Strategie e migliori prassi di backup del ransomware. Come fare per proteggere i backup dal Ransomware?

Perché il ransomware è una minaccia critica nella moderna sicurezza informatica?

Da oltre un decennio, gli attacchi ransomware causano gravi interruzioni in numerose organizzazioni, portando alla perdita di dati critici e sensibili, oltre ad altre spiacevoli conseguenze, come il pagamento di enormi somme di denaro alle organizzazioni criminali. Quasi tutti i principali settori industriali sono regolarmente colpiti dal ransomware in un modo o nell’altro. Gli attacchi ransomware hanno raggiunto 5.263 incidenti nel 2024 – il numero più alto registrato dall’inizio del monitoraggio nel 2021, e il numero in questione sembra continuare a crescere su base annuale.

Sebbene le misure preventive rimangano una parte fondamentale della difesa contro il ransomware, il mantenimento di backup regolari dei dati è il mezzo più efficace per recuperare i dati dopo un attacco. La protezione dei dati è fondamentale: poiché molte forme di ransomware prendono di mira anche i dati di backup, è assolutamente necessario adottare misure per salvaguardare i backup dal ransomware. Una recente ricerca mostra anche che gli aggressori hanno tentato di compromettere i backup del 94% delle organizzazioni colpite dal ransomware, rendendo la protezione dei backup più critica che mai.

Il ransomware è un tipo di malware che si infiltra nel computer o nei server della vittima, cripta i suoi dati e li rende inaccessibili. Gli autori chiedono poi il pagamento di un riscatto – in genere sotto forma di criptovaluta – in cambio della chiave di decriptazione. Gli attacchi ransomware tendono ad avere conseguenze devastanti, causando perdite finanziarie significative, interrompendo la produttività e causando persino il fallimento. L’attacco di 2024 Change Healthcare (importante fornitore di servizi sanitari negli Stati Uniti) ha provocato da solo 3,09 miliardi di dollari di danni e ha compromesso le informazioni sanitarie protette di oltre 100 milioni di persone.

Quando la crittografia dei file presi di mira è riuscita, gli aggressori di solito chiedono un riscatto. I pagamenti del riscatto sono spesso richiesti in bitcoin o altre criptovalute, rendendo difficile per le forze dell’ordine rintracciarli. Se la vittima non rispetta le richieste di riscatto, gli aggressori possono ricorrere a ulteriori minacce, come la pubblicazione dei file criptati online o la loro eliminazione definitiva.

Chi sono gli obiettivi principali degli attacchi Ransomware?

Sebbene l’affermazione che praticamente qualsiasi dispositivo sia un potenziale bersaglio del ransomware, ci sono alcune categorie di informazioni e gruppi di utenti che i creatori di ransomware tendono a prendere maggiormente di mira:

• Enti governativi – obiettivi primari per la maggior parte delle varianti di ransomware, a causa dell’enorme quantità di dati sensibili in loro possesso; è anche un’ipotesi comune che il governo preferisca pagare il riscatto piuttosto che lasciare che i dati sensibili di importanza politica vengano resi pubblici o venduti a terzi.
• Organizzazioni sanitarie – un obiettivo notevole per il ransomware a causa del gran numero di infrastrutture sanitarie che si affidano a software e hardware obsoleti, riducendo drasticamente la quantità di sforzi necessari per infrangere tutte le sue misure di protezione; i dati sanitari sono anche estremamente importanti a causa del loro collegamento diretto con il sostentamento di centinaia o migliaia di pazienti, il che li rende ancora più preziosi.
• Dispositivi mobili – un obiettivo comune a causa della natura degli smartphone moderni e della quantità di dati che un singolo smartphone tende a contenere (che si tratti di video e foto personali, informazioni finanziarie, ecc.)
• Istituzioni accademiche – uno dei maggiori bersagli del ransomware, a causa della combinazione di lavorare con grandi volumi di dati sensibili e di avere gruppi IT più piccoli, vincoli di budget e altri fattori che contribuiscono alla minore efficacia complessiva dei loro sistemi di sicurezza.
• Dipartimenti di risorse umane – potrebbero non avere molte informazioni preziose di per sé, ma sono compensati dall’avere accesso ai dati finanziari e personali di altri dipendenti; sono anche un bersaglio comune a causa della natura stessa del lavoro (l’apertura di centinaia di e-mail al giorno rende molto più probabile che un dipendente medio delle risorse umane apra un’e-mail con un malware).

Il numero di attacchi ransomware sembra crescere a un ritmo allarmante. Le organizzazioni di servizi finanziari hanno visto il 65% di attacchi ransomware nel 2024, con gli aggressori che hanno tentato di compromettere i backup nel 90% di questi attacchi. Vengono inoltre sviluppati regolarmente nuovi tipi e varianti di ransomware. Esiste ora un modello di business completamente nuovo chiamato RaaS, o Ransomware-as-a-Service, che offre un accesso costante ai più recenti esempi di software maligno a fronte di un canone mensile, semplificando notevolmente il processo complessivo di attacco ransomware.

Le ultime informazioni di Statista confermano le affermazioni di cui sopra in termini di obiettivi principali del ransomware nel suo complesso: organizzazioni governative, sanitarie, finanziarie, manifatturiere e così via. Anche le organizzazioni finanziarie sembrano essere in costante crescita come uno dei maggiori obiettivi del ransomware finora.

Ci sono modi per proteggere la sua azienda dai vari attacchi ransomware, e il primo, fondamentale, è assicurarsi di avere backup a prova di ransomware.

Quali sono i diversi tipi di ransomware?

Vediamo innanzitutto i diversi tipi di minacce. Il ransomware legato alla crittografia (cryptoware) è uno dei tipi di ransomware più diffusi al giorno d’oggi. Esempi notevoli ma meno diffusi di tipi di ransomware includono:

• Schermate di blocco (interruzione con richiesta di riscatto, ma senza crittografia),
• Ransomware per dispositivi mobili (infezione dei telefoni cellulari),
• Ransomware con crittografia MBR (infetta una parte del file system di Microsoft che viene utilizzata per avviare il computer, impedendo all’utente di accedere al sistema operativo),
• Extortionware/leakware (prende di mira dati sensibili e compromettenti, poi chiede un riscatto in cambio della non pubblicazione dei dati presi di mira), e così via.

La frequenza degli attacchi ransomware è destinata ad aumentare drasticamente nel 2022 e oltre, e con una crescente sofisticazione. Dati recenti mostrano che il pagamento medio del riscatto ha raggiunto i 2,73 milioni di dollari nel 2024, con un aumento drammatico rispetto ai 400.000 dollari del 2023. Questa forte escalation riflette sia la crescente sofisticazione degli attacchi che la migliore comprensione da parte degli aggressori delle capacità finanziarie delle organizzazioni vittime.

Sebbene le misure preventive siano il modo preferito per affrontare il ransomware, in genere non sono efficaci al 100%. Per gli attacchi che riescono a penetrare nelle organizzazioni, il backup è l’ultimo baluardo di difesa. Il backup e il ripristino dei dati si sono dimostrati un elemento di protezione efficace e critico contro la minaccia del ransomware. Tuttavia, essere in grado di recuperare efficacemente i dati significa mantenere un programma rigoroso di backup dei dati e adottare varie misure per evitare che anche il backup venga catturato e criptato dal ransomware.

Affinché un’azienda protegga sufficientemente i backup dal ransomware, è necessaria una preparazione e una riflessione anticipata. La tecnologia di protezione dei dati, le best practice di backup e la formazione del personale sono fondamentali per mitigare la minaccia di interruzione dell’attività che gli attacchi ransomware infliggono ai server di backup di un’organizzazione.

