Principale > Blog sul backup e sul ripristino > Strategie e migliori prassi di backup del ransomware. Come fare per proteggere i backup dal Ransomware?

Strategie e migliori prassi di backup del ransomware. Come fare per proteggere i backup dal Ransomware?

Aggiornato 8th Aprile 2024, Rob Morrison

Il ransomware e il suo significato nel panorama moderno della cybersecurity

Gli attacchi ransomware stanno devastando numerose organizzazioni da oltre un decennio, causando la perdita di dati critici e sensibili, oltre ad altre spiacevoli conseguenze, come il pagamento di enormi somme di denaro alle organizzazioni criminali. È difficile trovare un settore moderno che non sia stato colpito dal ransomware in un modo o nell’altro. Si dice che il numero di attacchi ransomware nell’ultimo trimestre del 2022 sia stato di 154,93 milioni, e questo numero continua a crescere regolarmente.

Sebbene le misure preventive rimangano una parte fondamentale della difesa dal ransomware, il mantenimento di backup regolari dei dati serve come mezzo più efficace per il recupero dei dati dopo un attacco. La protezione dei dati è fondamentale: poiché molte forme di ransomware prendono di mira anche i dati di backup, è assolutamente necessario adottare misure per salvaguardare i backup dal ransomware.

Il ransomware è un tipo di malware che si infiltra nel computer o nei server della vittima, cripta i suoi dati e li rende inaccessibili. Gli autori chiedono poi il pagamento di un riscatto – in genere sotto forma di criptovaluta – in cambio della chiave di decriptazione. Gli attacchi ransomware possono avere conseguenze devastanti, causando perdite finanziarie significative, interrompendo la produttività e causando persino il fallimento.

Quando la crittografia dei file presi di mira ha successo, gli aggressori di solito chiedono un riscatto. Questa richiesta informa la vittima della crittografia e chiede il pagamento di un riscatto per riottenere l’accesso ai propri dati. Il pagamento del riscatto viene spesso richiesto in bitcoin o in altre criptovalute, rendendo difficile la tracciabilità da parte delle forze dell’ordine.

Se la vittima non rispetta le richieste di riscatto, gli aggressori possono ricorrere a ulteriori minacce, come la pubblicazione dei file criptati online o la loro eliminazione definitiva. In alcuni casi, dopo il pagamento del riscatto, gli aggressori possono anche rilasciare uno strumento di decriptazione, ma la sua efficacia può essere limitata o non decriptare tutti i file interessati.

Obiettivi comuni del ransomware

Sebbene l’affermazione che praticamente qualsiasi dispositivo sia un potenziale bersaglio del ransomware, ci sono alcune categorie di informazioni e gruppi di utenti che i creatori di ransomware tendono a prendere maggiormente di mira:

  • Enti governativi – obiettivi primari per la maggior parte delle varianti di ransomware a causa dell’enorme quantità di dati sensibili in loro possesso; è anche un’ipotesi comune che il governo preferisca pagare il riscatto piuttosto che lasciare che i dati sensibili di importanza politica vengano resi pubblici o venduti a terzi.
  • Organizzazioni sanitarie – un bersaglio relativamente facile per il ransomware a causa del gran numero di infrastrutture sanitarie che si affidano a software e hardware obsoleti, riducendo drasticamente la quantità di sforzi necessari per infrangere tutte le sue misure di protezione; i dati sanitari sono anche estremamente importanti a causa del loro collegamento diretto con il sostentamento di centinaia o migliaia di pazienti, il che li rende ancora più preziosi.
  • Dispositivi mobili – un obiettivo comune a causa della natura degli smartphone moderni e della quantità di dati che un singolo smartphone tende a contenere (che si tratti di video e foto personali, informazioni finanziarie, ecc.
  • Istituti accademici – uno dei maggiori bersagli del ransomware, a causa della combinazione di lavorare con grandi volumi di dati sensibili e di avere gruppi IT più piccoli, vincoli di budget e altri fattori che contribuiscono alla minore efficacia complessiva dei loro sistemi di sicurezza.
  • Reparti risorse umane – potrebbero non avere molte informazioni preziose di per sé, ma sono compensati dall’avere accesso ai dati finanziari e personali di altri dipendenti; sono anche un bersaglio comune a causa della natura stessa del lavoro (l’apertura di centinaia di e-mail al giorno rende molto più probabile che un dipendente medio delle risorse umane apra un’e-mail con un malware).

Il numero di attacchi ransomware sembra crescere a un ritmo allarmante, raggiungendo 155 milioni di istanze solo nel quarto trimestre del 2022. Vengono inoltre sviluppati regolarmente nuovi tipi e varianti di ransomware. Esiste ora un modello di business completamente nuovo chiamato RaaS, o Ransomware-as-a-Service, che offre un accesso costante ai più recenti esempi di software maligno a fronte di un canone mensile, semplificando notevolmente il processo complessivo di attacco ransomware.

Le ultime informazioni di Statista confermano le affermazioni di cui sopra in termini di obiettivi principali per il ransomware nel suo complesso: organizzazioni governative, sanitarie, finanziarie, manifatturiere e così via. Anche le organizzazioni finanziarie sembrano essere in costante crescita come uno dei maggiori obiettivi del ransomware finora.

Ci sono modi per proteggere la sua azienda dai vari attacchi ransomware, e il primo, fondamentale, è assicurarsi di avere backup a prova di ransomware.

