La prevenzione efficace non coincide con l’acquisto di più prodotti di sicurezza, ma con la capacità di costruire un’architettura coerente e governata. In molte realtà il punto di partenza non è tecnico, è organizzativo: definire responsabilità chiare tra Ciso, IT operation e business owner, formalizzare un livello di rischio accettabile realistico, mappare i dati critici e i processi che non possono fermarsi e collegare queste priorità a controlli misurabili.
Da qui discende la progettazione che deve, innanzitutto, riconoscere l’identità digitale (di persone e macchine) come nuovo perimetro, con autenticazione a prova di phishing, privilegi temporanei e tracciabili, gestione rigorosa di credenziali dati sensibili.
Parimenti, la segmentazione di rete non più intesa come “recinto” monolitico, ma come sistema di barriere interne che riduca il movimento laterale e che separi realmente gli ambienti di produzione da quelli d’ufficio e da quelli di test; i controlli di uscita, spesso trascurati, che frenano l’esfiltrazione dei dati e rendono più rumorosa la fase preparatoria dell’estorsione. È un lavoro di ingegneria dei flussi, più che di singoli allarmi.
Sul fronte della superficie d’attacco, la priorità non è “patchare tutto” in astratto, ma introdurre un processo di gestione della vulnerabilità che leghi le finestre di aggiornamento agli scenari reali di sfruttamento e alla criticità degli asset. L’esperienza mostra che i gruppi ransomware non cercano necessariamente la vulnerabilità più elegante, ma quella che garantisce affidabilità e velocità di esecuzione dentro il contesto di una rete reale. È per questo che le imprese che hanno automatizzato il discovery degli asset, che classificano i sistemi esposti su internet e che trattano i fornitori esterni come parte integrante del proprio perimetro di sicurezza, riescono a ridurre in modo significativo i tempi di contenimento.
Il principio guida è semplice: ridurre gli attriti interni perché la sicurezza operi al ritmo del cambiamento applicativo, anziché restare un passo indietro.
Dal sospetto al contenimento in minuti
Ransomware significa soprattutto catena di eventi rapidi: accesso iniziale, escalation, movimento laterale, esfiltrazione, cifratura.
La vera discriminante sta nella capacità di cogliere i segnali deboli e orchestrare una risposta in tempi che hanno scala di minuti, non di giorni.
Qui l’elemento chiave è la qualità della telemetria. Senza log di autenticazione, flussi di rete interni, eventi EDR e tracce dei servizi cloud, la correlazione resta un esercizio teorico. Con una telemetria completa, invece, i pattern tipici dell’intrusione emergono: catene di autenticazioni anomale tra sistemi che non dialogano abitualmente, creazione improvvisa di utenze privilegiate, script che esplorano in modo massiccio directory o condivisioni di rete e trasferimenti insoliti di grandi quantità di dati verso indirizzi esterni.
La risposta non è un gesto unico ma una sequenza coordinata: isolamento selettivo delle porzioni di rete a rischio, revoca o sospensione dei token di sessione, blocco delle utenze compromesse, messa in sola lettura delle repository più sensibili, raccolta delle prime evidenze forensi prima che evaporino. Dalla qualità di questo primo tempo dipende spesso l’ampiezza del danno.
Le aziende che hanno predisposto runbook praticabili, ruoli di guardia e un accordo con un team di incident response riducono attriti decisionali e guadagnano margine per scegliere, in modo consapevole, come gestire l’eventuale fase negoziale.
Backup, immutabilità e prove di ripristino: il lato spesso più debole
Molte organizzazioni scoprono la verità sui backup nel momento peggiore: quando non funzionano. La prevenzione reale non si giudica dal numero di copie, ma dalla loro indipendenza logica e fisica, dalla capacità di resistere a Credential stuffing e alle stesse tecniche con cui gli aggressori provano a distruggerle prima della cifratura.
La differenza la fa l’immutabilità applicata in modo sistematico, il controllo degli accessi alle piattaforme di backup, la separazione tra domini di autenticazione, la rotazione pianificata delle chiavi di cifratura e soprattutto la prova periodica di ripristino su sistemi isolati e sicuri.
