I backup sono l'unico modo garantito per salvare i dati dopo un attacco ransomware. Ecco come assicurarti che la tua strategia di backup abbia la mitigazione del ransomware integrata.

recovery backup

L'argomento è di estrema attualità visto che ci ritroviamo a cavallo del più grave attacco ransomware accaduto in Italia. I dati della Regione Lazio tutti (probabilmente) vincolati da un gruppo criminale che li ha crittografati e resi indisponibili agli uffici dell'Amministrazione. In pratica i dati non sono più nella disponibilità dei legittimi proprietari, il danno è severo, e alla data di oggi 11 agosto 2021, non si sa come venirne fuori.

Una delle cose che ho sempre trovato interessante nel lavorare nel settore security informatico è che, a volte, l'IT aziendale e gli utenti domestici non sono poi così diversi l'uno dall'altro.

Ad esempio, i professionisti IT  chiedono regolarmente come possono proteggere al meglio le loro organizzazioni dai ransomware, allo stesso tempo, amici e familiari (che non sono esperti informatici)  chiedono come possono proteggersi dallo stesso nemico.

Quello che trovo interessante di questo è che mostra che c'è una diffusa consapevolezza del ransomware e che sia i professionisti IT che i profani lo trovano una minaccia credibileMostra anche, tuttavia, che molte persone non sono sicure su come proteggersi dai ransomware.

Il consiglio che do sempre è che i backup sono la difesa più importante contro il ransomware. Allo stesso tempo, i backup dovrebbero essere considerati l'ultima linea di difesa, non la prima! Dopotutto, è meglio prevenire il verificarsi di un'infezione ransomware piuttosto che dover ripristinare i backup in risposta a un'infezione che si è già verificata.

Sfortunatamente, non esiste una magica pallottola d'argento in grado di prevenire tutti gli attacchi ransomware. Pertanto, è importante praticare la difesa con un certo criterio. Alcuni dei meccanismi di difesa che si possono prendere in considerazione includono la formazione dell'utente finale (come spiegare agli utenti perché non dovrebbero aprire allegati di posta elettronica sospetti), whitelist delle applicazioni, autorizzazioni utente restrittive e scansione aggressiva del malware.

 

Per quanto importanti possano essere queste tecniche di difesa in, i backup sono in definitiva l'unica cosa che può salvare i dati di un'organizzazione dopo che si è già verificato un attacco ransomware. Ciò, tuttavia, solleva la questione del modo migliore per incorporare la mitigazione del ransomware nella strategia di backup di un'organizzazione.

Ancora una volta, non c'è una sola cosa decisiva che si può fare per assicurarci che i backup ci proteggano da un attacco ransomware. Tuttavia, ci sono una serie di best practice che si possono utilizzare per migliorare le probabilità di recuperare i  dati dopo un attacco.

1. Conservare un backup offline
Innanzitutto, mantenere una copia di backup offline secondaria. Quando si verifica un attacco ransomware, il ransomware potrebbe potenzialmente attaccare qualsiasi cosa a cui l'utente che ha attivato accidentalmente l'attacco, abbia accesso. Anche se gli utenti finali probabilmente non sono amministratori di backup, esistono metodi indiretti attraverso i quali i backup possono essere infettati. A quel punto, il gioco è finito: sia i dati primari che i backup sono stati compromessi e potrebbe non esserci un altro modo per riprendersi dall'attacco.

Avere una copia di backup offline funge da ripiego. Il ransomware non può toccare un backup disconnesso dal sistema. Pertanto, consiglio vivamente di creare regolarmente copie di backup secondarie su nastro o qualsiasi  altra forma di supporto rimovibile. Personalmente utilizzo dischi rigidi esterni per questo scopo. Questi backup devono essere conservati in un luogo sicuro e portati online solo in caso di grave emergenza.

puoi leggere anche questo

2. Utilizzare l'archiviazione immutabile
Un'altra procedura consigliata consiste nell'utilizzare l'archiviazione di backup immutabile, se possibile. La maggior parte dei sistemi di backup basati su disco protegge i dati a livello di blocco e utilizza il rilevamento dei blocchi modificati per proteggere i file man mano che vengono modificati. Il problema è che il ransomware modifica molti blocchi di archiviazione e il tuo sistema di backup finirà per eseguire il backup dei file ora crittografati.

In teoria, il software di backup dovrebbe essere in grado di ripristinare i dati al loro stato appena prima che si verifichi l'infezione. Per fare ciò, tuttavia, deve essere in grado di mantenere un numero sufficiente di punti di ripristino e deve essere in grado di proteggere i blocchi di archiviazione esistenti dalla modifica. L'utilizzo dell'archiviazione immutabile può aiutare a proteggere i backup da un attacco ransomware.

3. Tocca App anti-malware
Un'altra cosa che si può fare è incorporare la protezione anti-malware nel tuo server di backup. Ovviamente, ogni organizzazione ha la propria architettura di backup unica. Tuttavia, alcuni degli array di archiviazione più recenti hanno la capacità di eseguire app direttamente sull'hardware dell'array. I fornitori che abilitano tali funzionalità spesso forniscono l'accesso a un app store specifico per l'appliance in cui è possibile trovare applicazioni anti-malware. Le capacità variano ampiamente, ovviamente, ma è concepibile che un'app del genere sia in grado di rilevare un attacco ransomware in corso e fermarlo prima che possa causare danni ingenti.

4. Aumentare la frequenza
Infine, andrebbe data un'occhiata alla frequenza con cui si esegue il backup dei dati (l'obiettivo del punto di ripristino di cui ho parlato al punto 2). La frequenza di backup è il fattore principale che determinerà la quantità di dati che potrebbero essere potenzialmente persi in un attacco ransomware, anche se sei in grado di ripristinare completamente i tuoi backup.

Se, ad esempio, si esegue il backup dei dati ogni 15 minuti, si potrebbero potenzialmente perdere fino a 15 minuti di dati in un attacco, perché i dati non sono ancora stati sottoposti a backup e quindi non possono essere ripristinati.

fronte

F.I.

Se questo articolo ti è piaciuto, condividilo.