Contents
- Aumentano le esigenze di protezione del backup da ransomware
- Miti comuni su ransomware e backup
- Le 7 migliori strategie di backup contro il ransomware
- Strumenti specifici per il sistema di backup come mezzo di protezione aggiuntiva contro il Ransomware
- Come fa il ransomware a manomettere i suoi backup?
- Conclusione
Aumentano le esigenze di protezione del backup da ransomware
Nonostante i numerosi incidenti di sicurezza informatica che hanno fatto regolarmente notizia a livello internazionale negli ultimi anni, è stato in particolare l’attacco ransomware WannaCry del maggio 2017 a portare una rinnovata e urgente attenzione su ciò che le organizzazioni devono fare per proteggere le loro aziende e i loro servizi dal ransomware. Questo attacco ha avuto un grave impatto su migliaia di organizzazioni in tutto il mondo, avendo colpito più di 150 Paesi e oltre 200.000 computer.
L’attacco ransomware WannaCry è un esempio di crypto-ransomware, un tipo di malware utilizzato per chiedere denaro. In questo caso, i criminali informatici hanno crittografato file di valore, prendendo in ostaggio i dati e promettendo di restituirli solo se fosse stato pagato un riscatto in Bitcoin. Questo particolare attacco è diventato una dimostrazione drammatica del perché è così importante fare backup regolari, e proteggere questi backup anche dal ransomware.
Alcuni dei metodi più comuni di diffusione del ransomware sono le e-mail di phishing, lo spam e l’ingegneria sociale – ma sono in continuo sviluppo anche nuovi metodi, come i download drive-by o i siti web infetti. Lo scopo principale di un ransomware è quello di entrare in un sistema in rete – può quindi procedere a criptare i dati di un’azienda e poi chiedere un riscatto per rimuovere la crittografia. Ci sono modi per proteggere la sua azienda da questi attacchi, e il primo, fondamentale, è assicurarsi di avere backup a prova di ransomware.
Vediamo innanzitutto i diversi tipi di minacce. Il ransomware legato alla crittografia (cryptoware) è uno dei tipi di ransomware più diffusi al giorno d’oggi. Alcuni esempi meno comuni di tipi di ransomware sono:
- Schermate di blocco (interruzione con la richiesta di riscatto, ma senza crittografia),
- Ransomware per dispositivi mobili (infezione dei telefoni cellulari),
- Il ransomware con crittografia MBR (infetta una parte del file system di Microsoft che viene utilizzata per avviare il computer, impedendo all’utente di accedere al sistema operativo),
- Extortionware/leakware (prende di mira dati sensibili e compromettenti, poi chiede un riscatto in cambio della non pubblicazione dei dati presi di mira), e così via.
La frequenza degli attacchi ransomware è destinata ad aumentare drasticamente nel 2022 e oltre, e con una crescente sofisticazione. Ad esempio, esiste già un malware più sofisticato di WannaCry, che in realtà cerca sistemi di backup deboli e cripta i dati del backup stesso. È fondamentale essere pronti ad affrontare queste minacce e comprendere il legame necessario tra ransomware e backup. Una ricerca di Palo Alto Networks mostra che solo nella prima metà del 2021 l’importo medio del pagamento del riscatto è tipicamente superiore a mezzo milione di dollari ($570.000+, per essere precisi).
Sebbene le misure preventive siano il modo migliore per affrontare il ransomware, in genere non sono efficaci al 100%. Per gli attacchi che riescono a penetrare, il backup è l’ultimo baluardo di difesa che un reparto IT può utilizzare. Il backup e il ripristino dei dati si sono dimostrati un elemento di protezione efficace e critico contro la minaccia del ransomware. Tuttavia, essere in grado di recuperare efficacemente i dati significa mantenere un programma rigoroso di backup dei dati e adottare varie misure per evitare che anche il backup venga catturato e criptato dal ransomware.
Affinché un’azienda protegga sufficientemente i backup dal ransomware, è necessaria una preparazione e una riflessione anticipata. La tecnologia di protezione dei dati, le best practice di backup e la formazione del personale sono fondamentali per mitigare le interruzioni pericolose per l’azienda che gli attacchi ransomware possono infliggere ai server di backup di un’organizzazione.