Doppia estorsione ed esfiltrazione dei dati

La doppia estorsione rappresenta l’evoluzione più significativa nelle tattiche del ransomware negli ultimi cinque anni, cambiando radicalmente il modo in cui le organizzazioni devono affrontare la protezione dei dati. A differenza degli attacchi tradizionali di sola crittografia, in cui i backup forniscono un ripristino completo, la doppia estorsione crea una responsabilità che persiste anche dopo un ripristino riuscito.

Gli aggressori ora esfiltrano abitualmente i dati sensibili durante le fasi di ricognizione, spesso settimane prima di distribuire i payload di crittografia. Questi dati rubati diventano una leva permanente. Le organizzazioni con backup perfetti devono ancora affrontare le minacce di dump di dati pubblici, sanzioni normative, perdita di informazioni competitive e danni alla reputazione.

I recenti attacchi di alto profilo dimostrano questa minaccia: gli aggressori hanno pubblicato le cartelle cliniche dei pazienti rubate, i database dei clienti e le ricerche proprietarie anche dopo che le vittime si sono rifiutate di pagare, causando multe normative che superano le decine di milioni di dollari. Il modello di minaccia è fondamentalmente cambiato: il ransomware non è più solo un attacco alla disponibilità risolto dai backup, ma una violazione della riservatezza che richiede una protezione completa dei dati.

Le priorità dell’obiettivo includono:

• informazioni di identificazione personale dei clienti (PII)
• dati finanziari
• proprietà intellettuale
• dati dei dipendenti
• dati sanitari
• qualsiasi informazione soggetta a protezione normativa

Gli aggressori valutano il valore dei dati prima di selezionare le vittime, prendendo di mira in particolare le organizzazioni che detengono informazioni sensibili con conseguenze sulla pubblicazione.

La difesa richiede strategie di backup stratificate con la prevenzione dell’esfiltrazione dei dati. I sistemi di prevenzione della perdita di dati (DLP) monitorano e bloccano i trasferimenti di dati insoliti. La segmentazione della rete limita il movimento laterale tra i depositi di dati. La crittografia a riposo rende inutilizzabili i file rubati senza le chiavi corrispondenti. Le architetture a fiducia zero verificano tutti i tentativi di accesso, indipendentemente dalla fonte.

I backup rimangono essenziali per il ripristino operativo, ma affrontano solo metà della minaccia di doppia estorsione. Una difesa completa contro il ransomware riconosce che gli attacchi moderni creano un doppio rischio che richiede una doppia protezione: resilienza dei backup per la crittografia e controlli di accesso per l’esfiltrazione.

Quali sono i miti comuni su ransomware e backup?

Se sta cercando di capire come proteggere i backup dal ransomware, potrebbe imbattersi in consigli sbagliati o non aggiornati. La realtà è che la protezione dei backup da ransomware è un po’ più complessa, quindi analizziamo alcuni dei miti più popolari che circondano l’argomento.

Mito del backup del ransomware 1: il ransomware non infetta i backup. Potrebbe pensare che i suoi file siano al sicuro. Tuttavia, non tutti i ransomware si attivano al momento dell’infezione. Alcuni aspettano prima di iniziare. Ciò significa che i suoi backup potrebbero contenere una copia del ransomware.

Mito del backup del ransomware 2: i backup criptati sono protetti dal ransomware. Non ha molta importanza se i suoi backup sono criptati. Non appena si esegue un ripristino del backup, la potenziale infezione diventa nuovamente eseguibile e si attiva.

Mito del backup del ransomware 3: solo Windows è colpito. Molte persone pensano che sia possibile eseguire i backup su un sistema operativo diverso per eliminare la minaccia. Sfortunatamente, se i file infetti sono ospitati sul cloud, il ransomware si diffonderebbe.

Mito del backup del ransomware 4: pagare il riscatto è più facile ed economico che investire in sistemi di recupero dati. Ci sono due forti argomenti a sfavore. Numero uno: le aziende che pagano il riscatto sono percepite come vulnerabili e non disposte a combattere gli attacchi ransomware. Numero due: il pagamento integrale del riscatto non è nemmeno lontanamente un modo garantito per acquisire le chiavi di decrittazione.

Mito del backup del ransomware 5: gli attacchi di ransomware vengono effettuati per lo più per vendetta contro le grandi aziende che maltrattano le persone normali. C’è un collegamento che potrebbe essere fatto tra le aziende con politiche discutibili nei confronti dei clienti e gli attacchi di vendetta, ma la stragrande maggioranza degli attacchi è semplicemente alla ricerca di qualcuno di cui approfittare.

Mito del backup del ransomware 6: il ransomware non attacca le aziende più piccole e prende di mira solo le grandi aziende. Sebbene le aziende più grandi possano essere bersagli più importanti a causa del riscatto potenzialmente maggiore che potrebbe essere acquisito da loro, le aziende più piccole vengono attaccate dal ransomware con la stessa frequenza di quelle più grandi – e anche gli utenti privati subiscono un numero significativo di attacchi ransomware su base regolare. Un rapporto di Sophos dimostra che questo particolare mito non è vero, poiché sia le aziende di grandi dimensioni che quelle piccole hanno più o meno la stessa percentuale di essere colpite da ransomware nell’arco di un anno (72% per le imprese con un fatturato di 5 miliardi di dollari e 58% per le aziende con un fatturato inferiore a 10 milioni di dollari).

Naturalmente, ci sono ancora molti modi per proteggere i backup dal ransomware. Di seguito sono riportate alcune strategie importanti che dovrebbe prendere in considerazione per la sua azienda.

Quali sono i metodi migliori per proteggere i backup dal ransomware?

Ecco alcune considerazioni tecniche specifiche per il suo ambiente IT aziendale, per proteggere il suo server di backup da futuri attacchi ransomware:

Utilizzi credenziali uniche e distinte

I sistemi di backup richiedono un’autenticazione dedicata che non esiste in nessun altro punto della sua infrastruttura. Gli attacchi ransomware iniziano spesso compromettendo le credenziali amministrative standard, per poi utilizzare le stesse credenziali per individuare e distruggere i repository di backup. Quando lo storage di backup condivide l’autenticazione con i sistemi di produzione, una singola violazione delle credenziali espone tutto.

Requisiti di controllo dell’accesso:

• Abilitare l’autenticazione a più fattori per qualsiasi accesso umano all’infrastruttura di backup – i token hardware o le applicazioni di autenticazione forniscono una protezione più forte dei codici basati su SMS.
• Implementare un controllo degli accessi basato sui ruoli, separando gli operatori di backup (che eseguono i lavori e monitorano il completamento) dagli amministratori di backup (che configurano i criteri e l’archiviazione).
• Conceda le autorizzazioni minime richieste per ogni funzione – accesso in lettura ai file per gli agenti di backup, accesso in scrittura a posizioni di archiviazione specifiche, niente di più.
• Eviti i privilegi di root o di amministratore per le operazioni di backup, che consentono al ransomware di accedere inutilmente al sistema.

Crei account di servizio esclusivamente per le operazioni di backup, senza altri accessi al sistema. Questi account non devono mai accedere alle stazioni di lavoro, ai sistemi di posta elettronica o ad altre applicazioni. L’architettura di Bacula applica questa separazione per impostazione predefinita, eseguendo i suoi demoni sotto account di servizio dedicati che operano indipendentemente dai carichi di lavoro di produzione.

