Chat with us, powered by LiveChat
Richiedi il Prezzo
WW +41 21 641 6080 | US +1 800 256 0192 | CA +1 800 935 0725 | FR +33 261 880008 | UK +44 808 1890445
Contatti
Principale > Soluzioni di backup aziendali di Bacula Systems > Protezione da Ransomware

Backup a prova di ransomware: protegga i backup dal ransomware con Bacula Enterprise

Ultimamente, le sequenze di attacchi ransomware prendono di mira innanzitutto l’infrastruttura di backup, poiché distruggere le opzioni di ripristino prima di avviare la crittografia non lascia alle vittime altra via d’uscita se non quella di pagare il riscatto. Lo studio di Sophos sullo stato del ransomware nel 2024 (basato su un sondaggio condotto su 5.000 professionisti IT e della sicurezza in 14 paesi) ha rilevato che gli aggressori hanno tentato di compromettere i sistemi di backup nel 94% degli incidenti, riuscendo nel loro intento nel 57% di tali tentativi. Poiché i costi di ripristino erano circa otto volte superiori, le vittime erano quasi due volte più propense a pagare il riscatto.

In effetti, la portata del problema è solo aumentata nell’ultimo anno. Il rapporto 2026 di GuidePoint Security su ransomware e minacce informatiche ha registrato un aumento del 58% su base annua delle vittime di ransomware nel 2025, con 7.515 organizzazioni aggiunte ai siti di fuga di dati nel corso dell’anno. Ciò rende il 2025 l’anno più attivo mai registrato per gli attacchi ransomware.

Quando i sistemi di backup e di produzione condividono le credenziali, un singolo account violato raggiunge entrambi. Al fine di proteggere i backup dal ransomware, l’ambiente di backup necessita di un proprio modello di autenticazione e di uno spazio di archiviazione a cui nessuna credenziale del lato produzione possa accedere.

Bacula Enterprise è progettato per contrastare la compromissione dei backup a livello di architettura ed è la soluzione di backup preferita dalla NASA e da alcune delle più grandi organizzazioni militari del mondo. I suoi componenti principali funzionano su Linux, il che elimina dal modello di minaccia un’intera classe di vettori di ransomware mirati a Windows.

Il design della protezione da ransomware dei backup di Bacula si basa su account di servizio isolati, crittografia conforme allo standard FIPS 140-3, volumi di archiviazione immutabili e BGuardian, un modulo per il monitoraggio avanzato della sicurezza e il rilevamento delle minacce, per mantenere i dati di backup intatti e recuperabili anche quando l’ambiente di produzione è stato completamente compromesso.

 

#

 

PIANIFICA IL TUO RECUPERO DI EMERGENZA Whitepaper sul ransomware

In che modo Bacula Enterprise protegge i backup dal ransomware

Un’architettura di backup progettata per garantire disponibilità e velocità si comporta in modo molto diverso in caso di attacco attivo rispetto alle normali condizioni operative. Bacula Enterprise è progettato per mantenere intatti i dati di backup in caso di attacco attivo, eseguendo i propri componenti principali su un’infrastruttura separata basata su Linux. L’accesso allo storage avviene tramite account di servizio indipendenti e ogni connessione di rete tra i componenti è progettata partendo dal presupposto che qualsiasi nodo della rete possa essere già stato compromesso.

Isolamento architettonico

L’architettura di Bacula è stata specificatamente progettata per bloccare i due percorsi più comuni attraverso i quali il ransomware penetra in un sistema di backup (accesso di rete condiviso e credenziali condivise con l’ambiente di produzione) tramite la segmentazione della rete e account di servizio completamente isolati.