Gli attacchi ransomware ai sistemi di backup sono spesso opportunistici, non necessariamente mirati. Il processo esatto varia a seconda del programma, ma in genere il ransomware striscia sul sistema alla ricerca di tipi di file specifici e, se individua l’estensione di un file di backup, lo cripta. Poi, cercherà di diffondersi e di infettare quanti più sistemi possibile. Il movimento di questi programmi malware è laterale e non intenzionale.
Una delle migliori protezioni contro questi attacchi consiste nel disporre di una soluzione di backup dei dati e del ransomware con un’architettura corretta, configurata in modo appropriato e combinata con strategie di backup di tipo best-practice. Ciò include la garanzia che qualsiasi backup nel cloud sia adeguatamente protetto e disponibile, e che lei abbia una strategia per assicurarsi di non sincronizzare i file infetti locali con quelli che dovrebbero essere tenuti al sicuro nel cloud. Ciò significa anche avere copie aggiornate di quei dati disponibili altrove. Per qualsiasi azienda di medie e grandi dimensioni, disporre di una soluzione di backup di livello aziendale è essenziale, perché una corretta pratica di backup, archiviazione e conformità dei dati può fare la differenza tra la sopravvivenza e il fallimento di un’azienda in caso di attacco ransomware.
Miti comuni su ransomware e backup
Se sta cercando come fare per proteggere i backup dal ransomware, potrebbe imbattersi in consigli sbagliati o non aggiornati. La realtà è che la protezione dei backup da ransomware è un po’ più complessa, quindi esaminiamo alcuni dei miti più diffusi che circondano l’argomento.
Mito del backup del ransomware 1: Il ransomware non infetta i backup. Potrebbe pensare che i suoi file siano al sicuro. Tuttavia, non tutti i ransomware si attivano al momento dell’infezione. Alcuni aspettano prima di iniziare. Ciò significa che i suoi backup potrebbero già contenere una copia del ransomware.
Mito del backup del ransomware 2: I backup criptati sono protetti dal ransomware. Non ha molta importanza se i suoi backup sono criptati. Non appena si esegue un ripristino del backup, l’infezione può diventare nuovamente eseguibile e attivarsi.
Mito del backup del ransomware 3: Solo Windows è colpito. Molte persone pensano di poter eseguire i loro backup su un sistema operativo diverso per eliminare la minaccia. Purtroppo, se i file infetti sono ospitati sul cloud, il ransomware può passare da un sistema all’altro.
Naturalmente, ci sono ancora molti modi per proteggere i backup dal ransomware. Di seguito sono riportate alcune strategie importanti che dovrebbe prendere in considerazione per la sua azienda.
Le 7 migliori strategie di backup contro il ransomware
Ecco alcune considerazioni tecniche specifiche per il suo ambiente IT aziendale, per proteggere il suo server di backup da futuri attacchi ransomware:
1. Utilizzi credenziali distinte, in modo univoco per l’archiviazione di backup.
Si tratta di una best practice di base per il backup ransomware; e con il crescente numero di attacchi ransomware ai server di backup, è più che mai necessaria. Il contesto utilizzato per accedere all’archivio di backup deve essere completamente riservato e utilizzato solo per questo scopo specifico. Anche altri contesti di sicurezza non devono essere in grado di accedere all’archivio di backup, ad eccezione di uno o più account che potrebbero essere necessari per le operazioni di backup effettive. Per proteggere i backup dal ransomware, dovrebbe evitare di lavorare come root o amministratore. Utilizzi account di servizio il più possibile limitati, quando possibile. Per impostazione predefinita, Bacula integra l’autenticazione a due fattori nel progetto e consente all’utente di applicare la massima separazione possibile quando si tratta di carichi di lavoro di produzione, stabilendo un backup più a prova di ransomware. Ad esempio, la sua installazione predefinita assicura che i suoi demoni vengano eseguiti con account di servizio dedicati.