Nel cloud, la sfida è duplice: assicurarsi che gli snapshot non siano “a portata di identità” compromesse e disporre di Playbook di ripristino che sappiano ricostruire non solo il dato ma anche la configurazione di sicurezza che lo protegge.
In ambienti ibridi, inoltre, ha senso considerare scenari di degradazione controllata dei servizi essenziali, accettando temporanee modalità “safe mode” pur di non rimanere completamente al buio. È un compromesso di business continuity che deve essere negoziato prima, non durante la crisi.
Negoziato, legalità e assicurazioni: perché la scelta non è mai puramente tecnica
La domanda se pagare o non pagare un riscatto ha una risposta meno binaria di quanto appaia.
Esistono vincoli legali e regolatori che possono vietare il pagamento verso soggetti sanzionati o imporre obblighi di notifica e trasparenza; ci sono valutazioni etiche e di deterrenza; c’è il tema, tutt’altro che secondario, dell’affidabilità delle promesse criminali di non diffondere i dati o di cancellare le copie.
Anche quando l’obiettivo è “solo” la chiave di decrittazione, l’esperienza insegna che gli strumenti di decifrazione forniti non sono necessariamente efficienti, che il ripristino può richiedere tempi incompatibili con l’operatività e che, in assenza di misure correttive strutturali, l’azienda resta esposta a nuove estorsioni basate sugli stessi dati sottratti.
Per queste ragioni il negoziato, se viene intrapreso, deve essere gestito con competenze specifiche, in coordinamento con la funzione legale, la direzione finanziaria, il responsabile privacy e, quando opportuno, le autorità.
Le polizze cyber introducono ulteriori variabili: alcune coperture richiedono la dimostrazione che siano stati adottati controlli minimi, altre pongono limiti stringenti su pagamento e consulenze ammissibili. L’errore più frequente non è scegliere “se” pagare, ma arrivare a quella scelta senza aver costruito prima le condizioni per renderla informata, tracciata e compatibile con gli obblighi normativi.
Differenze di approccio tra gli attori della sicurezza
Il ransomware è un’onda che viaggia sulle relazioni. Fornitori di servizi gestiti, integratori, piattaforme SaaS, marketplace di identità: chiunque agganci le proprie credenziali all’ambiente del cliente diventa vettore potenziale.
La mitigazione passa da modelli contrattuali che rendano verificabile il livello di sicurezza del fornitore, da regole di accesso “just-in-time” e perimetri micro-segmentati, da un catalogo delle dipendenze applicative che non viva solo nella memoria degli sviluppatori.
È altrettanto importante prestare attenzione agli strumenti di trasferimento dei file e alle architetture di integrazione: i criminali prendono di mira i punti nevralgici dove passano grandi quantità di dati non cifrati e dove i controlli di sicurezza risultano spesso meno rigorosi per privilegiare la velocità delle prestazioni.
I diversi attori dell’ecosistema di cybersecurity forniscono approcci complementari.
I vendor di soluzioni EDR e XDR si focalizzano sulla detection comportamentale e spingono sempre più sull’analisi in memoria e sull’esame delle identità compromesse. I fornitori di sicurezza di rete investono in visibilità est-ovest e in meccanismi di isolamento rapidi, fino alla quarantena automatica di segmenti micro.
I provider cloud e SaaS lavorano su posture di default più sicure, su baseline di configurazione e su funzioni di immutabilità gestita. Le società di incident response introducono regole nella gestione delle analisi forensi, nel mantenere intatta la catena di custodia delle prove digitali e nella gestione della comunicazione durante la crisi.
Le compagnie assicurative, infine, stanno trasformando requisiti come l’autenticazione forte, la gestione dei privilegi, la segregazione dei backup e l’adozione di piani di risposta testati in prerequisiti di accesso al mercato della copertura. È un’asimmetria informativa che si riduce quando i team di sicurezza sanno tradurre i controlli tecnici in metriche comprensibili al board e quando i fornitori sono chiamati a risultati verificabili, anziché affidarsi a promesse generiche.
Leggi anche Ransomware: i numeri di un fenomeno che non rallenta