Monitorare i registri di autenticazione per l’accesso al sistema di backup, in particolare i tentativi di accesso falliti, l’accesso da luoghi insoliti o l’uso delle credenziali al di fuori delle normali finestre di backup. Eseguire l’audit delle azioni privilegiate, come le modifiche dei criteri di conservazione o le eliminazioni di backup – le modifiche legittime avvengono di rado, rendendo ovvie le attività non autorizzate.

Archiviazione offline

L’archiviazione offline è una delle migliori difese contro la propagazione della crittografia ransomware all’archiviazione di backup. Esistono diverse possibilità di archiviazione che vale la pena menzionare:

Lavori di copia di backup

Un lavoro di copia di backup copia i dati di backup esistenti su un altro sistema di dischi, in modo da poterli ripristinare in un secondo momento o inviarli a una sede esterna.

L’esecuzione di un lavoro di copia di backup è un modo eccellente per creare punti di ripristino con regole di conservazione diverse dal normale lavoro di backup (e si trova su un altro storage). Il lavoro di copia di backup è un meccanismo prezioso che aiuta a proteggere i backup dal ransomware, perché ci sono diversi punti di ripristino in uso con il lavoro di copia di backup.

Ad esempio, se aggiunge un dispositivo di archiviazione aggiuntivo alla sua infrastruttura (ad esempio un server Linux), potrà definire un repository per esso e creare un lavoro di copia di backup da utilizzare come backup ransomware.

Evitare troppi tipi di file system

Sebbene il coinvolgimento di diversi protocolli sia un buon modo per prevenire la propagazione del ransomware, sappia che questo non è certamente una garanzia contro gli attacchi di backup del ransomware. I diversi tipi di ransomware tendono ad evolversi e a diventare più efficaci regolarmente, e nuovi tipi appaiono abbastanza frequentemente.

Pertanto, è consigliabile utilizzare un approccio alla sicurezza di livello aziendale: l’archiviazione di backup dovrebbe essere inaccessibile per quanto possibile, e dovrebbe esserci un solo account di servizio sulle macchine conosciute che deve accedervi. Le posizioni del file system utilizzate per archiviare i dati di backup devono essere accessibili solo dagli account di servizio pertinenti, per proteggere tutte le informazioni dagli attacchi ransomware.

Utilizzi la regola 3-2-1-1

Seguire la regola del 3-2-1 significa avere tre copie distinte dei suoi dati, su due supporti diversi, uno dei quali fuori sede. La forza di questo approccio per il backup del ransomware è che affronta praticamente qualsiasi scenario di guasto e non richiede l’utilizzo di tecnologie specifiche. Nell’era del ransomware, Bacula consiglia di aggiungere un secondo “1” alla regola: quello in cui uno dei supporti è offline. Esistono diverse opzioni per realizzare una copia offline o semi-offline dei suoi dati. In pratica, ogni volta che si esegue il backup su obiettivi non legati al file system, si è già vicini al raggiungimento di questa regola. Quindi, i nastri e gli obiettivi di archiviazione di oggetti nel cloud sono utili per lei. Mettere i nastri in un caveau dopo la scrittura è una best practice di lunga data.

I target di archiviazione in cloud fungono da archiviazione semi-offline dal punto di vista del backup. I dati non sono in loco e l’accesso richiede protocolli personalizzati e un’autenticazione secondaria. Alcuni fornitori di cloud consentono di impostare gli oggetti in uno stato immutabile, il che soddisfa il requisito di evitare che vengano danneggiati da un aggressore. Come per qualsiasi implementazione cloud, si accetta una certa dose di affidabilità e di rischio per la sicurezza affidando i dati critici al provider cloud, ma come fonte di backup secondaria il cloud è molto interessante.

Verifica dell’integrità del backup (regola 3-2-1-1-0)

La moderna regola 3-2-1-1-0 estende le pratiche di backup tradizionali con un quinto componente critico: zero errori. Questo principio sottolinea che i backup sono preziosi solo se il loro ripristino è garantito quando è necessario. Lo “0” rappresenta i backup verificati, privi di errori, che sono stati testati e hanno dimostrato di essere ripristinabili.

Molte organizzazioni scoprono troppo tardi che i loro backup sono danneggiati, incompleti o impossibili da ripristinare. Il ransomware a volte rimane latente nelle copie di backup per settimane o mesi prima dell’attivazione, rendendo essenziale una verifica regolare. Senza una verifica sistematica, potrebbe avere copie multiple di dati inutilizzabili piuttosto che backup funzionali.

L’implementazione del principio “zero errori” richiede diverse pratiche:

• I controlli di integrità automatici devono essere eseguiti dopo ogni lavoro di backup, verificando le checksum e l’integrità dei file. Questi controlli catturano la corruzione immediatamente, anziché durante una situazione di ripristino di crisi.
• Il test di ripristino regolare significa ripristinare periodicamente i dati da tutte le fonti di backup per confermare che il processo funziona end-to-end. I ripristini di prova devono coprire diversi scenari: singoli file, interi sistemi e situazioni di ripristino di emergenza completo.
• La verifica della larghezza di banda e delle prestazioni assicura che la sua infrastruttura sia in grado di gestire i ripristini a piena capacità entro gli obiettivi di tempo di ripristino. Un backup che richiede tre settimane per essere ripristinato può essere tecnicamente intatto ma inutilizzabile dal punto di vista operativo.
• La documentazione delle procedure di ripristino deve essere mantenuta e aggiornata ad ogni test, per garantire che il personale sia ancora in grado di eseguire con successo i ripristini sotto pressione.

Programmare esercitazioni di ripristino complete con cadenza almeno trimestrale, testando i backup da diversi periodi di tempo e posizioni di archiviazione. Misuri e documenti i suoi obiettivi effettivi di tempo di ripristino (RTO) e di punto di ripristino (RPO) durante queste esercitazioni, confrontandoli con i suoi requisiti aziendali. Questa pratica trasforma la protezione teorica del backup in una capacità di recupero dei dati comprovata e affidabile.

Evitare le istantanee di archiviazione

Le istantanee di archiviazione sono utili per recuperare i file cancellati in un momento preciso, ma non sono un vero e proprio backup. Le istantanee di archiviazione tendono a mancare di una gestione avanzata della conservazione, di reportistica e tutti i dati sono ancora archiviati nello stesso sistema e quindi possono essere vulnerabili a qualsiasi attacco che colpisca i dati primari. Un’istantanea non è altro che una copia puntuale dei suoi dati. In quanto tale, il backup è ancora vulnerabile agli attacchi ransomware, se questi sono stati programmati per rimanere inattivi fino a un certo momento.

Ripristino Bare Metal

Il ripristino bare metal si realizza in molti modi diversi. Molte aziende si limitano a distribuire un’immagine standard, a fornire il software e a ripristinare i dati e/o le preferenze degli utenti. In molti casi, tutti i dati sono già archiviati in remoto e il sistema stesso non ha molta importanza. Tuttavia, in altri casi questo non è un approccio pratico e la capacità di ripristinare completamente una macchina a un punto nel tempo è una funzione critica dell’implementazione del disaster recovery che consente di proteggere i backup dal ransomware.

La capacità di ripristinare un computer criptato dal ransomware a un punto recente nel tempo, compresi i dati dell’utente memorizzati localmente, può essere una parte necessaria di una difesa a livelli. Lo stesso approccio si applica ai sistemi virtualizzati, anche se di solito ci sono opzioni preferibili disponibili presso l’hypervisor.

Test del piano di backup

Il test delle procedure di backup e di ripristino trasforma la protezione teorica in una capacità comprovata. Le organizzazioni che scoprono guasti nel backup durante gli incidenti ransomware reali rischiano perdite di dati catastrofiche e tempi di inattività prolungati. I test regolari identificano i problemi prima che si verifichino le emergenze.