2. Rendere l’archiviazione offline parte della strategia di backup
L’archiviazione offline è una delle migliori difese contro la propagazione della crittografia ransomware all’archiviazione di backup. Esistono diverse possibilità di archiviazione che possono essere utilizzate:
Tipo di Media | Cosa c’è di importante |
Backup di destinazione su cloud | Questi utilizzano un meccanismo di autenticazione diverso. Possono essere collegati solo parzialmente al sistema di backup. L’utilizzo di backup con destinazione cloud è un buon modo per proteggere i backup dal ransomware, perché i suoi dati sono conservati al sicuro nel cloud. In caso di attacco, può ripristinare il suo sistema da lì, anche se ciò può risultare costoso. Deve anche tenere presente che la sincronizzazione con l’archiviazione dei dati locali può caricare l’infezione anche sul suo backup nel cloud. |
Immagini di archiviazione primaria | Le istantanee hanno un quadro di autenticazione diverso e possono essere utilizzate per il ripristino. Le copie istantanee sono backup di sola lettura, quindi i nuovi attacchi ransomware non possono infettarle. Se identifica una minaccia, può semplicemente ripristinarla da una copia scattata prima che avvenisse l’attacco. |
Macchine virtuali replicate | Meglio se controllate da un quadro di autenticazione diverso, come l’utilizzo di domini diversi per, ad esempio, gli host vSphere e Hyper-V, e Powered off. Deve solo assicurarsi di tenere sotto controllo il suo programma di conservazione. Se si verifica un attacco ransomware e non se ne accorge prima che i suoi backup vengano crittografati, potrebbe non avere alcun backup da cui ripristinare. |
Dischi rigidi/SSD | Distaccati, non montati o offline, a meno che non vengano letti o scritti. Alcune unità a stato solido sono state aperte con malware, ma questo va oltre la portata di alcuni ransomware di backup tradizionali. |
Nastro | Non c’è niente di più offline che i nastri scaricati da una nastroteca. Questi sono anche comodi per l’archiviazione fuori sede. Poiché i dati vengono solitamente conservati fuori sede, i backup su nastro sono normalmente al sicuro da attacchi ransomware e disastri naturali. I nastri dovrebbero sempre essere crittografati. |
Elettrodomestici | Gli elettrodomestici, in quanto scatole nere, devono essere adeguatamente protetti da accessi non autorizzati per proteggersi dagli attacchi ransomware. È consigliabile una sicurezza di rete più rigorosa rispetto ai normali file server, in quanto le appliance possono presentare vulnerabilità più impreviste rispetto ai normali sistemi operativi. |
3. Utilizzare i lavori di copia di backup per contribuire a ridurre il rischio
Un lavoro di copia di backup copia i dati di backup esistenti su un altro sistema di dischi, in modo che possano essere ripristinati in un secondo momento o inviati a una sede esterna.
L’esecuzione di un lavoro di copia di backup è un modo eccellente per creare punti di ripristino con regole di conservazione diverse dal normale lavoro di backup (e possono essere situati su un’altra memoria). Il lavoro di copia di backup può essere un meccanismo prezioso che può aiutarla a proteggere i backup dal ransomware, perché ci sono diversi punti di ripristino in uso con il lavoro di copia di backup.
Ad esempio, se aggiunge un dispositivo di archiviazione aggiuntivo alla sua infrastruttura (ad esempio un server Linux), può definire un repository per esso e creare un lavoro di copia di backup da utilizzare come backup ransomware.
4. Non si affidi a diversi file system per proteggere l’archiviazione di backup.
Anche se il coinvolgimento di diversi protocolli può essere un buon modo per prevenire la propagazione del ransomware, sappia che questo non è certamente una garanzia contro gli attacchi di backup del ransomware. I diversi tipi di ransomware tendono ad evolversi e a diventare più efficaci regolarmente, e nuovi tipi appaiono con una certa frequenza.
Pertanto, è consigliabile utilizzare un approccio alla sicurezza di livello aziendale: l’archiviazione di backup dovrebbe essere inaccessibile per quanto possibile, e dovrebbe esserci un solo account di servizio sulle macchine conosciute che deve accedervi. Le posizioni del file system utilizzate per archiviare i dati di backup devono essere accessibili solo dagli account di servizio pertinenti, per proteggere tutte le informazioni dagli attacchi ransomware.
Non c’è alcun motivo per cui gli utenti finali di sistemi diversi debbano avere il permesso di accedervi. L’utilizzo di un’altra serie di credenziali per consentire l’accesso ai file system condivisi, ad esempio per le istantanee, le condivisioni offline o l’archiviazione nel cloud, è un approccio intrinsecamente insicuro: tutte queste operazioni devono essere limitate esclusivamente all’account del servizio di backup.