Tipi di ransomware

Vediamo innanzitutto i diversi tipi di minacce. Il ransomware legato alla crittografia (cryptoware) è uno dei tipi di ransomware più diffusi al giorno d’oggi. Alcuni esempi meno comuni di tipi di ransomware sono:

  • Schermi di blocco (interruzione con la richiesta di riscatto, ma senza crittografia),
  • Ransomware per dispositivi mobili (infezione del telefono cellulare),
  • Ransomware di crittografia MBR (infetta una parte del file system di Microsoft che viene utilizzata per avviare il computer, impedendo all’utente di accedere al sistema operativo),
  • Extortionware/leakware (prende di mira dati sensibili e compromettenti, quindi chiede un riscatto in cambio della non pubblicazione dei dati presi di mira), e così via.

La frequenza degli attacchi ransomware è destinata ad aumentare drasticamente nel 2022 e oltre, e con una crescente sofisticazione. Una ricerca di Palo Alto Networks mostra che solo nella prima metà del 2021 l’importo medio del pagamento del riscatto è tipicamente superiore a mezzo milione di dollari ($570.000+, per essere precisi).

Sebbene le misure preventive siano il modo migliore per affrontare il ransomware, in genere non sono efficaci al 100%. Per gli attacchi che riescono a penetrare, il backup è l’ultimo baluardo di difesa che un reparto IT può utilizzare. Il backup e il ripristino dei dati si sono dimostrati un elemento di protezione efficace e critico contro la minaccia del ransomware. Tuttavia, essere in grado di recuperare efficacemente i dati significa mantenere un rigoroso programma di backup dei dati e adottare varie misure per evitare che anche il backup venga catturato e criptato dal ransomware.

Affinché un’azienda protegga sufficientemente i backup dal ransomware, è necessaria una preparazione e una riflessione anticipata. La tecnologia di protezione dei dati, le best practice di backup e la formazione del personale sono fondamentali per mitigare le interruzioni pericolose per l’azienda che gli attacchi ransomware possono infliggere ai server di backup di un’organizzazione.

Gli attacchi ransomware ai sistemi di backup sono spesso opportunistici, non necessariamente mirati. Il processo esatto varia a seconda del programma, ma in genere il ransomware striscia sul sistema alla ricerca di tipi di file specifici e, se individua l’estensione di un file di backup, lo cripta. Poi, cercherà di diffondersi e di infettare quanti più sistemi possibile. Il movimento di questi programmi malware è laterale e non intenzionale.

Una delle migliori protezioni contro questi attacchi consiste nel disporre di una soluzione di backup dei dati e del ransomware con un’architettura corretta, configurata in modo appropriato e combinata con strategie di backup di tipo best-practice. Ciò include la garanzia che qualsiasi backup nel cloud sia adeguatamente protetto e disponibile, e che lei abbia una strategia per assicurarsi di non sincronizzare i file infetti locali con quelli che dovrebbero essere tenuti al sicuro nel cloud. Ciò significa anche avere copie aggiornate di quei dati disponibili altrove. Per qualsiasi azienda di medie e grandi dimensioni, disporre di una soluzione di backup di livello aziendale è essenziale, perché una corretta pratica di backup, archiviazione e conformità dei dati può fare la differenza tra la sopravvivenza e il fallimento di un’azienda in caso di attacco ransomware.

Miti comuni su ransomware e backup

Se sta facendo ricerche su come proteggere i backup dal ransomware, potrebbe imbattersi in consigli sbagliati o non aggiornati. La realtà è che la protezione dei backup da ransomware è un po’ più complessa, quindi esaminiamo alcuni dei miti più popolari che circondano l’argomento.

Mito del backup ransomware 1: Il ransomware non infetta i backup. Potrebbe pensare che i suoi file siano al sicuro. Tuttavia, non tutti i ransomware si attivano al momento dell’infezione. Alcuni aspettano prima di iniziare. Ciò significa che i suoi backup potrebbero già contenere una copia del ransomware.

Mito del backup del ransomware 2: I backup criptati sono protetti dal ransomware. Non ha molta importanza se i suoi backup sono criptati. Non appena si esegue un ripristino del backup, l’infezione può diventare nuovamente eseguibile e attivarsi.

Mito del backup del ransomware 3: Solo Windows è colpito. Molte persone pensano di poter eseguire i loro backup su un sistema operativo diverso per eliminare la minaccia. Purtroppo, se i file infetti sono ospitati sul cloud, il ransomware può passare da un sistema all’altro.

Mito del backup del ransomware 4: Pagare il riscatto è più facile e più economico che investire in sistemi di recupero dei dati. Ci sono due forti argomenti a sfavore. Numero uno: le aziende che pagano il riscatto si presentano agli intrusi come bersagli facili, non disposti a lottare contro gli attacchi ransomware. Numero due: pagare il riscatto per intero non è un modo garantito per acquisire le chiavi di decriptazione.

Mito del backup del ransomware 5: Gli attacchi ransomware avvengono per lo più per vendetta contro le grandi aziende che maltrattano le persone normali. C’è un collegamento che potrebbe essere fatto tra le aziende con politiche discutibili nei confronti dei clienti e gli attacchi di vendetta, ma la stragrande maggioranza degli attacchi è semplicemente alla ricerca di qualcuno di cui approfittare.

Mito del backup del ransomware 6: Il ransomware non attacca le aziende più piccole e prende di mira solo le grandi aziende. Sebbene le aziende più grandi possano essere bersagli più importanti a causa del riscatto potenzialmente maggiore che potrebbe essere acquisito da loro, le aziende più piccole vengono attaccate dal ransomware con la stessa frequenza di quelle più grandi – e anche gli utenti privati subiscono un numero significativo di attacchi ransomware su base regolare. Un recente rapporto di Sophos dimostra che questo particolare mito non è vero, poiché sia le aziende di grandi dimensioni che quelle di piccole dimensioni hanno all’incirca la stessa percentuale di essere colpite da ransomware nell’arco di un anno (72% per le imprese con un fatturato di 5 miliardi di dollari e 58% per le aziende con un fatturato inferiore a 10 milioni di dollari).