Stabilisca un programma di test strutturato in base alla criticità dei dati. Esegua test mensili sui sistemi mission-critical, trimestrali sui sistemi importanti e semestrali sui sistemi standard. Ogni test convalida diversi scenari di recupero per garantire una copertura completa.

Scenari di recupero da testare regolarmente:

• Ripristino a livello di file – Recuperare singoli file e cartelle da varie date per verificare le capacità di recupero granulari.
• Ripristino a livello di sistema – Ripristinare server completi, database o macchine virtuali per confermare il ripristino completo del sistema.
• Ripristino bare metal – Ricostruisce i sistemi da zero su un nuovo hardware per convalidare le procedure di disaster recovery.
• Ripristino multipiattaforma – Testare il ripristino su hardware diversi o su ambienti virtualizzati.
• Recupero parziale – Ripristinare componenti applicativi specifici o tabelle di database per verificare le opzioni di recupero selettivo.

Documentare l’obiettivo di tempo di recupero (RTO) e l’obiettivo di punto di recupero (RPO) per ogni sistema durante i test. L’RTO misura la rapidità del ripristino delle operazioni – il tempo che intercorre tra il guasto e il ripristino completo. L’RPO misura la perdita potenziale di dati – il tempo che intercorre tra l’ultimo backup e l’evento di guasto. Confronti i risultati effettivi con i requisiti aziendali e regoli le frequenze di backup o l’infrastruttura di conseguenza.

Verifichi la capacità della larghezza di banda per gestire i ripristini su larga scala entro i suoi obiettivi RTO. Un sistema di backup che richiede tre settimane per ripristinare terabyte di dati fallisce dal punto di vista operativo, nonostante l’integrità tecnica. Provi il ripristino sulle reti di produzione durante le ore lavorative per identificare i vincoli realistici delle prestazioni.

Mantenere una documentazione dettagliata di ogni test, comprese le procedure seguite, il tempo richiesto, i problemi riscontrati e le azioni correttive intraprese. Aggiornare i runbook in base ai risultati dei test per garantire che il personale esegua i ripristini in modo efficiente durante gli incidenti reali. Ruotare le responsabilità dei test tra i membri del team per evitare singoli punti di fallimento delle conoscenze.

Monitoraggio, allerta e rilevamento delle anomalie

Il monitoraggio continuo rileva gli attacchi ransomware in corso prima che distruggano l’infrastruttura di backup. Gli aggressori in genere trascorrono ore o giorni in ricognizione, mappando i sistemi di backup, tentando l’accesso alle credenziali e testando le capacità di cancellazione prima di lanciare attacchi su larga scala. Il monitoraggio è necessario per cogliere in anticipo queste attività di ricognizione.

Eventi critici che richiedono avvisi immediati:

• Tentativi di autenticazione falliti ai sistemi di backup, in particolare fallimenti multipli da singole fonti.
• Richieste di eliminazione dei backup o modifiche dei criteri di conservazione al di fuori delle finestre di modifica.
• Dimensioni insolite dei backup – aumenti drastici suggeriscono l’esfiltrazione dei dati, diminuzioni significative indicano corruzione o manomissione.
• Fallimenti di lavori di backup su più sistemi contemporaneamente, che segnalano attacchi coordinati.
• Accesso allo storage di backup da indirizzi IP o località geografiche non autorizzati.
• Accesso alle chiavi di crittografia al di fuori delle operazioni di backup programmate.

Configurare le linee di base per il rilevamento delle anomalie, misurando i normali modelli di backup su periodi di 30 giorni. Stabilire le dimensioni tipiche dei backup, i tempi di completamento e i modelli di accesso per ogni sistema. Integrare i registri del sistema di backup con le piattaforme SIEM ( Security Information and Event Management ) per una visibilità unificata. Automatizzare la risposta agli avvisi critici, ove possibile. Esaminare settimanalmente i dati di monitoraggio anche in assenza di avvisi.

Archiviazione immutabile

Il ransomware moderno cerca e distrugge attivamente i backup prima di criptare i dati primari. Lo storage immutabile contrasta questa minaccia creando copie di backup che non possono essere modificate, eliminate o crittografate una volta scritte, anche da amministratori con accesso completo al sistema.

La tecnologia WORM (Write-Once-Read-Many) rappresenta l’implementazione più robusta dell’immutabilità. Quando i dati vengono archiviati in formato WORM, vengono bloccati in modo permanente per un periodo di conservazione specificato. Il ransomware che compromette le credenziali dell’amministratore non può superare queste protezioni, rendendo l’archiviazione WORM immune dagli attacchi basati sulle credenziali.

I fornitori di cloud offrono l’immutabilità a livello di oggetto attraverso servizi come Amazon S3 Object Lock, Azure Immutable Blob Storage e Google Cloud Storage Retention Policies. Questi servizi bloccano gli oggetti a livello di API, impedendo le richieste di cancellazione o modifica da parte di qualsiasi utente o applicazione. La configurazione richiede l’abilitazione dell’immutabilità a livello di bucket o container prima di scrivere i dati di backup.

Le soluzioni WORM basate sull’hardware includono librerie a nastro specializzate e dispositivi con protezione da scrittura rinforzata dal firmware. Questi dispositivi rifiutano i comandi di modifica a livello hardware, fornendo una protezione indipendente dalle vulnerabilità del software.

Fasi di implementazione per i backup immutabili:

• Configurare il software di backup per scrivere su destinazioni immutabili immediatamente dopo il completamento del backup.
• Impostare periodi di conservazione che superino il più lungo periodo di dormienza potenziale del ransomware – in genere da 90 a 180 giorni, in base agli attuali modelli di minaccia.
• Separa i sistemi di autenticazione per l’archiviazione immutabile dagli ambienti di produzione, utilizzando account di servizio dedicati con autorizzazioni di sola scrittura.
• Affianchi l’archiviazione immutabile all’infrastruttura di backup standard piuttosto che sostituirla – le copie immutabili servono come opzione di ripristino finale
• Monitorare i tentativi di accesso non autorizzato e le richieste di cancellazione fallite, che segnalano attacchi attivi.
• Verificare che le impostazioni di immutabilità rimangano in vigore dopo gli aggiornamenti del sistema.

Crittografia del backup

La crittografia protegge i dati di backup dall’accesso non autorizzato e impedisce agli aggressori di sfruttare i backup rubati in schemi di doppia estorsione. I moderni gruppi di ransomware sempre più spesso esfiltravano i dati prima della crittografia, minacciando di pubblicare informazioni sensibili a meno che le vittime non pagassero ulteriori riscatti. I backup criptati rendono i dati rubati inutilizzabili per gli aggressori.

Implementa la crittografia in due punti critici:

• dati a riposo (backup memorizzati)
• dati in transito (durante le operazioni di backup e ripristino).

La crittografia AES-256 fornisce una protezione standard del settore per i dati di backup archiviati, offrendo una sicurezza effettivamente infrangibile con la tecnologia attuale. TLS 1.2 o superiore protegge i dati in transito tra i client di backup e i target di archiviazione, impedendo l’intercettazione durante la trasmissione.