5. Si assicuri di utilizzare la regola del 3-2-1-1.
Seguire la regola del 3-2-1 significa avere tre copie distinte dei suoi dati, su due supporti diversi, uno dei quali fuori sede. La forza di questo approccio per il backup del ransomware è che può affrontare praticamente qualsiasi scenario di guasto e non richiede l’utilizzo di tecnologie specifiche. Nell’era del ransomware, Bacula consiglia di aggiungere un secondo “1” alla regola; quello in cui uno dei supporti è offline. Esistono diverse opzioni per realizzare una copia offline o semi-offline dei suoi dati. In pratica, ogni volta che si esegue il backup su obiettivi non legati al file system, si è già vicini al raggiungimento di questa regola. Quindi, i nastri e gli obiettivi di archiviazione di oggetti nel cloud sono utili per lei. Mettere i nastri in un caveau dopo la scrittura è una best practice di lunga data.
I target di archiviazione in cloud possono fungere da archiviazione semi-offline dal punto di vista del backup. I dati non sono in loco e l’accesso richiede protocolli personalizzati e un’autenticazione secondaria. Alcuni fornitori di cloud consentono di impostare gli oggetti in uno stato immutabile, il che soddisfa il requisito di evitare che vengano danneggiati da un aggressore. Come per qualsiasi implementazione cloud, si accetta una certa dose di affidabilità e di rischio per la sicurezza affidando i dati critici al provider cloud, ma come fonte di backup secondaria il cloud è molto interessante.
6. Attenzione all’utilizzo di snapshot di archiviazione sull’archiviazione di backup
Le istantanee di archiviazione sono utili per recuperare i file cancellati a un certo punto nel tempo, ma non sono un vero e proprio backup. Le istantanee di archiviazione tendono a non avere una gestione avanzata della conservazione, il reporting e tutti i dati sono ancora archiviati nello stesso sistema e quindi possono essere vulnerabili a qualsiasi attacco che colpisca i dati primari. Un’istantanea non è altro che una copia puntuale dei suoi dati. In quanto tale, il backup può ancora essere vulnerabile agli attacchi ransomware, se questi sono stati programmati per rimanere inattivi fino a un certo momento.
7. Si assicuri di poter recuperare tutti i sistemi da bare metal.
Il recupero bare metal si realizza in molti modi diversi. Molte aziende si limitano a distribuire un’immagine standard, a fornire il software e a ripristinare i dati e/o le preferenze degli utenti. In molti casi, tutti i dati sono già archiviati in remoto e il sistema in sé non ha molta importanza. Tuttavia, in altri casi questo non è un approccio pratico e la capacità di ripristinare completamente una macchina a un punto nel tempo è una funzione critica dell’implementazione del disaster recovery che può consentire di proteggere i backup dal ransomware.
La capacità di ripristinare un computer criptato dal ransomware a un punto recente nel tempo, compresi i dati dell’utente memorizzati localmente, può essere una parte necessaria di una difesa a livelli. Lo stesso approccio può essere applicato ai sistemi virtualizzati, anche se di solito ci sono opzioni preferibili disponibili presso l’hypervisor.
Strumenti specifici per il sistema di backup come mezzo di protezione aggiuntiva contro il Ransomware
Con un approccio aumentato allo stesso problema del backup infettato da ransomware, è possibile – e consigliabile – utilizzare gli strumenti dei sistemi di backup come mezzo aggiuntivo di protezione dagli attacchi. Ecco cinque migliori pratiche di backup del ransomware – per proteggere ulteriormente l’azienda dal ransomware:
- Assicurarsi che i backup stessi siano puliti da ransomware e/o malware. Verificare che il suo backup non sia infetto dovrebbe essere una delle sue massime priorità, poiché l’intera utilità del backup come misura di protezione da ransomware viene annullata se i suoi backup sono compromessi dal ransomware. Esegua regolarmente patch di sistema per chiudere le vulnerabilità del software, investa in strumenti di rilevamento malware e li aggiorni regolarmente, e cerchi di mettere offline i suoi file multimediali il più rapidamente possibile dopo averli modificati. In alcuni casi, potrebbe prendere in considerazione un approccio WORM (Write-One-Read-Many) per proteggere i suoi backup dal ransomware – un tipo specifico di supporto che è previsto solo per alcuni tipi di nastro e disco ottico, oltre che per alcuni provider di cloud storage.