  • Nucleo basato su Linux: Il Director e lo Storage Daemon di Bacula girano su Linux. La maggior parte dei payload del ransomware è progettata per funzionare su Windows e percorrere percorsi di file accessibili da Windows. Su un host Linux, tali payload non dispongono di un ambiente di esecuzione.
  • Direzione di connessione invertita: Il Storage Daemon avvia le connessioni al File Daemon (e non viceversa); i computer client non necessitano di porte in entrata aperte verso il sistema di backup. Un malintenzionato che agisce da un client compromesso non dispone di alcun servizio in ascolto a cui ricollegarsi sul lato del backup.
  • Account di servizio isolati per impostazione predefinita: L’installazione predefinita di Bacula esegue ciascun daemon sotto il proprio account di servizio con restrizioni. Nessuna credenziale di produzione può accedere all’archivio di backup e nessun account di servizio di backup dispone di autorizzazioni che vanno oltre quanto richiesto dalle operazioni di backup.
  • Segmentazione della rete: I server di backup, incluso il Director, possono funzionare in una VLAN separata che è irraggiungibile dai sistemi di produzione. Il movimento laterale da un host di produzione compromesso si ferma al confine della rete.

Archiviazione immutabile e offline

L’isolamento architetturale limita la portata di un malintenzionato all’interno dell’infrastruttura di backup. A sua volta, l’archiviazione immutabile e offline limita il danno che un malintenzionato può causare ai dati di backup in caso di violazione dell’isolamento.

  • Volumi su disco immutabili: Bacula supporta volumi su disco con blocco in scrittura che non possono essere modificati o eliminati una volta scritti, nemmeno da un account dotato delle credenziali del servizio di backup.
  • Immutabilità NFS tramite NetApp SnapLock: Per le organizzazioni che utilizzano lo storage NetApp, Bacula si integra con SnapLock per garantire l’immutabilità a livello di hardware di archiviazione, al di fuori della portata di qualsiasi attacco a livello di software.
  • Immutabilità HPE StoreOnce: Bacula supporta la protezione in scrittura imposta dall’hardware sugli appliance HPE StoreOnce per le organizzazioni che operano in quell’ecosistema di archiviazione.
  • Nastro air-gapped: I volumi su nastro espulsi dalla libreria e archiviati offline sono fisicamente irraggiungibili da qualsiasi attacco basato sulla rete. Il supporto dei nastri di Bacula copre un’ampia gamma di autochanger e hardware LTO, e i nastri possono essere etichettati, archiviati in caveau e gestiti tramite gli strumenti integrati di Bacula.
  • Processi di copia di backup: Il meccanismo di processo di copia di backup di Bacula scrive i punti di ripristino su una destinazione di archiviazione separata, soggetta a una politica di conservazione diversa rispetto al processo di backup primario. Il processo di copia viene eseguito in modo indipendente, con credenziali di archiviazione e percorso di accesso propri. Un set di backup primario danneggiato o eliminato non influisce sui punti di ripristino del processo di copia.

Rilevamento attivo delle minacce con BGuardian

Gli operatori di ransomware moderni trascorrono settimane all’interno di una rete per individuare l’infrastruttura di backup e testare le credenziali prima di attivare il payload di crittografia, rimanendo ben al di sotto della soglia di attività rilevabile dai sistemi di monitoraggio standard. BGuardian è un plugin di Bacula Director che esegue analisi statistiche e di configurazione sull’intero ambiente Bacula con cadenza periodica tramite un’attività amministrativa pianificata. Genera report in formato HTML e JSON con un sistema di allerta persistente in grado di distinguere i problemi rilevati di recente da quelli già segnalati nelle esecuzioni precedenti.

