Gli utenti IBM i che sono preoccupati per gli attacchi ransomware potrebbero essere interessati alla nuova versione di PowerTech Antivirus di HelpSystems, in grado di rilevare automaticamente l’attività ransomware sul sistema IBM i e di bloccarla prima che possa causare danni. È presente anche una nuova funzione di “file canarino” che si spera impedisca agli utenti IBM i di cadere nella miniera di carbone.
Con il proliferare degli attacchi ransomware, HelpSystems ha aggiunto nuove funzionalità per evitare che il ransomware riesca a criptare i dati sull’IFS. Con il lancio della versione 8.05 di Powertech AV all’inizio di quest’anno, HelpSystems ha potenziato la funzionalità ransomware con un paio di funzionalità chiave.
Per cominciare, il software è ora in grado di rilevare attività di file sospette sul sistema e di bloccare automaticamente il profilo utente associato all’attività. Il software offre ai clienti la possibilità di specificare la sensibilità del motore di rilevamento su una scala da 1 a 100, dove 1 è il meno rigoroso e 100 è completamente bloccato, secondo Sandi Moore, consulente principale per la sicurezza di HelpSystems.
“Chiunque rinomini un file, lo cancelli o lo cripti molto rapidamente, ovviamente avrà un tasso di sospetto più elevato”, ha detto Moore in un video sulla nuova funzione pubblicato sul sito web di HelpSystems. “Se il numero è molto basso, la tolleranza per queste attività sarà molto alta”.
Moore consiglia ai clienti di monitorare il funzionamento della funzionalità di rilevamento dei ransomware di PowerTech AV per regolare il livello di sensibilità o per creare eccezioni per gli utenti che devono creare, modificare, eliminare e crittografare i file nell’ambito del loro lavoro. Gli amministratori possono anche specificare che il software ignori determinate directory.
PowerTech AV 8.05 introduce un’altra interessante funzione ransomware: i file canary. Proprio come i canarini che i minatori erano soliti calare nelle miniere di carbone per rilevare i gas pericolosi, il file canarino è progettato per rilevare in modo surrettizio gli utenti nocivi che si aggirano per il sistema dove non dovrebbero.
Moore ha spiegato come funziona:
“Con il file canary, se qualcuno rinomina, cancella o tenta di modificare il file canary, viene automaticamente bloccato dal software”, ha detto. “L’idea è quella di creare un file che sembri molto allettante per un malintenzionato… perché è abbastanza sicuro che pagherete un riscatto per riavere quel file. Non appena tentano di eseguire la crittografia, la rinomina, l’eliminazione o la modifica, vengono bloccati”.
Ad esempio, il cliente può creare un file canary che assomiglia a un file master del cliente, uno dei file più preziosi che un negozio IBM i può avere (e che è un obiettivo ottimale per un cyber-criminale). Dopo aver creato il file canary, l’utente di PowerTech AV può attivare la trappola progettata per intrappolare gli hacker che curiosano nel suo sistema.
Secondo Moore, il software non modifica affatto il profilo dell’utente, ma gli utenti sono bloccati nell’accesso ai dati. Se un utente legittimo commette un errore e viene incastrato dal file canary, l’amministratore può rapidamente sbloccare l’utente con pochi tasti.
“Siamo molto contenti di poter aggiungere questa funzionalità all’attuale capacità di scansionare e trovare il ransomware presente su IBM i”, ha dichiarato Moore. “Questo ci dà una marcia in più, consentendoci di rilevare attività provenienti da una fonte esterna”.
Per ulteriori informazioni sulle nuove funzionalità della soluzione PowerTech AV, contatta info@wssitalia.it e riceverai supporto immediato dai nostri esperti IBM i.