Naturalmente, ci sono ancora molti modi per proteggere i backup dal ransomware. Di seguito sono riportate alcune strategie importanti che dovrebbe prendere in considerazione per la sua azienda.

Le 17 principali strategie per proteggere i backup dal ransomware

Ecco alcune considerazioni tecniche specifiche per il suo ambiente IT aziendale, per proteggere il suo server di backup da futuri attacchi ransomware:

1. Credenziali uniche e distinte

Si tratta di una best practice di base per il backup ransomware; e con il crescente numero di attacchi ransomware ai server di backup, è più che mai necessaria. Il contesto che qualcuno utilizza per accedere all’archivio di backup deve essere completamente riservato e utilizzato solo per questo scopo specifico.

Per proteggere i backup dal ransomware, dovrebbe evitare di lavorare come root o amministratore. Utilizzi account di servizio il più possibile limitati, quando possibile. Per impostazione predefinita, Bacula integra l’autenticazione a due fattori nel progetto e consente all’utente di applicare la massima separazione possibile quando si tratta di carichi di lavoro di produzione, stabilendo un backup più a prova di ransomware. Ad esempio, la sua installazione predefinita assicura che i suoi demoni vengano eseguiti con account di servizio dedicati.

2. Archiviazione offline

L’archiviazione offline è una delle migliori difese contro la propagazione della crittografia ransomware all’archiviazione di backup. Esistono diverse possibilità di archiviazione che possono essere utilizzate:

Tipo di Media Cosa è importante
Backup di destinazione su cloud Questi utilizzano un meccanismo di autenticazione diverso. Possono essere collegati solo parzialmente al sistema di backup. L’utilizzo di backup con destinazione cloud è un buon modo per proteggere i backup dal ransomware, perché i suoi dati sono conservati al sicuro nel cloud. In caso di attacco, può ripristinare il suo sistema da lì, anche se ciò può risultare costoso. Deve anche tenere presente che la sincronizzazione con l’archiviazione dei dati locali può caricare l’infezione anche sul suo backup nel cloud.
Immagini di archiviazione primaria Le snapshot hanno un quadro di autenticazione diverso e possono essere utilizzate per il ripristino. Le copie snapshot sono backup di sola lettura, quindi i nuovi attacchi ransomware non possono infettarle. Se identifica una minaccia, può semplicemente ripristinarla da una copia scattata prima che avvenisse l’attacco.
Macchine virtuali replicate Meglio se controllate da un quadro di autenticazione diverso, come l’utilizzo di domini diversi per, ad esempio, gli host vSphere e Hyper-V, e Powered off. Deve solo assicurarsi di tenere sotto controllo il suo programma di conservazione. Se si verifica un attacco ransomware e non se ne accorge prima che i suoi backup vengano crittografati, potrebbe non avere alcun backup da cui ripristinare.
Dischi rigidi/SSD Distaccati, non montati o offline, a meno che non vengano letti o scritti. Alcune unità a stato solido sono state aperte con malware, ma questo va oltre la portata di alcuni ransomware di backup tradizionali.
Nastro Non c’è niente di più offline che i nastri scaricati da una nastroteca. Questi sono anche comodi per l’archiviazione fuori sede. Poiché i dati sono solitamente conservati fuori sede, i backup su nastro sono normalmente al sicuro da attacchi ransomware e disastri naturali. I nastri dovrebbero sempre essere crittografati.
Elettrodomestici Gli elettrodomestici, in quanto scatole nere, devono essere adeguatamente protetti da accessi non autorizzati per proteggersi dagli attacchi ransomware. È consigliabile una sicurezza di rete più rigorosa rispetto ai normali file server, in quanto le appliance possono presentare vulnerabilità più impreviste rispetto ai normali sistemi operativi.

3. Lavori di copia di backup

Un lavoro di copia di backup copia i dati di backup esistenti su un altro sistema di dischi, in modo che possano essere ripristinati in un secondo momento o inviati a una sede esterna.

L’esecuzione di un lavoro di copia di backup è un modo eccellente per creare punti di ripristino con regole di conservazione diverse da quelle del lavoro di backup regolare (e che possono trovarsi su un altro sistema di archiviazione). Il lavoro di copia di backup può essere un meccanismo prezioso che può aiutarla a proteggere i backup dal ransomware, perché ci sono diversi punti di ripristino in uso con il lavoro di copia di backup.

Ad esempio, se aggiunge un dispositivo di archiviazione aggiuntivo alla sua infrastruttura (ad esempio un server Linux), può definire un repository per esso e creare un lavoro di copia di backup che funzioni come backup del ransomware.

4. Evitare troppi tipi di file system

Anche se il coinvolgimento di diversi protocolli può essere un buon modo per prevenire la propagazione del ransomware, sappia che questo non è certamente una garanzia contro gli attacchi di backup del ransomware. I diversi tipi di ransomware tendono ad evolversi e a diventare più efficaci regolarmente, e nuovi tipi appaiono abbastanza frequentemente.