  • Rilevamento delle anomalie nei backup: Quando un ransomware inizia a crittografare i file su un sistema di origine prima dell’esecuzione di un backup, il processo acquisisce una quantità di dati inferiore a quella prevista dalla sua linea di base statistica. BGuardian rileva questa anomalia eseguendo un’analisi di regressione su tre assi per ogni processo: byte elaborati, numero di file e durata del processo. Ai risultati che si discostano in modo significativo dalla linea di base calcolata viene assegnato un livello di gravità (Alto, Medio o Basso) e vengono contrassegnati per essere sottoposti a revisione.
  • Segnalazione di job relativi a malware e ransomware: Il servizio “Infected” di BGuardian segnala ogni job di backup in cui il livello di protezione antimalware di Bacula ha rilevato ransomware o malware durante l’esecuzione. Ogni rilevamento genera un avviso persistente collegato al client specifico, al nome del job e all’ID del job, con la risposta raccomandata che consiste nell’immediato isolamento di rete dell’host interessato prima che su di esso venga eseguito qualsiasi job di backup successivo.
  • Monitoraggio degli eventi di sicurezza: Il servizio securityevents di BGuardian interroga il registro eventi interno di Bacula alla ricerca di voci classificate nella categoria sicurezza, inclusi i tentativi falliti di autenticazione bconsole nei confronti del Director. Un andamento di connessioni fallite al Director è un indicatore di enumerazione delle credenziali nei confronti del piano di gestione del backup, e BGuardian riporta tali voci nello stesso ciclo di reportistica del resto della propria analisi, anziché richiedere un processo separato di revisione dei log.
  • Valutazione della sicurezza della configurazione: Ad ogni esecuzione, BGuardian verifica l’intera configurazione di Director rispetto a una linea guida di sicurezza documentata, individuando problemi quali password dei daemon deboli o duplicate, daemon in esecuzione con privilegi di root e destinazioni di archiviazione cloud non crittografate. A ciascun risultato viene assegnato un codice di avviso, in modo che gli amministratori possano segnalare o ignorare singoli elementi senza perdere la visibilità sugli altri.
  • Rilevamento di errori consecutivi: Il servizio failedinarow di BGuardian identifica i processi che hanno fallito consecutivamente più di un numero configurabile di volte. Gli errori consecutivi su un client specifico o su un daemon di archiviazione sono operativamente distinti dagli errori transitori casuali e giustificano un’indagine volta a verificare se un servizio sia stato interrotto, se una destinazione di archiviazione sia diventata irraggiungibile o se un componente sia soggetto a interferenze attive.

*BGuardian è disponibile a partire dalla versione 16.0.12 di Bacula Enterprise e può essere implementato su qualsiasi piattaforma su cui sia possibile installare Bacula Director.

Crittografia su tutto lo stack

Un’intercettazione di rete o una destinazione di archiviazione compromessa sono utili a un malintenzionato solo se i dati che vengono esposti sono leggibili. Bacula crittografa i dati di backup a livello di componente, a livello di rete e a livello di archiviazione in modo indipendente. Una violazione di un singolo livello non consente al malintenzionato di accedere a dati utilizzabili.

  • Conforme allo standard FIPS 140-3: Bacula soddisfa lo standard federale di crittografia utilizzato dal governo degli Stati Uniti e dalle organizzazioni militari.
  • AES 128, AES 192 e AES 256: Il livello di crittografia è configurabile per ciascun client. Le organizzazioni possono applicare algoritmi di crittografia più robusti ai carichi di lavoro più sensibili senza distribuire il sovraccarico computazionale in modo uniforme su tutto l’ambiente.
  • TLS per tutte le comunicazioni tra i componenti: Il traffico di rete tra il Director, lo Storage Daemon e il File Daemon viaggia su TLS per impostazione predefinita. I dati di backup in transito vengono crittografati anche su reti in cui è stato intercettato altro traffico.
  • Conforme allo standard FIPS 140-3: Bacula soddisfa lo standard federale di crittografia utilizzato dal governo degli Stati Uniti e dalle organizzazioni militari.
  • AES 128, AES 192 e AES 256: Il livello di crittografia è configurabile per ciascun client. Le organizzazioni possono applicare algoritmi di crittografia più robusti ai carichi di lavoro più sensibili senza distribuire il sovraccarico computazionale in modo uniforme su tutto l’ambiente.
  • TLS per tutte le comunicazioni tra i componenti: Il traffico di rete tra il Director, lo Storage Daemon e il File Daemon viaggia su TLS per impostazione predefinita. I dati di backup in transito vengono crittografati anche su reti in cui è stato intercettato altro traffico.