Pratiche di gestione delle chiavi:

• Conservare le chiavi di crittografia separatamente dai dati di backup – le chiavi conservate accanto ai backup crittografati non forniscono alcuna protezione se gli aggressori compromettono il sistema di archiviazione.
• Utilizzi sistemi di gestione delle chiavi (KMS) o moduli di sicurezza hardware (HSM) dedicati, che forniscano un’archiviazione delle chiavi e una registrazione degli accessi a prova di manomissione.
• Implementa controlli di accesso basati sui ruoli, limitando l’accesso alle chiavi solo agli amministratori di backup autorizzati.
• Ruota le chiavi di crittografia annualmente o dopo qualsiasi incidente di sicurezza sospetto.
• Mantenga copie sicure offline delle chiavi di crittografia in luoghi fisicamente separati – la perdita delle chiavi comporta la perdita permanente dei dati, indipendentemente dall’integrità del backup.
• Documenta le procedure di recupero delle chiavi e le testa regolarmente per garantire che le chiavi rimangano accessibili durante i disastri.
• Abilita l’autenticazione a più fattori per tutti gli accessi al sistema di gestione delle chiavi.

Separare le credenziali di gestione delle chiavi dalle credenziali del sistema di backup. Gli aggressori che compromettono gli account degli amministratori di backup non dovrebbero ottenere automaticamente l’accesso alle chiavi di crittografia. Questa separazione crea un’ulteriore barriera che richiede agli aggressori di violare più sistemi di autenticazione.

Per le organizzazioni soggette a requisiti normativi, la crittografia risponde a mandati di conformità come GDPR, HIPAA e PCI-DSS. Queste normative richiedono la crittografia dei dati sensibili a riposo e in transito, rendendo la crittografia di backup legalmente obbligatoria piuttosto che opzionale per i settori regolamentati.

Monitorare i registri di accesso alle chiavi di crittografia per rilevare attività insolite. Tentativi inaspettati di recupero delle chiavi segnalano potenziali attacchi che tentano di decriptare i dati di backup per l’esfiltrazione o il sabotaggio.

Politiche di backup

Rivedere e aggiornare regolarmente le politiche di backup anti-ransomware è un metodo particolarmente efficace per ridurre al minimo l’effetto di un attacco ransomware o per prevenirlo direttamente. Affinché la politica di backup sia efficace, innanzitutto, deve essere aggiornata e flessibile, includendo soluzioni per tutti i moderni metodi di attacco ransomware.

Una delle migliori difese contro il ransomware è il ripristino delle informazioni da backup puliti, poiché il pagamento di un riscatto non garantisce al 100% che i suoi dati vengano decriptati in primo luogo – il che dimostra ancora una volta l’importanza dei backup. Gli argomenti che devono essere trattati quando si esegue un audit approfondito dell’intera struttura interna dei dati includono:

• La regola del 3-2-1 è in vigore?
• Ci sono sistemi critici che non sono coperti da regolari operazioni di backup?
• Questi backup sono adeguatamente isolati, in modo da non essere colpiti dal ransomware?
• È mai stata effettuata una prova di ripristino di un sistema da un backup per verificarne il funzionamento?

Pianificazione del recupero di emergenza

Un piano di ripristino di emergenza (DRP) delinea il modo in cui la sua organizzazione risponde alle minacce, tra cui ransomware, guasti hardware, disastri naturali ed errori umani. I DRP efficaci stabiliscono procedure chiare prima che si verifichino gli incidenti, eliminando la confusione durante le situazioni di risposta ad alto stress.

Quadro degli obiettivi di recupero:

L’obiettivo del punto di recupero (RPO) definisce la perdita di dati accettabile misurata in termini di tempo – quanti dati può permettersi di perdere. L’obiettivo di tempo di ripristino (RTO) definisce il tempo di inattività accettabile, quanto rapidamente deve ripristinare le operazioni. Impostate questi obiettivi in base all’impatto aziendale:

• Sistemi mission-critical (transazioni finanziarie, cartelle cliniche): RPO da 15 minuti a 1 ora, RTO da 1 a 4 ore.
• Sistemi aziendali importanti (e-mail, CRM, gestione dei progetti): RPO di 4-8 ore, RTO di 8-24 ore.
• Sistemi standard (file server, archivi): RPO di 24 ore, RTO di 48-72 ore.

La frequenza e l’infrastruttura di backup devono supportare questi obiettivi. I sistemi con RPO di 15 minuti richiedono una replica continua o snapshot frequenti, non backup giornalieri.

Procedure di risposta agli incidenti Ransomware:

1. Isolare immediatamente i sistemi colpiti – Scollegare i dispositivi compromessi dalle reti per evitare la diffusione del ransomware, ma lasciare i sistemi accesi per preservare le prove.
2. Attivare il team di risposta all’incidente – Assegnare i ruoli: comandante dell’incidente, responsabile tecnico, coordinatore delle comunicazioni, referente legale.
3. Valutare l’ambito – Identificare tutti i sistemi compromessi, determinare la variante del ransomware, verificare se i backup sono interessati.
4. Conservare le prove – Acquisire i dump di memoria, i registri e gli stati del sistema prima della bonifica per un potenziale coinvolgimento delle forze dell’ordine.
5. Verificare l’integrità del backup – Testare il ripristino da più generazioni di backup per confermare l’esistenza di punti di ripristino puliti.
6. Eseguire il ripristino – Ripristinare dal backup pulito più recente, ricostruire i sistemi compromessi, implementare controlli di sicurezza aggiuntivi prima di riconnettersi alla produzione.

Documentare le decisioni di pagamento del ransomware in anticipo. Stabilire i criteri per quando il pagamento può essere preso in considerazione (sistemi di sicurezza, assenza di backup validi) rispetto alle politiche di rifiuto della società. Non negoziare mai senza una consulenza legale e un coordinamento con le forze dell’ordine.

Educazione alla sicurezza per i dipendenti

I backup vengono condotti sia a livello di sistema che sui sistemi dei singoli dipendenti, soprattutto quando si tratta di varie e-mail e altre informazioni specifiche. Insegnare ai suoi dipendenti l’importanza della loro partecipazione al processo di backup è un ottimo modo per colmare ulteriori lacune nella sua difesa contro il ransomware.

Allo stesso tempo, anche se i dipendenti regolari aiutano nel processo di backup, non dovrebbero avere accesso ai backup stessi. Più persone hanno accesso ai dati di backup, più alte sono le possibilità di errore umano o di compromettere in qualche altro modo il suo sistema e i suoi backup.

Indurimento dell’infrastruttura e protezione degli endpoint

Il ransomware sfrutta le vulnerabilità dei sistemi per ottenere l’accesso iniziale e diffondersi lateralmente attraverso le reti. Una protezione completa dell’infrastruttura chiude questi punti di ingresso e limita i movimenti degli aggressori anche quando le difese perimetrali falliscono.

La gestione delle patch costituisce la base della sicurezza dell’infrastruttura. Stabilisca la distribuzione automatica di patch per sistemi operativi, applicazioni e firmware entro 72 ore dal rilascio per le vulnerabilità critiche. Dare priorità alle patch che affrontano gli exploit noti di ransomware e le falle di esecuzione di codice remoto. Mantenere un inventario di tutti i sistemi per garantire che non ci siano lacune nelle patch.

Le soluzioni di rilevamento e risposta degli endpoint (EDR) forniscono il monitoraggio in tempo reale e il rilevamento delle minacce su workstation e server. Gli strumenti EDR identificano i modelli di comportamento del ransomware – come la rapida crittografia dei file, l’esecuzione di processi insoliti o i tentativi di eliminare le copie shadow – e isolano automaticamente gli endpoint infetti prima che il ransomware si diffonda. Distribuisca l’EDR su tutti gli endpoint, compresi i server di backup e le workstation amministrative.

La riduzione della superficie di attacco elimina i punti di accesso non necessari. Ogni servizio rimosso o porta chiusa rappresenta una vulnerabilità in meno che gli aggressori possono sfruttare. Pertanto, disabiliti i servizi inutilizzati, chiuda le porte di rete non necessarie, rimuova i protocolli legacy e disinstalli i software che presentano rischi per la sicurezza. Implementa anche il whitelisting delle applicazioni per impedire l’esecuzione di programmi non autorizzati.