Pertanto, è consigliabile utilizzare un approccio alla sicurezza di livello aziendale: l’archiviazione di backup dovrebbe essere inaccessibile per quanto possibile, e dovrebbe esserci un solo account di servizio sulle macchine conosciute che deve accedervi. Le posizioni del file system utilizzate per archiviare i dati di backup devono essere accessibili solo dagli account di servizio pertinenti, per proteggere tutte le informazioni dagli attacchi ransomware.

5. Utilizzi la regola 3-2-1-1

Seguire la regola del 3-2-1 significa avere tre copie distinte dei suoi dati, su due supporti diversi, uno dei quali fuori sede. La forza di questo approccio per il backup del ransomware è che può affrontare praticamente qualsiasi scenario di guasto e non richiede l’utilizzo di tecnologie specifiche. Nell’era del ransomware, Bacula consiglia di aggiungere un secondo “1” alla regola: quello in cui uno dei supporti è offline. Esistono diverse opzioni per realizzare una copia offline o semi-offline dei suoi dati. In pratica, ogni volta che si esegue il backup su obiettivi non legati al file system, si è già vicini al raggiungimento di questa regola. Quindi, i nastri e gli obiettivi di archiviazione di oggetti nel cloud sono utili per lei. Mettere i nastri in un caveau dopo la scrittura è una best practice di lunga data.

I target di archiviazione in cloud possono fungere da archiviazione semi-offline dal punto di vista del backup. I dati non sono in loco e l’accesso richiede protocolli personalizzati e un’autenticazione secondaria. Alcuni fornitori di cloud consentono di impostare gli oggetti in uno stato immutabile, il che soddisfa il requisito di evitare che vengano danneggiati da un aggressore. Come per qualsiasi implementazione cloud, si accetta una certa dose di affidabilità e di rischio per la sicurezza affidando i dati critici al provider cloud, ma come fonte di backup secondaria il cloud è molto interessante.

6. Evitare gli snapshot di archiviazione

Le snapshot di archiviazione sono utili per recuperare i file cancellati in un momento preciso, ma non sono un vero e proprio backup. Le istantanee di archiviazione tendono a mancare di una gestione avanzata della conservazione, di reportistica e tutti i dati sono ancora archiviati nello stesso sistema e quindi possono essere vulnerabili a qualsiasi attacco che colpisca i dati primari. Uno snapshot non è altro che una copia puntuale dei suoi dati. Pertanto, il backup può essere ancora vulnerabile agli attacchi ransomware, se questi sono stati programmati per rimanere inattivi fino a un certo momento.

7. Recupero bare metal

Il recupero bare metal si realizza in molti modi diversi. Molte aziende si limitano a distribuire un’immagine standard, a fornire il software e a ripristinare i dati e/o le preferenze degli utenti. In molti casi, tutti i dati sono già archiviati in remoto e il sistema stesso non ha molta importanza. Tuttavia, in altri casi questo non è un approccio pratico e la capacità di ripristinare completamente una macchina a un punto nel tempo è una funzione critica dell’implementazione del disaster recovery che può consentire di proteggere i backup dal ransomware.

La capacità di ripristinare un computer criptato dal ransomware a un punto recente nel tempo, compresi i dati dell’utente memorizzati localmente, può essere una parte necessaria di una difesa a livelli. Lo stesso approccio può essere applicato ai sistemi virtualizzati, anche se di solito ci sono opzioni preferibili disponibili presso l’hypervisor.

8. Test del piano di backup

Sebbene sia una buona idea impostare una politica di backup/ripristino completa, non si può mai sapere come funzionerebbe senza testarla in anticipo. Il test del piano di backup è un processo che può aiutare a calcolare il tempo di ripristino, l’accessibilità dei dati e molti altri parametri che sono essenziali per proteggere i backup dal ransomware. Questo può anche aiutare a capire quali parti del suo sistema devono avere la priorità nel processo di ripristino, come fare per ripristinare velocemente i dati dall’archiviazione offline, capire se ha bisogno di una rete completamente separata per il ripristino e così via.

9. Archiviazione immutabile

L’archiviazione immutabile come termine non è una novità, ma in passato non ha avuto molta diffusione a causa della complessità generale dell’utilizzo di questi dati. Si tratta di dati che non possono essere modificati in alcun modo una volta archiviati in un modo specifico. La versione più moderna di questo concetto sta diventando sempre più popolare tra i vari provider di cloud e altri fornitori di servizi di archiviazione con una tecnologia chiamata WORM, o archiviazione Write-Once-Read-Many. Questa tecnologia consente agli utenti di bloccare oggetti specifici nei loro dati per un periodo di tempo specifico, rendendo i suddetti oggetti immuni da qualsiasi modifica.

10. Crittografia del backup

La crittografia è un altro modo per evitare che il ransomware trovi o influenzi in qualche modo i dati di backup, poiché la crittografia trasforma i dati normali in dati illeggibili, impossibili da decodificare senza una chiave adeguata. L’approccio migliore consiste nel criptare sia i dati già archiviati localmente o nel cloud, sia i dati che vengono inviati o recuperati in qualche modo o forma. Lo standard di crittografia più diffuso nel settore è oggi AES-256 per i dati a riposo e SSL/TLS per le informazioni crittografate durante il transito.

11. Politiche di backup

Rivedere e aggiornare regolarmente le politiche di backup del ransomware può essere un metodo sorprendentemente efficace per ridurre al minimo l’effetto di un attacco ransomware o per prevenirlo direttamente. Affinché la politica di backup sia efficace, innanzitutto, deve essere aggiornata e flessibile, includendo soluzioni per tutti i moderni metodi di attacco ransomware.