Caratteristiche principali della protezione dei backup contro il ransomware

  • Volumi di archiviazione immutabili: I dati di backup scritti su disco, NAS o archiviazione a oggetti possono essere bloccati a livello di volume per impedirne la modifica o la cancellazione; ciò significa che un malintenzionato in possesso di credenziali valide per il servizio di backup non può sovrascrivere o distruggere i punti di ripristino.
  • Supporto per nastri in isolamento fisico: I volumi su nastro espulsi dalla libreria e conservati offline sono fisicamente inaccessibili a qualsiasi attacco di rete. Di conseguenza, le organizzazioni dispongono di un percorso di ripristino che nessuna compromissione delle credenziali o intrusione di rete può compromettere.
  • Crittografia AES per cliente: I dati di backup vengono crittografati con AES 128, AES 192 o AES 256 per cliente, pertanto una violazione di un singolo target di archiviazione espone solo i dati di quel cliente. Il resto dell’infrastruttura di backup rimane protetto.
  • Rilevamento delle minacce Guardian: Guardian esegue quotidianamente analisi delle deviazioni statistiche, reportistica sul rilevamento di malware e valutazioni della sicurezza delle configurazioni. Le anomalie che indicano un’attività attiva di ransomware o controlli di accesso configurati in modo errato compaiono nei report di BGuardian prima che il ransomware raggiunga i dati di backup.
  • Autenticazione a più fattori e OTP: L’autenticazione MFA protegge le interfacce di gestione di Bacula, con l’autenticazione tramite password monouso (OTP) disponibile per l’accesso a BWeb tramite le funzioni biometriche dello smartphone. La sola compromissione di una password non è sufficiente per accedere al piano di gestione dei backup.
  • Rilevamento silenzioso del danneggiamento dei dati: Bacula confronta i dati di backup esistenti con le loro firme originali e individua i volumi in cui i dati si sono deteriorati a livello di archiviazione senza generare un errore di scrittura visibile.
  • Integrazione SIEM: Bacula convoglia gli eventi di sicurezza verso piattaforme SIEM esterne. L’attività dell’infrastruttura di backup diventa visibile all’interno dei flussi di lavoro di monitoraggio della sicurezza e di risposta agli incidenti dell’organizzazione e non rimane più al di fuori della vista del SOC.
  • Verifica dei backup con SHA256 e SHA512: I processi di verifica di Bacula calcolano le firme SHA256 o SHA512 confrontandole con i file precedentemente catalogati. Qualsiasi discrepanza nella firma indica che un file è stato modificato tra un’esecuzione di backup e l’altra. Gli amministratori ottengono il rilevamento a livello di file delle modifiche non autorizzate senza dover eseguire uno strumento di integrità separato.

Bacula Enterprise: copertura completa delle piattaforme

Sicurezza e conformità dei backup

Bacula Enterprise integra controlli di sicurezza in ogni livello della catena di backup, dal trasporto dei dati alla destinazione di archiviazione; pertanto, l’architettura di backup a prova di ransomware non richiede strumenti di sicurezza di terze parti per garantire quanto segue:

