Quali aziende sono pronte a fronteggiare un attacco ransomware e quali, invece, necessitano di rafforzare la propria cyber security? Quasi sempre la risposta più verosimile si ha con un vulnerability assessment, o meglio con una valutazione specifica delle vulnerabilità che tipicamente vengono sfruttate durante un attacco ransomware.

Partendo da questo presupposto, e dal dato di fatto che gli attacchi ransomware sono ormai diventati una vera piaga non solo per le aziende ma anche per la società, la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha pubblicato il Ransomware Readiness Assessment (RRA). Si tratta di un nuovo modulo del più ampio tool di sicurezza Cyber Security Evaluation Tool (CSET) realizzato dallo stesso ente.

La funzione di RRA è semplice da intuire: consente alle aziende di condurre autonomamente audit di sicurezza per comprendere se sono bene attrezzate per difendersi e riprendersi da un attacco ransomware mirato contro il proprio IT, OT e/o ICS. Le sigle lasciano intendere che i destinatari sono tutte le aziende di qualsiasi dimensione e settore e con qualsiasi livello di maturità della security. In caso abbiano solo l'IT sarà quello l'unico comparto sotto esame, altrimenti verranno valutati anche gli altri.

Oltre a rispondere alla domanda che abbiamo posto sopra, CISA assicura che RRA fornisce anche chiare indicazioni per migliorare la security posture dell'azienda. Il report include infatti delle domande a più livelli per le categorie base, intermedia e avanzata, con l'obiettivo di aiutare le aziende a progredire nella sicurezza informatica concentrandosi prima sulle basi, quindi salendo gradualmente di livello.

I punti di forza sottolineati da CISA per RRA sono tre. Il primo è il supporto alle aziende nel valutare la propria posizione di sicurezza informatica rispetto al ransomware, tenendo conto degli standard riconosciuti e delle raccomandazioni sulle best practice. Il secondo è guidare i responsabili aziendali attraverso un processo sistematico che valuta le pratiche di sicurezza contro i ransomware implementate in ambito OT e IT. Il terzo è il resoconto dell'audit tramite una dashboard con grafici e tabelle che compongono un riepilogo dettagliato.

Va ricordato inoltre che CISA ha già pubblicato in passato un altro strumento interessante: Aviary, che serve per esaminare l'attività post-compromissione in ambienti cloud come Microsoft Azure Active Directory, Office 365 e Microsoft 365. Questa applicazione permette di rilevare app e account potenzialmente compromessi in Azure e Microsoft 365.