Con Ransomware Defense, Cisco ha iniziato a proporre una soluzione di protezione tattica e strategica per rispondere agli attacchi di rete effettuati allo scopo di bloccare l'accesso a dati e sistemi in cambio di un riscatto. La tecnologia può essere installata su differenti prodotti del vendor e si caratterizza per la capacità di segmentare automaticamente le reti, allo scopo di isolare le macchine infettate. La prima linea di difesa è costituita da Umbrella Roaming, che si occupa di impedire ai dispositivi di accedere a siti malevoli già identificati, mentre alle spalle agisce Advanced Malware Protection (Amp). In caso di attacco, la prima tecnologia può bloccare la connessione a server di comando e controllo da cui viene inviato il codice malevolo, che competenze di criptare i file della vittima. Amp, invece, può essere associata a router, switch, firewall, appliance di messaggistica e web ed è capace di rilevare e bloccare i ransomware conosciuti. Il secondo livello di protezione, più strategico, si rivolge ai clienti mobili che utilizzano AnyConnect, ovvero la soluzione per la visibilità sulle attività degli utenti e dei dispositivi, con protezione contro i malware. Il sistema valeva anche su un team di consulenti, che valutano le difese della rete ed elaborano strategie utili per contrastare gli attacchi di tipo ransomware. Per i sistemi più sofisticati, vengono proposti anche StealthWatch e Integrated Services Engine, che permettono di stabilire policy congiunte per isolare automaticamente le macchine infettate in segmenti specifici della rete, utilizzando la matrice di commutazione di Cisco. La maggior parte delle infezioni di questo genere vengono prodotte via posta elettronica sia attraverso allegati infetti sia con link che rimandano a siti malevoli. La soluzione tattica proposta da Cisco consente di bloccare l'attivazione incauta da parte degli utenti. A un livello più sofisticato, si arriva a controllare l'attività e individuare segni tipici della presenza di un ransomware, in particolare i tentativi di connessione a server di comando dai quali sono generate le chiavi utilizzate per criptare i file delle vittime. Se questa connessione viene interrotta, il malware non avrà gli strumenti necessari per completare la propria missione.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di
ImpresaCity.it iscriviti alla nostra
Newsletter gratuita.