  • Copie di backup immutabili. L’archiviazione compatibile con WORM blocca i dati di backup impedendone la modifica o la cancellazione una volta scritti. Non esiste alcun percorso accessibile in rete ai punti di ripristino per un malintenzionato in possesso di credenziali di servizio valide.
  • Crittografia AES per cliente. Configurabile a AES 128, AES 192 o AES 256 per cliente, dalla sorgente alla destinazione di archiviazione. Una violazione della destinazione di archiviazione espone solo i dati di quel cliente, non l’intero patrimonio di backup.
  • Conformità FIPS 140-3. I moduli crittografici soddisfano lo standard federale richiesto dalle organizzazioni governative e militari in tutti i daemon supportati.
  • Controlli di accesso granulari. Le autorizzazioni degli utenti si limitano a specifici processi, flussi di lavoro di ripristino e funzioni di gestione. Nessun singolo account dispone di un’accessibilità non necessaria all’interno dell’ambiente di backup.
  • Audit completo delle attività. Ogni operazione di backup, ripristino e modifica della configurazione viene registrata con l’identità dell’utente e il timestamp. I team di sicurezza ottengono una traccia di audit ininterrotta per le indagini sugli incidenti e la verifica della conformità.
  • Integrazione SIEM. Gli eventi di sicurezza dell’infrastruttura di backup vengono trasmessi a piattaforme SIEM esterne, integrando il livello di backup nei flussi di lavoro di risposta agli incidenti esistenti dell’organizzazione, anziché lasciarlo come un punto cieco al di fuori del SOC.
  • Supporto del quadro normativo. I controlli della piattaforma sono conformi ai requisiti GDPR, HIPAA, SOC 2, PCI DSS e NIST attraverso la crittografia, politiche di conservazione configurabili e registri di audit dettagliati.

Archiviazione e ripristino

Una strategia di backup contro il ransomware fallisce se il ripristino stesso è lento, non testato o limitato a un unico percorso. Bacula offre agli amministratori diverse opzioni di ripristino indipendenti, in modo che nessun singolo punto di errore possa impedire il ripristino:

  • Nastro in isolamento fisico. I volumi su nastro espulsi dalla libreria e conservati offline sono fisicamente inaccessibili a qualsiasi attacco proveniente dalla rete. Nessuna compromissione delle credenziali, per quanto grave, può raggiungere un nastro espulso.
  • Processi di copia di backup. I punti di ripristino vengono scritti su una destinazione di archiviazione separata con credenziali indipendenti e una politica di conservazione diversa. Un set di backup primario danneggiato o eliminato non influisce sui punti di ripristino del processo di copia.
  • Ripristino bare metal. Bacula ripristina un server completo da zero, inclusi il sistema operativo, le applicazioni e i dati, senza richiedere una precedente installazione manuale. Sono supportati sia i sistemi Linux che Windows, con supporto UEFI ed EFI.
  • Tipi multipli di destinazioni di archiviazione. I backup vengono scritti su disco locale, NAS, SAN, librerie nastro e archiviazione a oggetti cloud, inclusi S3, Azure e Google Cloud, all’interno di un’unica politica. Le organizzazioni implementano la regola 3-2-1-1 senza dover gestire strumenti separati per ciascuna destinazione.
  • Flussi di lavoro di archiviazione a più livelli. I dati di backup si spostano automaticamente tra i livelli di archiviazione man mano che invecchiano, mantenendo i punti di ripristino recenti su archiviazione veloce mentre i dati più vecchi vengono spostati verso destinazioni a basso costo o offline.
  • Replica geografica dei backup. I set di backup vengono copiati in sedi di archiviazione geograficamente separate. Un’interruzione a livello di sito non comporta la perdita dei punti di ripristino.
  • Convalida automatizzata del ripristino. La recuperabilità viene confermata tramite test automatizzati. Gli amministratori dei backup sanno che i punti di ripristino sono utilizzabili prima che un incidente costringa a porsi la domanda.