Una delle migliori difese contro il ransomware è il ripristino delle informazioni da backup puliti, poiché il pagamento di un riscatto non garantisce al 100% che i suoi dati vengano decriptati in primo luogo – il che dimostra ancora una volta l’importanza dei backup. Gli argomenti che devono essere trattati quando si esegue un audit approfondito della sua intera struttura di dati interni includono:

  • È in vigore la regola del 3-2-1?
  • Ci sono sistemi critici che non sono coperti da regolari operazioni di backup?
  • Questi backup sono adeguatamente isolati in modo da non essere colpiti dal ransomware?
  • È mai stata effettuata una prova di ripristino di un sistema da un backup per verificare come fare?

12. Pianificazione del ripristino di emergenza

Un piano di ripristino in caso di disastro è un documento che può essere utilizzato come traccia di come la sua azienda risponderebbe a una minaccia specifica alle sue operazioni regolari. I problemi potenziali possono essere errori umani, condizioni meteorologiche, crimini informatici, guasti hardware e così via.

Ci sono molte questioni che un DRP (piano di ripristino d’emergenza) adeguato può affrontare, tra cui, ma non solo, le seguenti:

  • Di quali dati occorre fare il backup? Poiché coprire l’intero sistema è spesso estremamente difficile e sorprendentemente costoso, è un’ottima idea valutare i suoi dati per determinare le parti più importanti. Per molte organizzazioni, i dati come le e-mail di lavoro si rivelano essere alcune delle risorse più preziose di cui dispongono. Conoscere le priorità del backup dei dati aiuta molto a impostare un sistema di backup e ripristino adeguato.
  • Dove verrà archiviato il backup? Ogni tipo di luogo di archiviazione ha i suoi vantaggi e le sue carenze, che devono essere presi in considerazione quando si pianifica il sistema di backup. Naturalmente, l’opzione migliore è quella di utilizzare più luoghi di archiviazione per i suoi backup, sia in sede che nel cloud, ma questa opzione può anche essere più costosa di altre.
  • Quali sono le misure di sicurezza per i backup? I controlli di sicurezza per i suoi backup sono praticamente necessari in molti casi diversi, soprattutto quando si tratta di tipi di dati specifici. Ad esempio, le aziende che lavorano con PHI (informazioni sanitarie protette) devono aderire sia all’HIPAA che al GDPR (se lavorano con clienti dell’UE).
  • Quanto spesso verranno eseguiti i backup? Sorprendentemente, eseguire i backup il più spesso possibile non è sempre l’opzione migliore, poiché tende ad essere estremamente costoso in termini di costi di archiviazione. Per questo motivo, si raccomanda di eseguire una valutazione del suo sistema per capire qual è l’intervallo migliore tra i backup per la sua specifica attività e quale quantità di tempi di inattività può essere tollerata senza rovinare completamente l’attività in questione.

13. Formazione incentrata sulla sicurezza per i dipendenti

I backup possono verificarsi sia a livello di sistema che sui sistemi dei singoli dipendenti, soprattutto quando si tratta di varie e-mail e altre informazioni specifiche. Insegnare ai suoi dipendenti l’importanza della loro partecipazione al processo di backup è un ottimo modo per colmare ulteriori lacune nella sua difesa contro il ransomware.

Allo stesso tempo, anche se i dipendenti regolari possono aiutare nel processo di backup, non dovrebbero avere accesso ai backup stessi. Più persone hanno accesso ai dati di backup, più alte sono le possibilità di errore umano o di compromettere in qualche altro modo il suo sistema e i suoi backup.

14. Aggiornamenti software

Molto spesso il ransomware può utilizzare le vulnerabilità del suo sistema per invadere e danneggiare in qualche modo i suoi dati. L’esecuzione di aggiornamenti regolari del software è uno dei modi migliori per combatterlo, anche se deve essere utilizzato insieme ai metodi di protezione del backup e ad altre tattiche di questo elenco.

15. Air gapping

Il punto di forza dei backup con air gapping è il loro isolamento intrinseco. In caso di attacco ransomware riuscito, il backup disconnesso non viene intaccato, fornendo una copia pulita dei suoi dati per il recupero. Può quindi isolare i sistemi colpiti, eliminare l’infezione e ripristinare i dati dal backup air-gapped.

I backup air-gapped rappresentano una delle forme più robuste e impegnative di protezione dal ransomware. Questo approccio comporta la disconnessione fisica dello storage di backup dalla sua sede, isolandolo dall’infrastruttura cloud, dalle reti locali e da qualsiasi altra forma di connettività.

In pratica, i backup air-gapped utilizzano soluzioni di archiviazione locale come dischi rigidi, dispositivi NAS o file server. Questi dispositivi sono collegati alla sua sede solo durante le operazioni di backup.

Nonostante la sua efficacia, il metodo di backup air-gapped presenta anche alcune limitazioni. Ad esempio, lo storage di backup air-gapped può costituire una soluzione di storage aggiuntiva rispetto allo storage di produzione. Ciò richiede la definizione, la costruzione e la manutenzione di un’infrastruttura di storage separata.

L’implementazione dei backup air-gapped richiede anche un’attenta pianificazione e integrazione con le politiche di backup esistenti, per evitare interruzioni delle operazioni aziendali. Allo stesso tempo, i backup air-gapped sono adatti per i dati statici e non critici che possono essere ripristinati in poche ore – ma non per le applicazioni o i database che richiedono la replica failover, in quanto è necessario collegare lo storage distaccato per ogni operazione di ripristino.

I backup air-gapped offrono una protezione eccezionale contro il ransomware, ma la loro idoneità dipende da requisiti specifici. Spesso, i backup air-gapped servono come ultima linea di difesa, salvaguardando solo i dati più critici.