La scansione delle vulnerabilità identifica le lacune della sicurezza prima che lo facciano gli aggressori. Pianifichi scansioni automatizzate settimanali di tutti i sistemi, dando priorità alla correzione in base alla probabilità di exploit e all’impatto potenziale. Presti particolare attenzione all’infrastruttura di backup, ai sistemi di archiviazione e ai server di autenticazione – gli obiettivi di maggior valore nelle campagne ransomware.

La formazione sulla sicurezza affronta l’elemento umano. Addestrare i dipendenti a riconoscere i tentativi di phishing, gli allegati sospetti e le tattiche di social engineering con cadenza trimestrale. Gli esercizi di phishing simulati identificano gli utenti che necessitano di una formazione supplementare. Gli attacchi via e-mail e di phishing hanno rappresentato il 52,3% degli incidenti di ransomware nel 2024, rendendo fondamentale la vigilanza dei dipendenti.

Audit regolari sull’infrastruttura per verificare che le configurazioni di sicurezza rimangano in vigore. I sistemi si allontanano dalle linee di base sicure nel corso del tempo, a causa di modifiche legittime e di configurazioni errate.

Gap dell’aria

I backup con air gapping offrono un isolamento fisico che li rende irraggiungibili attraverso gli attacchi basati sulla rete. Questo approccio disconnette fisicamente lo storage di backup da tutte le reti, l’infrastruttura cloud e la connettività durante i periodi di non-backup, creando una barriera assoluta contro l’infiltrazione di ransomware da remoto.

I ransomware si diffondono attraverso le connessioni di rete, cercando lo storage e i repository di backup accessibili. L’archiviazione air-gapped elimina completamente questo vettore di attacco: se il dispositivo di archiviazione non ha una connessione di rete, il ransomware non è in grado di raggiungerlo, indipendentemente dalla compromissione delle credenziali o dagli exploit zero-day.

Implementare i backup air-gapped:

• Utilizzi dispositivi di archiviazione rimovibili come dischi rigidi esterni, dispositivi NAS o supporti a nastro.
• Colleghi i dispositivi ai sistemi di backup solo durante le finestre di backup programmate, quindi si disconnetta fisicamente subito dopo il completamento.
• Stabilisca un programma di rotazione con dispositivi di archiviazione multipli: mentre un dispositivo acquisisce il backup corrente, i dispositivi precedenti rimangono completamente offline in luoghi fisici sicuri.
• Conservi i dispositivi disconnessi in luoghi fisici separati dall’infrastruttura primaria, per proteggersi sia dal ransomware che dai disastri fisici.
• Configura i backup come copie complete piuttosto che come catene incrementali (backup senza catena) che dipendono dalle generazioni precedenti – questo consente il ripristino da qualsiasi singolo dispositivo senza richiedere l’accesso ad altre versioni di backup.
• Automatizzare la disconnessione utilizzando librerie a nastro o array di archiviazione controllati programmaticamente, ove possibile, per ridurre l’errore umano.
• Documentare accuratamente le procedure di riconnessione per le situazioni di risposta agli incidenti ad alto stress.

I backup in modalità air-gapped sono adatti alle organizzazioni con finestre di backup definite e obiettivi di tempo di ripristino misurati in ore piuttosto che in minuti. Le applicazioni in tempo reale che richiedono un failover istantaneo necessitano di una protezione supplementare attraverso sistemi replicati o uno storage cloud immutabile.

Configuri i backup come copie complete piuttosto che catene incrementali che dipendono dai backup precedenti. I backup senza catene consentono il ripristino da qualsiasi singolo dispositivo con connessione ad aria, senza richiedere l’accesso ad altre generazioni di backup. Se il ransomware compromette la catena di backup incrementale, gli archivi senza catena rimangono recuperabili in modo indipendente.

Amazon S3 Object Lock

Object Lock è una funzione del cloud storage di Amazon che consente una maggiore protezione delle informazioni archiviate all’interno dei bucket S3. La funzione, come suggerisce il nome, impedisce qualsiasi azione non autorizzata con un oggetto specifico o un insieme di oggetti per un determinato periodo di tempo, rendendo i dati praticamente immutabili per un determinato lasso di tempo.

Uno dei principali casi d’uso di Object Lock è la conformità a vari framework e regolamenti di conformità, ma è anche una funzione utile per gli sforzi generali di protezione dei dati. È anche relativamente semplice da configurare: l’utente finale deve solo scegliere un Periodo di conservazione, trasformando di fatto i dati in formato WORM per il momento.

Le modalità di conservazione offerte da S3 Object Lock sono principalmente due: la modalità Conformità e la modalità Governance. La modalità Conformità è la meno rigida delle due, offrendo la possibilità di modificare la modalità di conservazione mentre i dati sono ‘bloccati’. La modalità Governance, invece, impedisce alla maggior parte degli utenti di manomettere i dati in qualsiasi modo – gli unici utenti autorizzati a fare qualcosa con i dati durante il periodo di conservazione sono quelli che dispongono di speciali permessi di bypass.

È anche possibile utilizzare Object Lock per attivare un “Legal Hold” su dati specifici; questo funziona al di fuori dei periodi e delle modalità di conservazione e impedisce che i dati in questione vengano manomessi per motivi legali, come ad esempio le controversie.

Sicurezza Zero Trust

Il continuo passaggio dalla sicurezza tradizionale alla sicurezza incentrata sui dati ha introdotto molte nuove tecnologie che offrono incredibili vantaggi in termini di sicurezza, anche se c’è un prezzo da pagare in termini di esperienza utente. Ad esempio, un approccio di sicurezza a fiducia zero è una tattica relativamente comune per i moderni sistemi di sicurezza, che funge da grande barriera protettiva contro il ransomware e altre potenziali minacce.

L’approccio generale alla sicurezza a fiducia zero adotta l’idea principale della sicurezza centrata sui dati, cercando di verificare e controllare tutti gli utenti e i dispositivi che accedono a informazioni specifiche, indipendentemente da cosa siano e da dove si trovino. Questo tipo di approccio si concentra su quattro “pilastri” principali:

• Il principio del minimo privilegio prevede che ogni utente abbia il minor numero possibile di privilegi nel sistema, cercando di mitigare il problema dell’accesso eccessivamente privilegiato che la maggior parte delle industrie ha avuto per anni.
• La segmentazione estesa viene utilizzata soprattutto per limitare la portata di una potenziale violazione della sicurezza, eliminando la possibilità che un singolo attaccante acquisisca l’accesso all’intero sistema in una sola volta.
• La verifica costante è un principio fondamentale per la sicurezza a fiducia zero, senza alcun tipo di elenco di “utenti fidati” che viene utilizzato per aggirare completamente il sistema di sicurezza.
• Anche il monitoraggio continuo è una necessità per assicurarsi che tutti gli utenti siano legittimi e reali, nel caso in cui una forma di programma di attacco moderno o un cattivo attore riesca a bypassare il primo livello di sicurezza.

Segmentazione di rete per l’infrastruttura di backup

L’isolamento dei sistemi di backup dalle reti di produzione impedisce al ransomware di spostarsi lateralmente tra le postazioni di lavoro compromesse e i repository di backup. Quando l’infrastruttura di backup condivide lo spazio di rete con endpoint e server, gli aggressori utilizzano gli stessi percorsi per raggiungere entrambi gli obiettivi.