Copertura multi-ambiente

Il ransomware non fa distinzioni in base al tipo di carico di lavoro. Bacula protegge server fisici, macchine virtuali, container, database e infrastrutture cloud tramite un unico motore di policy e un unico registro di audit:

  • Virtualizzazione multipiattaforma. L’integrazione nativa copre VMware vSphere, Hyper-V, KVM, Red Hat Virtualization, Xen, Azure VM, Proxmox, Nutanix AHV e OpenStack, con un’applicazione coerente delle policy su tutti gli hypervisor.
  • Supporto per container e cloud-native. Protezione completa per ambienti Docker, Kubernetes e OpenShift, che copre volumi persistenti e snapshot coerenti con le applicazioni.
  • Backup dei database. Il supporto per il backup a caldo copre Oracle, SQL Server, MySQL, PostgreSQL, SAP HANA, MariaDB, Percona e IBM DB2 con piena coerenza transazionale. I backup dei database sono affidabili per il ripristino, non solo per l’archiviazione.
  • Protezione delle applicazioni SaaS. Microsoft 365, Google Workspace ed Exchange Online sono protetti con funzionalità di ripristino granulare fino alle singole e-mail e voci di calendario.
  • Integrazione dell’archiviazione multi-cloud. Il supporto nativo copre le interfacce S3, Azure, Google Cloud, Oracle Cloud e Glacier. Le organizzazioni non sono vincolate a un unico fornitore di servizi cloud per l’archiviazione dei backup.
  • Ambiente Windows. Il sistema di crittografia dei file di Windows, Microsoft VSS con MS SQL Server ed Exchange, Active Directory e gli snapshot dei punti di montaggio sono tutti coperti da un unico agente Windows.

Gestione e amministrazione dei backup

  • BWeb Management Suite. L’interfaccia grafica utente (GUI) web principale di Bacula gestisce la configurazione dei processi, il monitoraggio, la reportistica e l’analisi della sicurezza dell’intero ambiente di backup da un’unica interfaccia.
  • Scalabilità senza limiti. La stessa architettura di piattaforma gestisce ambienti che vanno da pochi server a implementazioni che contano migliaia di server, il tutto sotto un unico piano di gestione.
  • Isolamento dei tenant. Gli MSP e le grandi imprese suddividono l’ambiente di backup in unità amministrate in modo indipendente. Ciascuna unità dispone di configurazione, criteri e controlli di accesso propri.
  • Integrazione con sistemi esterni. Bacula si collega a strumenti di monitoraggio, sistemi di ticketing IT e servizi di directory, inclusi LDAP e Active Directory. Non è richiesto alcuno sviluppo personalizzato.
  • Licenze indipendenti dal volume. I costi di licenza si basano sulle dimensioni dell’ambiente, non sul volume dei dati. La capacità di backup cresce senza comportare costi aggiuntivi.

Migliori pratiche per il backup in caso di ransomware

  • Seguite la regola 3-2-1-1: Conservate tre copie dei dati su due diversi tipi di supporto, di cui una copia fuori sede e una copia offline. La copia offline è quella che resiste a una compromissione totale della rete. *Bacula gestisce tutti e quattro i requisiti tramite un unico motore di policy.
  • Isolare le credenziali di backup dall’ambiente di produzione: Eseguire i daemon di backup con account di servizio creati esclusivamente per le operazioni di backup, senza alcuna sovrapposizione con le credenziali di produzione. Un account di produzione compromesso non dovrebbe avere alcun accesso all’archivio di backup. Bacula garantisce ciò di default eseguendo ciascun daemon con il proprio account di servizio con privilegi limitati.
  • Non confondere gli snapshot di archiviazione con un backup a prova di ransomware: Gli snapshot non dispongono di una gestione indipendente della conservazione e memorizzano tutti i dati sullo stesso sistema dei dati primari. Qualsiasi attacco che raggiunga l’archivio primario raggiunge anche gli snapshot. Questi sono uno strumento di ripristino utile in caso di cancellazione accidentale, non un sostituto di copie di backup isolate e autenticate in modo indipendente.
  • Non fare mai affidamento sulle differenze tra i file system come confine di sicurezza: Un file system irraggiungibile dal ransomware di oggi potrebbe non esserlo da quello di domani. La sicurezza non deve basarsi sul presupposto che un aggressore non possa attraversare un particolare protocollo o tipo di file system. Deve derivare dal controllo degli accessi e dall’autenticazione.
  • Esegua BGuardian con cadenza giornaliera: BGuardian rileva indicatori di compromissione dei backup, vulnerabilità di configurazione e comportamenti anomali dei processi prima che questi possano causare un fallimento totale del ripristino. Pianifichi l’esecuzione come processo amministrativo di Bacula durante le ore di minor traffico e esamini i relativi rapporti nell’ambito della routine operativa standard.
  • Esegua regolarmente dei test di ripristino: Un backup che non è mai stato ripristinato è un’ipotesi non verificata. Eseguire periodicamente operazioni di ripristino su diversi tipi di client e destinazioni di archiviazione. Il servizio restorefrequency di BGuardian segnala i processi la cui frequenza di ripristino è scesa al di sotto di una soglia configurabile, in modo che le lacune nei test di ripristino non passino inosservate.
  • Crittografare i dati di backup prima che lascino l’infrastruttura di backup: La crittografia di Storage Daemon garantisce che la destinazione di archiviazione riceva solo testo cifrato. Un account cloud compromesso o un sistema di archiviazione di terze parti non espone dati leggibili. Applicare la crittografia a qualsiasi destinazione di archiviazione al di fuori del controllo diretto dell’organizzazione.