16. Amazon S3 Object Lock

Object Lock è una funzione del cloud storage di Amazon che consente una maggiore protezione delle informazioni archiviate nei bucket S3. La funzione, come suggerisce il nome, può impedire qualsiasi azione non autorizzata con un oggetto specifico o un insieme di oggetti per un determinato periodo di tempo, rendendo i dati praticamente immutabili per un determinato lasso di tempo.

Uno dei principali casi d’uso di Object Lock è la conformità a vari framework e regolamenti di conformità, ma è anche una funzione utile per gli sforzi generali di protezione dei dati. È anche relativamente semplice da configurare: l’utente finale deve solo scegliere un Periodo di conservazione, trasformando di fatto i dati in formato WORM per il momento.

Esistono due modalità di conservazione principali che S3 Object Lock può offrire: la modalità Conformità e la modalità Governance. La modalità Conformità è la meno rigida delle due, offrendo la possibilità di modificare la modalità di conservazione mentre i dati sono ‘bloccati’. La modalità Governance, invece, impedisce alla maggior parte degli utenti di manomettere i dati in qualsiasi modo – gli unici utenti autorizzati a fare qualcosa con i dati durante il periodo di conservazione sono quelli che dispongono di speciali permessi di bypass.

È anche possibile utilizzare il Blocco oggetti per attivare un “Blocco legale” su dati specifici; questo funziona al di fuori dei periodi di conservazione e delle modalità di conservazione e impedisce che i dati in questione vengano manomessi per motivi legali, come ad esempio un contenzioso.

17. Sicurezza Zero Trust

Il continuo passaggio dalla sicurezza tradizionale alla sicurezza incentrata sui dati ha introdotto molte nuove tecnologie che offrono incredibili vantaggi in termini di sicurezza, anche se c’è un prezzo da pagare in termini di esperienza utente. Ad esempio, un approccio di sicurezza a fiducia zero è una tattica relativamente comune per i moderni sistemi di sicurezza, che funge da grande barriera protettiva contro il ransomware e altre potenziali minacce.

L’approccio generale alla sicurezza a fiducia zero adotta l’idea principale della sicurezza centrata sui dati, cercando di verificare e controllare tutti gli utenti e i dispositivi che accedono a informazioni specifiche, indipendentemente da cosa siano e da dove si trovino. Questo tipo di approccio si concentra su quattro “pilastri” principali:

  • Il principio del minimo privilegio prevede che ogni utente abbia il minor numero possibile di privilegi nel sistema, cercando di mitigare il problema dell’eccesso di accessi privilegiati che la maggior parte delle industrie ha avuto per anni.
  • La segmentazione estesa viene utilizzata principalmente per limitare la portata di una potenziale violazione della sicurezza, eliminando la possibilità che un singolo attaccante acquisisca l’accesso all’intero sistema in una sola volta.
  • La verifica costante è un principio fondamentale per la sicurezza a fiducia zero, senza alcun tipo di elenco di “utenti fidati” che possa essere utilizzato per aggirare completamente il sistema di sicurezza.
  • Il monitoraggio continuo è anche una necessità per assicurarsi che tutti gli utenti siano legittimi e reali, nel caso in cui una qualche forma di programma di attacco moderno o un cattivo attore riesca a bypassare il primo livello di sicurezza.

Strumenti specifici per il sistema di backup come mezzo di protezione aggiuntiva contro il Ransomware

Per un approccio ampliato allo stesso problema del backup infettato da ransomware, è possibile – e consigliabile – utilizzare gli strumenti dei sistemi di backup come mezzo aggiuntivo di protezione dagli attacchi. Ecco cinque migliori pratiche di backup del ransomware – per proteggere ulteriormente l’azienda dal ransomware:

  • Assicurarsi che i backup stessi siano puliti da ransomware e/o malware. Verificare che il suo backup non sia infetto dovrebbe essere una delle sue massime priorità, poiché l’intera utilità del backup come misura di protezione contro il ransomware viene annullata se i suoi backup sono compromessi dal ransomware. Esegua regolarmente patch di sistema per chiudere le vulnerabilità del software, investa in strumenti di rilevamento malware e li aggiorni regolarmente, e cerchi di mettere offline i suoi file multimediali il più rapidamente possibile dopo averli modificati. In alcuni casi, potrebbe prendere in considerazione un approccio WORM (Write-One-Read-Many) per proteggere i suoi backup dal ransomware – un tipo specifico di supporto che è previsto solo per alcuni tipi di nastro e disco ottico, oltre che per alcuni provider di cloud storage.
  • Non faccia affidamento sui backup in cloud come unico tipo di archiviazione di backup. Sebbene l’archiviazione in-the-cloud presenti una serie di vantaggi, non è completamente impermeabile al ransomware. Sebbene sia più difficile per un aggressore corrompere i dati fisicamente, è comunque possibile per gli aggressori di ransomware ottenere l’accesso ai suoi dati sia utilizzando un’infrastruttura condivisa dell’archiviazione cloud nel suo complesso, sia collegando tale archiviazione cloud al dispositivo di un cliente infetto.
  • Rivedere e testare i suoi piani di ripristino e backup esistenti. Il suo piano di backup e di ripristino deve essere testato regolarmente per garantire la protezione contro le minacce. Scoprire che il suo piano di ripristino non funziona come previsto solo dopo un attacco ransomware è chiaramente indesiderabile. La migliore strategia di backup del ransomware è quella che non dovrà mai fare i conti con le violazioni di dati maligni. Esamini diversi scenari, verifichi alcuni risultati relativi al ripristino, come il time-to-recovery, e stabilisca quali parti del sistema sono prioritarie per impostazione predefinita. Si ricordi che molte aziende possono – e devono – misurare in dollari al minuto il costo dei servizi interrotti.
  • Chiarire o aggiornare le politiche di conservazione e sviluppare programmi di backup. Si raccomanda vivamente di rivedere regolarmente le strategie di backup del ransomware. Può darsi che il backup dei suoi dati non sia abbastanza frequente, o che il periodo di conservazione dei backup sia troppo piccolo, rendendo il suo sistema vulnerabile a tipi più avanzati di ransomware che possono colpire le copie di backup attraverso ritardi temporali e altri mezzi di infezione.
  • Verifica accuratamente tutti i luoghi di archiviazione dei dati. Per proteggere i backup dal ransomware, questi devono essere controllati per assicurarsi che non vadano persi dati e che tutto sia stato sottoposto a backup in modo corretto – possibilmente includendo i sistemi degli utenti finali, gli archivi cloud, le applicazioni e altri software di sistema.

