Ransomware e backup: doppia protezione

834

Un modo sicuro ed efficace contro questa temibile minaccia

Il Ransomware non cessa di essere un tema molto caldo. Basta andare sul sito di un qualsiasi vendor di sicurezza per trovare articoli, white paper e webinar che spiegano come è possibile difendersi da un attacco, o alla peggio ripristinare una situazione messa in pericolo o compromessa. Tuttavia, con la distinzione tra software primario e secondario che si fa sempre più labile, in molti continuano a ignorare il fatto che gli stessi backup possano essere oggetto (un oggetto molto interessante, peraltro) di un attacco ransomware. E se vengono compromessi i dati di backup, la situazione che si crea potrebbe essere critica.

Un recente sondaggio che abbiamo condotto su Twitter mostra come una buona parte dei possibili interessati stia iniziando a porsi il problema. E se un dato degno di nota è la presenza ancora rilevante del nastro, è sicuramente positivo che il cloud storage sia in cima alla lista delle opzioni per il “backup del backup.”

Schermata 2017-04-20 alle 09.13.16

E’ molto preoccupante invece l’ultimo dato, con il 29% degli interpellati che dichiara di fatto di non avere un piano.

Ma come si può pensare di proteggere un asset tanto importante per l’azienda, come il backup dei propri dati? Sono diverse le considerazioni di fondo che dovrebbero essere prese in esame e affrontate:

  1. Mantenere i sistemi aggiornati: Può sembrare banale, ma un sistema operativo non aggiornato, come del resto un applicazione datata, è un invito aperto per il malware.
  2. Proteggere gli accessi: Altra indicazione abbastanza ovvia, ma è fondamentale dotarsi di un doppio livello di sicurezza, con un’autenticazione a due fattori. In questo modo, l’eventuale compromissione di uno non mette a rischio l’intero ambiente. Molte delle più avanzate forme di ransomware raccolgono informazioni sugli account e password in modo da poter superare anche i controlli di livello superiore e fare danni ancora maggiori.
  3. Mantenere una copia separata del backup offsite: La replica qui non è sufficiente! Replicare dati compromessi significa solo avere più copie degli stessi dati non utilizzabili. Questo è anche oggetto di discussione da parte di molti vendor di soluzioni di backup incentrate sulle appliance, che sottolineano come il loro storage sia di fatto intoccabile, e quindi non ci sia bisogno di una seconda copia isolata o separata. Cosa vera finché il malware non ottiene accesso all’account di amministratore dell’appliance e cambia la password o addirittura cancella le impostazioni di backup. In questo caso ci si troverebbe con un backup intoccabile, ma anche inaccessibile!
  4. Dotarsi di uno strumento di detection: Vanno bene i piani di ripristino, ma come accorgersi subito di essere stati colpiti? Sono pochi, se ci sono, i vendor di soluzioni di backup che hanno puntato la lente della sicurezza su se stessi, per identificare e avvisare gli amministratori di eventuali compromissioni. La piattaforma Commvault ha una serie di meccanismi integrati, che aiutano a individuare e segnalare possibili incidenti ransomware, non solo relativi ai nostri sistemi, ma ad ogni sistema con cui la piattaforma stessa entra in contatto. Non è solo questione di proteggere se stessi, quanto di operare per scoprire se c’è un problema, in modo da risolverlo velocemente riducendo al minimo i danni.

Anche le organizzazioni che non hanno ancora affrontato lo scenario preoccupante di una compromissione del backup, devono probabilmente iniziare a considerarlo, proprio perché si tratta di una situazione sempre meno improbabile. Se i backup sono un obiettivo allettante per malware e ransomware, è certo il caso di farsi trovare pronti!

A cura di Commvault