Domande frequenti

Che cos’è la protezione dei backup contro il ransomware?

La protezione dei backup contro il ransomware si riferisce alle misure architetturali e operative che garantiscono la recuperabilità dei dati di backup a seguito di un attacco ransomware. Gli autori dei moderni attacchi ransomware prendono di mira l’infrastruttura di backup prima di attivare il payload di crittografia; pertanto, la protezione richiede un sistema di archiviazione che non possa essere modificato o cancellato da un aggressore, un’autenticazione indipendente dalle credenziali di produzione e un monitoraggio attivo in grado di individuare gli indicatori di ransomware prima che raggiungano i dati di backup.

Bacula esegue la scansione dei dati di backup alla ricerca di malware?

Sì. Il servizio “Infected” di BGuardian segnala ogni processo in cui il livello di protezione antimalware di Bacula ha rilevato ransomware o malware durante l’esecuzione, generando un avviso persistente collegato al cliente specifico, al nome del processo e all’ID del processo, in modo che gli amministratori sappiano esattamente quale sistema è stato colpito prima che il prossimo processo di backup venga eseguito su di esso.

Che cos’è la regola di backup 3-2-1-1?

La regola 3-2-1 consiste nel conservare tre copie dei dati su due diversi tipi di supporto, con una copia fuori sede. Nell’era del ransomware, Bacula raccomanda di aggiungere un quarto requisito: una copia deve essere offline e fisicamente irraggiungibile da qualsiasi attacco basato sulla rete. I volumi su nastro espulsi dalla libreria e conservati in un deposito fuori sede soddisfano questo requisito e offrono alle organizzazioni un percorso di ripristino che nessuna compromissione delle credenziali o intrusione nella rete può eliminare.

Cosa devo fare se i miei backup sono stati infettati da un ransomware?

Isoli immediatamente i sistemi colpiti dalla rete per arrestare la diffusione prima di eseguire qualsiasi operazione di ripristino. Verifichi se la sua soluzione di backup dispone di copie immutabili o isolate fisicamente (air-gapped) che non erano raggiungibili durante l’attacco, poiché quelle rappresentano i suoi punti di ripristino più puliti. Verifichi l’integrità del backup prima del ripristino, poiché il ripristino da un backup compromesso reintroduce l’infezione. Se la vostra piattaforma di backup include il rilevamento del malware, esaminate i relativi rapporti per identificare esattamente quali processi e client sono stati colpiti prima di decidere quali punti di ripristino siano sicuri da utilizzare.

Quanto tempo richiede il ripristino dopo un attacco ransomware?