Come fa il Ransomware a manomettere i suoi backup

Sebbene sia vero che i sistemi di backup e ripristino sono in grado di proteggere le organizzazioni dal ransomware nella maggior parte dei casi, questi sistemi non sono gli unici che continuano a progredire ed evolversi nel corso degli anni – perché anche il ransomware diventa sempre più insolito e sofisticato con il passare del tempo.

Uno dei problemi più recenti di questo intero approccio con i backup è che ora molte varianti di ransomware hanno imparato a prendere di mira e ad attaccare non solo i dati dell’azienda in primo luogo, ma anche i backup di quella stessa azienda – e questo è un problema significativo per l’intero settore. Molti autori di ransomware hanno modificato il loro malware per rintracciare ed eliminare i backup. Da questo punto di vista, mentre i backup possono ancora proteggere i suoi dati dal ransomware, lei dovrà proteggere anche i backup dal ransomware.

È possibile individuare alcune delle principali angolazioni che vengono tipicamente utilizzate per manomettere i suoi backup nel loro complesso. Evidenzieremo i principali e le spiegheremo come può utilizzarli per proteggere i backup dal ransomware:

Il potenziale di danno da ransomware aumenta con cicli di ripristino più lunghi

Anche se non è così ovvio come altre possibilità, il problema dei cicli di ripristino lunghi è ancora piuttosto importante nel settore, ed è principalmente causato da prodotti di backup obsoleti che possono eseguire solo backup completi lenti. In questi casi, i cicli di ripristino dopo un attacco ransomware possono durare giorni o addirittura settimane – ed è un disastro enorme per la maggior parte delle aziende, poiché i tempi di inattività del sistema e i costi di interruzione della produzione possono rapidamente oscurare le stime iniziali dei danni da ransomware.

Due possibili soluzioni per proteggere i suoi backup dal ransomware sono: a) cercare di ottenere una soluzione in grado di fornirle una copia dell’intero sistema nel più breve tempo possibile, in modo da non dover trascorrere giorni o addirittura settimane in modalità di ripristino, e b) cercare di ottenere una soluzione che offra il ripristino di massa come funzione, in modo da far ripartire più macchine virtuali, database e server molto rapidamente.

La sua polizza assicurativa può anche diventare la sua responsabilità

Come abbiamo accennato in precedenza, compaiono sempre più varianti di ransomware che possono colpire sia i suoi dati originali che i suoi backup, o a volte cercano addirittura di infettare e/o distruggere i suoi dati di backup prima di passare alla fonte. Pertanto, deve rendere il più difficile possibile per il ransomware eliminare tutte le sue copie di backup – una sorta di difesa a più livelli.

I criminali informatici utilizzano attacchi molto sofisticati che prendono di mira i dati, puntando direttamente ai suoi backup, che sono la sua principale polizza assicurativa per mantenere in funzione la sua azienda. Dovrebbe disporre di un’unica copia dei dati in uno stato tale che non possa mai essere montata da alcun sistema esterno (spesso definita copia di backup immutabile), e implementare varie funzioni di sicurezza complete, come il già citato WORM, oltre a un moderno isolamento dei dati, alla crittografia dei dati, al rilevamento delle manomissioni e al monitoraggio delle anomalie nel comportamento dei dati.

Ci sono due misure che possiamo analizzare in modo più dettagliato:

  • Copia di backup immutabile. La copia di backup immutabile è una delle misure più importanti contro gli attacchi ransomware: si tratta di una copia del suo backup che non può essere alterata in alcun modo una volta creata. Esiste solo per essere la sua principale fonte di dati se è stato preso di mira da un ransomware e ha bisogno di riavere le sue informazioni come erano prima. I backup immutabili non possono essere cancellati, cambiati, sovrascritti o modificati in alcun altro modo, ma solo copiati in altre fonti. Alcuni venditori presentano l’immutabilità come infallibile, ma in termini di backup ransomware, non esiste una cosa del genere. Ma non deve temere gli attacchi ransomware di backup immutabile. Basta assicurarsi di avere una strategia olistica che includa il rilevamento e la prevenzione degli attacchi, e implementare una forte gestione delle credenziali.
  • Crittografia del backup. È un po’ ironico che la crittografia sia utilizzata anche come una delle misure per contrastare gli attacchi ransomware, dal momento che molti ransomware utilizzano la crittografia per chiedere un riscatto per i suoi dati. La crittografia non rende i suoi backup a prova di ransomware e non impedisce gli exploit. Tuttavia, nella sua essenza, la crittografia dei backup dovrebbe agire come un’ulteriore misura contro il ransomware, crittografando i suoi dati all’interno dei backup in modo che il ransomware non possa leggerli o modificarli in primo luogo.