- Non si affidi ai backup nel cloud come unico tipo di archiviazione di backup. Sebbene l’archiviazione in-the-cloud presenti una serie di vantaggi, non è completamente impermeabile al ransomware. Sebbene sia più difficile per un aggressore corrompere i dati fisicamente, è comunque possibile per gli aggressori di ransomware ottenere l’accesso ai suoi dati sia utilizzando un’infrastruttura condivisa dell’archiviazione cloud nel suo complesso, sia collegando tale archiviazione cloud al dispositivo di un cliente infetto. Per questo motivo è altamente consigliato avere sempre una strategia di backup alternativa al backup online, e un supporto e una destinazione di backup separati in combinazione con il Cloud, come ad esempio un nastro off-site. Disponendo di protezioni ridondanti, sarà in grado di salvaguardare i suoi dati dal ransomware. Si ricordi anche che un ripristino di grandi dimensioni da una fonte cloud può essere molto costoso e lento.
- Riveda e testi i suoi piani di ripristino e di backup esistenti. Il suo piano di backup e di ripristino dovrebbe essere testato regolarmente per assicurarsi di essere protetto dalle minacce. Scoprire che il suo piano di ripristino non funziona come previsto solo dopo un attacco ransomware è chiaramente indesiderabile. La migliore strategia di backup del ransomware è quella che non dovrà mai fare i conti con le violazioni di dati maligni. Esamini diversi scenari, verifichi alcuni risultati relativi al ripristino, come il time-to-recovery, e stabilisca quali parti del sistema sono prioritarie per impostazione predefinita. Si ricordi che molte aziende possono – e devono – misurare in dollari al minuto il costo dei servizi interrotti.
- Chiarisca o aggiorni le politiche di conservazione e sviluppi programmi di backup. Si raccomanda vivamente di rivedere regolarmente le strategie di backup del ransomware. Può darsi che il backup dei suoi dati non sia abbastanza frequente, o che il periodo di conservazione dei backup sia troppo piccolo, rendendo il suo sistema vulnerabile a tipi di ransomware più avanzati che possono colpire le copie di backup attraverso ritardi temporali e altri mezzi di infezione.
- Audit accuratamente tutti i luoghi di archiviazione dei dati. Per proteggere i backup dal ransomware, questi devono essere controllati per assicurarsi che non vadano persi dati e che il backup sia stato eseguito correttamente, compresi i sistemi degli utenti finali, gli archivi cloud, le applicazioni e altri software di sistema.
Come fa il ransomware a manomettere i suoi backup?
Sebbene sia vero che i sistemi di backup e ripristino sono in grado di proteggere le organizzazioni dal ransomware nella maggior parte dei casi, questi sistemi non sono gli unici che continuano a progredire ed evolversi nel corso degli anni – perché anche il ransomware diventa sempre più insolito e sofisticato con il passare del tempo.
Uno dei problemi più recenti di questo intero approccio con i backup è che ora molte varianti di ransomware hanno imparato a prendere di mira e ad attaccare non solo i dati dell’azienda in primo luogo, ma anche i backup di quella stessa azienda – e questo è un problema significativo per l’intero settore. Molti autori di ransomware hanno modificato il loro malware per rintracciare ed eliminare i backup. Da questo punto di vista, mentre i backup possono ancora proteggere i suoi dati dal ransomware, lei dovrà proteggere anche i backup dal ransomware.
È possibile individuare alcune delle principali angolazioni che vengono tipicamente utilizzate per manomettere i suoi backup nel loro complesso. Evidenzieremo i principali e le spiegheremo come può utilizzarli per proteggere i backup dal ransomware:
- Il potenziale di danno da ransomware aumenta con cicli di recupero più lunghi
Anche se non è così ovvio come altre possibilità, il problema dei lunghi cicli di recupero è ancora piuttosto importante nel settore, ed è causato principalmente da prodotti di backup obsoleti che possono eseguire solo lenti backup completi. In questi casi, i cicli di ripristino dopo un attacco ransomware possono durare giorni o addirittura settimane – ed è un disastro enorme per la maggior parte delle aziende, in quanto i tempi di inattività del sistema e i costi di interruzione della produzione possono rapidamente oscurare le stime iniziali dei danni da ransomware.