Distribuisca i sistemi di backup su segmenti di rete dedicati, utilizzando VLAN o sottoreti fisiche separate. Configuri regole di firewall che consentano solo il traffico di backup necessario tra le reti di produzione e di backup – in genere limitato agli agenti di backup che avviano connessioni ai server di backup su porte specifiche. Blocca tutto il resto del traffico, in particolare i protocolli amministrativi da produzione a backup, come RDP o SSH.

Utilizzi domini o foreste Active Directory separate per l’autenticazione dell’infrastruttura di backup. La compromissione del dominio di produzione spesso consente agli aggressori di accedere a tutta l’azienda, compresi i sistemi di backup, quando entrambi condividono l’infrastruttura di autenticazione. I domini separati richiedono agli aggressori di violare più sistemi di autenticazione in modo indipendente.

Implementa i jump host o i server bastion come unico punto di accesso per l’amministrazione del sistema di backup. Gli amministratori si collegano prima all’host di salto, poi accedono all’infrastruttura di backup da lì. Questa architettura crea un chokepoint monitorato per tutti gli accessi amministrativi e impedisce le connessioni dirette da postazioni di lavoro potenzialmente compromesse.

Lista di controllo dell’isolamento della rete:

• VLAN o sottoreti dedicate per i server di backup e lo storage.
• Regole di firewall che limitano il traffico di backup solo alle porte e alle direzioni necessarie.
• Domini di autenticazione separati per l’infrastruttura di backup.
• Requisito dell’host di salto per tutta l’amministrazione del sistema di backup.
• Il controllo dell’accesso alla rete (NAC) impedisce ai dispositivi non autorizzati di raggiungere i segmenti di backup.
• Audit regolari delle regole del firewall per rimuovere le autorizzazioni di accesso non necessarie.

In che modo gli strumenti del sistema di backup possono fornire una protezione aggiuntiva contro il ransomware?

Con un approccio ampliato allo stesso problema del backup infettato da ransomware, è possibile – e consigliabile – utilizzare gli strumenti dei sistemi di backup come mezzo aggiuntivo di protezione dagli attacchi. Ecco cinque migliori pratiche di backup del ransomware – per proteggere ulteriormente l’azienda dal ransomware:

• Assicurarsi che i backup stessi siano puliti da ransomware e/o malware. Verificare che il suo backup non sia infetto dovrebbe essere una delle sue massime priorità, poiché l’intera utilità del backup come misura di protezione dal ransomware viene annullata se i suoi backup sono compromessi dal ransomware. Esegua regolarmente patch di sistema per chiudere le vulnerabilità del software, investa in strumenti di rilevamento malware e li aggiorni regolarmente, e cerchi di mettere offline i suoi file multimediali il più rapidamente possibile dopo averli modificati. In alcuni casi, potrebbe prendere in considerazione un approccio WORM (Write-One-Read-Many) per proteggere i suoi backup dal ransomware – un tipo specifico di supporto che è previsto solo per alcuni tipi di nastro e disco ottico, oltre che per alcuni provider di cloud storage.
• Non faccia affidamento sui backup in cloud come unico tipo di archiviazione di backup. Sebbene l’archiviazione in-the-cloud presenti numerosi vantaggi, non è completamente impermeabile al ransomware. Sebbene sia più difficile per un aggressore corrompere i dati fisicamente, è comunque possibile per gli aggressori di ransomware ottenere l’accesso ai suoi dati utilizzando un’infrastruttura condivisa dell’archiviazione cloud nel suo complesso, oppure collegando tale archiviazione cloud al dispositivo di un cliente infetto.
• Esaminare e testare i piani di ripristino e di backup esistenti. Il suo piano di backup e di ripristino deve essere testato regolarmente per garantire la protezione contro le minacce. Scoprire che il suo piano di ripristino non funziona come previsto solo dopo un attacco ransomware è chiaramente indesiderabile. La migliore strategia di backup del ransomware è quella che non dovrà mai fare i conti con le violazioni di dati maligni. Esamini diversi scenari, verifichi alcuni risultati relativi al ripristino, come il time-to-recovery, e stabilisca quali parti del sistema sono prioritarie per impostazione predefinita. Si ricordi che molte aziende misurano il costo dell’interruzione dei servizi in dollari al minuto e non in altre metriche.
• Chiarisca o aggiorni le politiche di conservazione e sviluppi programmi di backup. Si raccomanda vivamente di rivedere regolarmente le strategie di backup del ransomware. Può darsi che il backup dei suoi dati non sia abbastanza frequente, o che il periodo di conservazione dei backup sia troppo piccolo, rendendo il suo sistema vulnerabile a tipi di ransomware più avanzati che prendono di mira le copie di backup attraverso ritardi temporali e altri mezzi di infezione.
• Verifichi accuratamente tutti i luoghi di archiviazione dei dati. Per proteggere i backup dal ransomware, questi devono essere controllati per assicurarsi che non vadano persi dati e che il backup sia stato eseguito correttamente, compresi i sistemi degli utenti finali, gli archivi cloud, le applicazioni e altri software di sistema.

In che modo il ransomware prende di mira e compromette i suoi backup?

Sebbene sia vero che i sistemi di backup e ripristino sono in grado di proteggere le organizzazioni dal ransomware nella maggior parte dei casi, questi sistemi non sono gli unici che continuano a progredire ed evolversi nel corso degli anni – perché anche il ransomware diventa sempre più insolito e sofisticato con il passare del tempo.

Uno dei problemi più recenti di questo intero approccio con i backup è che ora molte varianti di ransomware hanno imparato a prendere di mira e ad attaccare non solo i dati dell’azienda in primo luogo, ma anche i backup di quella stessa azienda – e questo è un problema significativo per l’intero settore. Molti autori di ransomware hanno modificato il loro malware per rintracciare ed eliminare i backup. Da questo punto di vista, mentre i backup continuano a proteggere i suoi dati dal ransomware, lei dovrà proteggere anche i backup dal ransomware.

È possibile individuare alcune delle principali angolazioni che vengono tipicamente utilizzate per manomettere i suoi backup nel loro complesso. Evidenzieremo i principali e spiegheremo come utilizzarli per proteggere i backup dal ransomware:

Il potenziale di danno da ransomware aumenta con cicli di ripristino più lunghi

Anche se non è così ovvio come altre possibilità, il problema dei cicli di ripristino lunghi è ancora piuttosto importante nel settore, ed è principalmente causato da prodotti di backup obsoleti che eseguono solo backup completi lenti. In questi casi, i cicli di ripristino dopo un attacco ransomware richiedono giorni o addirittura settimane – e ciò rappresenta un grave disservizio per la maggior parte delle aziende, in quanto i tempi di inattività del sistema e i costi di interruzione della produzione superano rapidamente le stime iniziali dei danni da ransomware.

Due possibili soluzioni per proteggere i suoi backup dal ransomware sono: a) cercare di ottenere una soluzione che le fornisca una copia dell’intero sistema il più rapidamente possibile, in modo da non dover trascorrere giorni o addirittura settimane in modalità di ripristino, e b) cercare di ottenere una soluzione che offra il ripristino di massa come funzione, per far ripartire più macchine virtuali, database e server molto rapidamente.

La sua polizza assicurativa può anche diventare una responsabilità

Come abbiamo detto in precedenza, appaiono sempre più varianti di ransomware che prendono di mira sia i suoi dati originali che i suoi backup, o a volte cercano addirittura di infettare e/o distruggere i suoi dati di backup prima di passare alla fonte. Pertanto, deve rendere il più difficile possibile per il ransomware eliminare tutte le sue copie di backup – una sorta di difesa a più livelli.

