premiato negli Stati Uniti Brevetto #9985930 in reti di accesso remoto