Due possibili soluzioni per proteggere i suoi backup dal ransomware sono: a) cercare di ottenere una soluzione in grado di fornirle una copia dell’intero sistema il più rapidamente possibile, in modo da non dover trascorrere giorni o addirittura settimane in modalità di ripristino, e b) cercare di ottenere una soluzione che offra il ripristino di massa come funzione, per far ripartire più macchine virtuali, database e server molto rapidamente.
- La sua polizza assicurativa può anche diventare la sua responsabilità civile
Come abbiamo detto in precedenza, compaiono sempre più varianti di ransomware che possono prendere di mira sia i suoi dati originali che i suoi backup, o a volte cercano addirittura di infettare e/o distruggere i suoi dati di backup prima di passare alla fonte. Pertanto, deve rendere il più difficile possibile per il ransomware eliminare tutte le sue copie di backup – una sorta di difesa a più livelli.
I criminali informatici utilizzano attacchi molto sofisticati che prendono di mira i dati, puntando direttamente ai suoi backup, che sono la sua principale polizza assicurativa per mantenere in funzione la sua azienda. Dovrebbe disporre di un’unica copia dei dati in uno stato tale che non possa mai essere montata da alcun sistema esterno (spesso definita copia di backup immutabile), e implementare varie funzioni di sicurezza complete, come il già citato WORM, oltre a un moderno isolamento dei dati, alla crittografia dei dati, al rilevamento delle manomissioni e al monitoraggio delle anomalie nel comportamento dei dati.
Ci sono due misure che possiamo analizzare in modo più dettagliato:
- Copia di backup immutabile. La copia di backup immutabile è una delle misure più importanti contro gli attacchi ransomware: è una copia del suo backup che non può essere alterata in alcun modo una volta creata. Esiste solo per essere la sua principale fonte di dati se è stato preso di mira dal ransomware e ha bisogno di riavere le sue informazioni come erano prima. I backup immutabili non possono essere cancellati, cambiati, sovrascritti o modificati in alcun altro modo, ma solo copiati in altre fonti. I backup immutabili sono una difesa efficace contro il ransomware perché, come suggerisce il nome, sono immutabili. Alcuni venditori presentano l’immutabilità come infallibile, ma in termini di backup ransomware, non esiste una cosa del genere. Qualsiasi ambiente di backup può essere vulnerabile agli attacchi di tipo sleeper, in cui il ransomware si infiltra nei dati e rimane inattivo per un certo periodo di tempo. Ma non deve temere gli attacchi ransomware di backup immutabili. Basta assicurarsi di avere una strategia olistica che includa il rilevamento e la prevenzione degli attacchi, e implementare una forte gestione delle credenziali.
- Crittografia del backup. È un po’ ironico che la crittografia sia utilizzata anche come una delle misure per contrastare gli attacchi ransomware, dal momento che molti ransomware utilizzano la crittografia per chiedere un riscatto per i suoi dati. La crittografia non rende i suoi backup a prova di ransomware e non impedisce gli exploit. Tuttavia, nella sua essenza, la crittografia dei backup dovrebbe agire come un’ulteriore misura contro il ransomware, crittografando i suoi dati all’interno dei backup in modo che il ransomware non possa leggerli o modificarli in primo luogo – trasforma i suoi dati strutturati in una confusione di simboli che non possono essere modificati per tornare al loro stato normale senza una chiave di crittografia.
- I problemi di visibilità dei suoi dati diventano un vantaggio per il ransomware
Per sua natura, il ransomware è più pericoloso quando entra in un sistema mal gestito – una sorta di “dark data”. Lì può fare molti danni, un attacco ransomware può criptare i dati e/o venderli sul dark web. Si tratta di un problema significativo che richiede le tecnologie più all’avanguardia per essere rilevato e combattuto in modo efficace.
Mentre il rilevamento precoce del ransomware è possibile solo con una moderna soluzione di gestione dei dati e un buon sistema di backup, il rilevamento di tali minacce in tempo reale richiede una combinazione di apprendimento automatico e intelligenza artificiale – in modo da poter ricevere avvisi sull’attività sospetta del ransomware in tempo reale, rendendo la scoperta dell’attacco molto più rapida.