I criminali informatici utilizzano attacchi molto sofisticati che prendono di mira i dati, puntando direttamente ai suoi backup, che sono la sua principale polizza assicurativa per mantenere in funzione la sua azienda. Dovrebbe disporre di un’unica copia dei dati in uno stato tale che non venga mai montata da alcun sistema esterno (spesso definita copia di backup immutabile), e implementare varie funzioni di sicurezza complete, come il già citato WORM, oltre a un moderno isolamento dei dati, alla crittografia dei dati, al rilevamento delle manomissioni e al monitoraggio delle anomalie nel comportamento dei dati.

Ci sono due misure che analizzeremo in modo più dettagliato:

• Copia di backup immutabile. La copia di backup immutabile è una delle misure più importanti contro gli attacchi ransomware: è una copia del suo backup che non può essere alterata in alcun modo una volta creata. Esiste solo per essere la sua principale fonte di dati se è stato preso di mira dal ransomware e ha bisogno di riavere le sue informazioni come erano prima. I backup immutabili non possono essere cancellati, cambiati, sovrascritti o modificati in alcun altro modo, ma solo copiati in altre fonti. Alcuni venditori presentano l’immutabilità come infallibile, ma in termini di backup ransomware, non esiste una cosa del genere. Ma non deve temere gli attacchi ransomware di backup immutabile. Basta assicurarsi di avere una strategia completa che includa il rilevamento e la prevenzione degli attacchi e implementare una forte gestione delle credenziali.
• Crittografia del backup. È un po’ ironico che la crittografia sia utilizzata come una delle misure per contrastare gli attacchi ransomware, dal momento che molti ransomware utilizzano la crittografia per chiedere un riscatto per i suoi dati. La crittografia non rende i suoi backup a prova di ransomware e non impedisce gli exploit. Tuttavia, nella sua essenza, la crittografia dei backup dovrebbe agire come un’ulteriore misura contro il ransomware, crittografando i suoi dati all’interno dei backup in modo che il ransomware non possa leggerli o modificarli in primo luogo.

I problemi di visibilità dei suoi dati diventano un vantaggio per il ransomware

Per sua natura, il ransomware è più pericoloso quando entra in un’infrastruttura mal gestita – una sorta di “dark data”. Lì fa molti danni, un attacco ransomware cripta i suoi dati e/o li vende sul dark web. Si tratta di un problema significativo che richiede le tecnologie più all’avanguardia per essere rilevato e combattuto in modo efficace.

Mentre il rilevamento precoce del ransomware è possibile solo con una moderna soluzione di gestione dei dati e un buon sistema di backup, il rilevamento di tali minacce in tempo reale richiede una combinazione di apprendimento automatico e intelligenza artificiale – in modo da ricevere avvisi sull’attività sospetta del ransomware in tempo reale, rendendo la scoperta dell’attacco molto più rapida.

La frammentazione dei dati è una grave vulnerabilità

Chiaramente, molte organizzazioni trattano regolarmente grandi quantità di dati. Tuttavia, le dimensioni non sono un problema quanto la frammentazione: non è raro che i dati di un’azienda si trovino in più sedi diverse e utilizzino diversi tipi di archiviazione. La frammentazione crea anche grandi cache di dati secondari (non sempre essenziali per le operazioni aziendali) che influiscono sulle sue capacità di archiviazione e la rendono più vulnerabile.

Ognuno di questi luoghi e tipi di backup aggiunge un altro potenziale luogo di sfruttamento dei dati da parte del ransomware, rendendo l’intero sistema aziendale ancora più difficile da proteggere. In questo caso, è consigliabile avere una soluzione di data discovery all’interno del suo sistema, che apporta molti vantaggi diversi, uno dei quali è una migliore visibilità della totalità dei suoi dati, rendendo molto più facile individuare minacce, attività insolite e potenziali vulnerabilità.

Le credenziali utente vengono utilizzate più volte per gli attacchi ransomware

Le credenziali utente sono sempre state uno dei maggiori problemi in questo campo, in quanto forniscono agli attaccanti di ransomware un chiaro accesso ai dati preziosi della sua azienda – e non tutte le aziende sono in grado di rilevare il furto in primo luogo. Se le credenziali utente vengono compromesse, gli aggressori di ransomware sfruttano le diverse porte aperte e ottengono l’accesso ai dispositivi e alle applicazioni. L’intera situazione delle credenziali utente è peggiorata quando, a causa di Covid, le aziende sono state costrette a passare in gran parte al lavoro da remoto nel 2019 – e questo problema è ancora presente come non mai.

Queste vulnerabilità influenzano persino i backup e li rendono più esposti al ransomware. In genere, l’unico modo per combattere questo tipo di lacuna nella sicurezza è investire in controlli rigorosi dell’accesso degli utenti, includendo funzioni come l’autenticazione a più fattori, controlli dell’accesso basati sui ruoli, monitoraggio costante e così via.

Testare e ritestare sempre i backup

Molte aziende si rendono conto che i loro backup sono falliti o troppo difficili da recuperare solo dopo essere state vittime di un attacco ransomware. Se vuole assicurarsi che i suoi dati siano protetti, dovrebbe sempre fare una sorta di esercizio regolare e documentare i passaggi esatti per la creazione e il ripristino dei suoi backup.

Poiché alcuni tipi di ransomware rimangono inattivi prima di criptare le sue informazioni, vale la pena di verificare regolarmente tutte le copie di backup, poiché potrebbe non sapere quando è avvenuta l’infezione. Si ricordi che il ransomware continuerà a trovare modi sempre più complessi per nascondersi e rendere più costosi i suoi sforzi di ripristino dei backup.

Conclusione

Per la massima protezione del suo backup contro il ransomware e minacce simili, il consiglio di Bacula Systems è che la sua organizzazione rispetti pienamente le best practice di backup e ripristino dei dati sopra elencate. I metodi e gli strumenti descritti in questo blog post sono utilizzati regolarmente dai clienti di Bacula per proteggere con successo i loro backup dal ransomware. Per le aziende che non dispongono di soluzioni di backup dei dati di livello avanzato, Bacula esorta queste organizzazioni a condurre una revisione completa della loro strategia di backup e a valutare una soluzione di backup e ripristino moderna. Bacula è generalmente riconosciuto nel settore per i livelli di sicurezza eccezionalmente elevati del suo software di backup. Contatti subito Bacula per maggiori informazioni.

Aspetti fondamentali

• I moderni attacchi ransomware prendono di mira i sistemi di backup nella maggior parte dei casi, rendendo la protezione del backup fondamentale quanto la protezione dei dati di produzione.
• Implementare la regola del 3-2-1-1-0 con tre copie dei dati su due tipi di supporti, uno off-site, uno immutabile o offline, e zero errori attraverso regolari test di verifica e ripristino.
• L’archiviazione immutabile che utilizza la tecnologia WORM e i backup con legatura in aria creano livelli di difesa multipli che impediscono agli aggressori di cancellare o crittografare le copie di backup, anche con credenziali di amministratore compromesse.
• Separare l’infrastruttura di backup dalle reti di produzione utilizzando VLAN dedicate, domini di autenticazione distinti e controlli di accesso rigorosi con autenticazione a più fattori per evitare movimenti laterali di ransomware.
• Le tattiche di doppia estorsione significano che i backup da soli non sono in grado di proteggere dal furto di dati e dalle minacce di pubblicazione; le organizzazioni hanno bisogno di strategie complete che includano la crittografia, la prevenzione della perdita di dati e la segmentazione della rete.
• Test di ripristino regolari con metriche RTO e RPO documentate trasformano la protezione teorica del backup in una capacità comprovata, mentre il monitoraggio continuo rileva le attività di ricognizione prima che gli aggressori distruggano l’infrastruttura di backup.