I problemi di visibilità dei suoi dati diventano un vantaggio per il ransomware

Per sua natura, il ransomware è più pericoloso quando entra in un sistema mal gestito – una sorta di “dati oscuri”. Lì può fare molti danni, un attacco ransomware può criptare i suoi dati e/o venderli sul dark web. Si tratta di un problema significativo che richiede le tecnologie più all’avanguardia per essere rilevato e combattuto in modo efficace.

Mentre il rilevamento precoce del ransomware è possibile solo con una moderna soluzione di gestione dei dati e un buon sistema di backup, il rilevamento di tali minacce in tempo reale richiede una combinazione di apprendimento automatico e intelligenza artificiale – in modo da poter ricevere avvisi sull’attività sospetta del ransomware in tempo reale, rendendo la scoperta dell’attacco molto più rapida.

La frammentazione dei dati è una vulnerabilità massiccia

Chiaramente, molte organizzazioni trattano regolarmente grandi quantità di dati. Tuttavia, le dimensioni non sono un problema quanto la frammentazione: non è raro che i dati di un’azienda si trovino in più sedi diverse e utilizzino diversi tipi di archiviazione. La frammentazione può anche creare grandi cache di dati secondari (non sempre essenziali per le operazioni aziendali) che possono compromettere le sue capacità di archiviazione e renderla più vulnerabile.

Ognuno di questi luoghi e tipi di backup aggiunge un altro potenziale luogo di sfruttamento dei dati da parte del ransomware, rendendo l’intero sistema aziendale ancora più difficile da proteggere. In questo caso, è consigliabile avere una soluzione di data discovery all’interno del suo sistema, che apporta diversi vantaggi, uno dei quali è una migliore visibilità della totalità dei suoi dati, rendendo molto più facile individuare minacce, attività insolite e potenziali vulnerabilità.

Le credenziali dell’utente possono essere utilizzate più volte per attacchi ransomware

Le credenziali utente sono sempre state uno dei maggiori problemi in questo campo, in quanto forniscono agli attaccanti di ransomware un chiaro accesso a dati preziosi all’interno della sua azienda – e non tutte le aziende sono in grado di rilevare il furto in primo luogo. Se le credenziali utente vengono compromesse, gli aggressori di ransomware possono sfruttare le diverse porte aperte e ottenere l’accesso ai suoi dispositivi e alle sue applicazioni. L’intera situazione delle credenziali utente è peggiorata quando, a causa di Covid, le aziende sono state costrette a passare in gran parte al lavoro da remoto nel 2019 – e questo problema è ancora presente come non mai.

Secondo il 2021 Data Breach Investigation Report di Verizon, oltre il 60% delle violazioni di dati in un anno sono state effettuate utilizzando credenziali compromesse. Queste vulnerabilità possono anche influenzare i suoi backup e renderli più esposti al ransomware. In genere, l’unico modo per combattere questo tipo di lacuna nella sicurezza è investire in controlli rigorosi dell’accesso degli utenti, includendo funzioni come l’autenticazione a più fattori, controlli dell’accesso basati sui ruoli, monitoraggio costante e così via.

Testare e ritestare sempre i backup

Molte aziende si rendono conto che i loro backup sono falliti o troppo difficili da ripristinare solo dopo essere state vittime di un attacco ransomware. Se vuole assicurarsi che i suoi dati siano protetti, dovrebbe sempre fare una sorta di esercizio regolare e documentare i passaggi esatti per la creazione e il ripristino dei suoi backup.

Poiché alcuni tipi di ransomware possono anche rimanere inattivi prima di criptare le sue informazioni, vale la pena di testare regolarmente tutte le copie di backup, poiché potrebbe non sapere quando è avvenuta l’infezione. Si ricordi che il ransomware continuerà a trovare modi sempre più complessi per nascondersi e rendere più costosi i suoi sforzi di recupero dei backup.

Conclusione

Per la massima protezione del suo backup contro il ransomware e minacce simili, Bacula Systems consiglia vivamente alla sua organizzazione di rispettare pienamente le best practice di backup e ripristino dei dati sopra elencate. I metodi e gli strumenti descritti in questo blog post sono utilizzati regolarmente dai clienti di Bacula Systems per proteggere i loro backup dal ransomware. Per le aziende che non dispongono di soluzioni di backup dei dati di livello avanzato, Bacula Systems esorta queste organizzazioni ad effettuare una revisione completa della loro strategia di backup e a valutare una soluzione di backup e ripristino moderna.

Scarica il whitepaper di Bacula sulla protezione da ransomware.

Informazioni sull'autore
Rob Morrison
Rob Morrison è il direttore marketing di Bacula Systems. Ha iniziato la sua carriera nel marketing IT con Silicon Graphics in Svizzera, ottenendo ottimi risultati in vari ruoli di gestione del marketing per quasi 10 anni. Nei 10 anni successivi, Rob ha ricoperto anche diverse posizioni di gestione del marketing in JBoss, Red Hat e Pentaho, assicurando la crescita della quota di mercato di queste note aziende. Si è laureato all'Università di Plymouth e ha conseguito una laurea ad honorem in Digital Media and Communications e ha completato un programma di studi all'estero.
Lascia un commento

Il suo indirizzo e-mail non sarà pubblicato. I campi obbligatori sono contrassegnati da *