- La frammentazione dei dati è una vulnerabilità enorme
Chiaramente, molte organizzazioni hanno a che fare regolarmente con grandi quantità di dati. Tuttavia, le dimensioni non sono un problema quanto la frammentazione: non è raro che i dati di un’azienda si trovino in più sedi diverse e utilizzino diversi tipi di archiviazione. La frammentazione può anche creare grandi cache di dati secondari (non sempre essenziali per le operazioni aziendali) che possono influire sulle sue capacità di archiviazione e renderla più vulnerabile.
Ognuno di questi luoghi e tipi di backup aggiunge un altro potenziale luogo di sfruttamento dei dati da parte del ransomware, rendendo l’intero sistema aziendale ancora più difficile da proteggere. In questo caso, è consigliabile avere una soluzione di data discovery all’interno del suo sistema, che apporta diversi vantaggi, uno dei quali è una migliore visibilità della totalità dei suoi dati, rendendo molto più facile individuare minacce, attività insolite e potenziali vulnerabilità.
- Le credenziali dell’utente possono essere utilizzate più volte per gli attacchi ransomware
Le credenziali utente sono sempre state uno dei maggiori problemi in questo campo, in quanto forniscono agli aggressori di ransomware un chiaro accesso ai dati preziosi della sua azienda – e non tutte le aziende sono in grado di rilevare il furto in primo luogo. Se le credenziali utente vengono compromesse, gli aggressori di ransomware possono sfruttare le diverse porte aperte e ottenere l’accesso ai suoi dispositivi e alle sue applicazioni. L’intera situazione delle credenziali utente è peggiorata quando, a causa di Covid, le aziende sono state costrette a passare in gran parte al lavoro da remoto nel 2019 – e questo problema è ancora presente come non mai.
Secondo il 2021 Data Breach Investigation Report di Verizon, oltre il 60% delle violazioni di dati in un anno sono state effettuate utilizzando credenziali compromesse. Queste vulnerabilità possono anche influenzare i suoi backup e renderli più esposti al ransomware. In genere, l’unico modo per combattere questo tipo di lacuna nella sicurezza è investire in controlli rigorosi dell’accesso degli utenti, includendo funzioni come l’autenticazione a più fattori, controlli di accesso basati sui ruoli, monitoraggio costante e così via.
Poiché la minaccia del ransomware aumenta (sia in termini di frequenza che di sofisticazione), deve assicurarsi di avere una solida verifica dell’identità. Una semplice password composta da 8 caratteri può essere violata in appena un’ora. Con l’aumento della velocità di elaborazione dei computer, questo tempo non potrà che ridursi. Se stabilisce l’identità con un alto livello di efficacia, sarà in grado di impedire agli aggressori di ransomware di danneggiare i suoi dati di backup.
- Provi e ritesti sempre i suoi backup
Molte aziende si rendono conto che i loro backup sono falliti o troppo difficili da ripristinare solo dopo essere state vittime di un attacco ransomware. Se vuole assicurarsi che i suoi dati siano protetti, dovrebbe sempre fare una sorta di esercizio regolare e documentare i passaggi esatti per la creazione e il ripristino dei backup.
Poiché alcuni tipi di ransomware possono anche rimanere inattivi prima di criptare le sue informazioni, vale la pena di testare regolarmente tutte le copie di backup, poiché potrebbe non sapere quando è avvenuta l’infezione. Si ricordi che il ransomware continuerà a trovare modi sempre più complessi per nascondersi e rendere più costosi i suoi sforzi di ripristino dei backup.
Conclusione
Per la massima protezione del suo backup contro il ransomware e minacce simili, Bacula Systems consiglia vivamente alla sua organizzazione di rispettare pienamente le best practice di backup e ripristino dei dati sopra elencate. I metodi e gli strumenti descritti in questo blog post sono utilizzati regolarmente dai clienti di Bacula Systems per proteggere i loro backup dal ransomware. Per le aziende che non dispongono di soluzioni di backup dei dati di livello avanzato, Bacula Systems esorta queste organizzazioni a condurre una revisione completa della loro strategia di backup e a valutare una soluzione di backup e ripristino moderna.
Scarichi il whitepaper di Bacula sulla protezione contro il ransomware.