Il tempo di ripristino dipende dall’entità della compromissione dell’infrastruttura di backup e da quanto il percorso di ripristino fosse stato preparato adeguatamente prima dell’attacco. La ricerca di Sophos del 2024 ha rilevato che le organizzazioni i cui backup erano stati compromessi avevano molte meno probabilità di riprendersi entro una settimana rispetto a quelle i cui backup erano rimasti intatti. Le organizzazioni che dispongono di procedure di ripristino bare metal collaudate, punti di ripristino offline puliti e una convalida automatizzata del ripristino in atto generalmente si riprendono in modo significativamente più rapido rispetto a quelle che ricostruiscono il proprio ambiente da zero.

Il ransomware può crittografare o eliminare i dati di backup di Bacula?

No, se è configurato uno storage immutabile. Bacula supporta volumi su disco con blocco in scrittura, immutabilità NFS tramite NetApp SnapLock e immutabilità hardware HPE StoreOnce, tutte funzionalità che bloccano la modifica o la cancellazione tramite qualsiasi operazione accessibile in rete, comprese quelle eseguite con credenziali di servizio di backup valide. I volumi su nastro isolati fisicamente (air-gapped) espulsi dalla libreria aggiungono un livello fisico che nessun attacco basato sulla rete può raggiungere, indipendentemente dalle credenziali in possesso dell’autore dell’attacco.

In che modo Bacula identifica l’attività del ransomware prima che danneggi i dati di backup?

BGuardian esegue un’analisi statistica delle deviazioni su ogni processo di backup, misurando i byte elaborati, il numero di file e la durata del processo rispetto alla linea di base storica di ciascun processo. Un calo dei byte elaborati è un indicatore documentato di pre-crittografia: i file sul sistema di origine erano già crittografati prima dell’esecuzione del processo, pertanto il processo ha acquisito meno dati rispetto a quanto previsto dalla linea di base. BGuardian segnala la deviazione con un livello di gravità e genera un avviso persistente con indicazione dell’ora.

Un server di produzione compromesso consente a un aggressore di accedere a Bacula?

No. Il demone di archiviazione avvia le connessioni al demone dei file, quindi un client compromesso non ha alcun servizio in ascolto sul lato del backup a cui ricollegarsi. Ciascun demone viene eseguito con un proprio account di servizio isolato, il che significa che le credenziali di produzione non comportano alcuna autorizzazione all’interno dell’ambiente di backup.

Bacula Enterprise è conforme allo standard FIPS 140-3?

Sì. I moduli crittografici di Bacula soddisfano lo standard FIPS 140-3 su tutti i daemon supportati. BGuardian monitora attivamente lo stato FIPS sul Director, sui daemon di archiviazione e sui daemon di file e segnala qualsiasi daemon in cui la modalità FIPS non è attiva.

I backup di Bacula possono sopravvivere a una minaccia interna?

Sì. Ogni accesso e modifica di configurazione viene registrato con l’identità dell’utente e il timestamp. Ciò fornisce ai team di sicurezza una traccia di audit forense per identificare esattamente quale account ha eseguito quale azione e quando. I controlli di accesso granulari di Bacula limitano le autorizzazioni a specifici lavori e flussi di lavoro di ripristino, in modo che nessun singolo account amministratore abbia un accesso non necessario all’ambiente di backup.

Bacula si integra con strumenti di monitoraggio della sicurezza esterni?

Sì. Bacula invia gli eventi di sicurezza alle piattaforme SIEM, inserendo gli eventi di Director, i tentativi di autenticazione falliti e gli avvisi di BGuardian nei flussi di lavoro di risposta agli incidenti esistenti dell’organizzazione. L’infrastruttura di backup è un punto cieco comune nella copertura SOC e questa integrazione lo elimina.

Potresti anche essere interessato a:
10 migliori programmi di backup e ripristino
backup su nastro
backup in cloud aziendali