La minaccia più evidente che il ransomware porta con sé è il blocco delle attività e la richiesta di risorse importanti per ripartire

Ransomware? Non pagate, fate il backup!

A cura di Cristian Meloni, Country Manager Italy, Greece, Malta and Cyprus, Rubrik

Le aziende oggi generano una quantità di dati mai vista prima, che secondo IDC raggiungerà entro il 2020 il volume strabiliante di 40 zettabyte. Oltre a crescere in quantità, i dati hanno anche aumentato man mano la loro importanza, tanto da essere ormai considerati un asset fondamentale in tema di vantaggio competitivo, creazione di fatturato e operatività quotidiana delle organizzazioni di tutto il mondo.

Ovunque ci siano cose di valore, però, è facile che si presentino anche i criminali. E i cyber-criminali nello specifico sanno come colpire dove fa veramente male: dato che la gran parte delle aziende si affida ai dati anche per le operazioni più semplici, ogni perdita di questi dati può avere un impatto negativo sull’organizzazione.

Il ransomware rappresenta la combinazione ideale per i criminali che intendono capitalizzare sulla crescente dipendenza delle aziende dai dati. Se in fondo non si tratta di una novità, dover pagare per riscattare i propri dati può intaccare la fiducia dei clienti, oltre al conto economico dell’azienda.

È questione di “quando”, più che di “se”

Con attacchi ransomware zero-day che vengono sviluppati praticamente ogni giorno, sembra inevitabile che ogni azienda si troverà prima o poi a fronteggiare un attacco. Non solo: il Ransomware-as-a-Service (RaaS) rende le cose ancor più complesse, perché mette a disposizione la possibilità di lanciare questo tipo di attacchi anche a un pubblico non prettamente tecnico. Invece di scrivere un proprio codice, gli aspiranti cyber-criminali possono registrarsi preso un portale RaaS a loro scelta e distribuire immediatamente malware verso gli obiettivi desiderati. E anche con le migliori protezioni, nessun sistema può essere considerato immune rispetto a un attacco.

Il modo migliore per difendersi dal ransomware

Se la prevenzione è essenziale, gli attacchi malware si fanno sempre più sofisticati. Il 71% delle aziende prese di mira dal ransomware è stato in qualche modo infettato. Le aziende devono adottare un approccio olistico come risposta al ransomware, che integri resilienza tempestiva e prevenzione. Preparare una strategia di detection è fondamentale, ma può non bastare. Il nuovo ransomware può non essere trovato, perché il tradizionale software antivirus si basa su una identificazione basata su signature, che funziona solamente con le varianti ransomware già note. Dato che il ransomware si evolve tipicamente in modo molto veloce, questo software può non essere efficace.

Anche capire quali dati siano stati colpiti può rappresentare un problema. Con una visibilità limitata, si può essere addirittura costretti a confrontare manualmente le varie versioni per capire come sono stati modificati i dati nel tempo.

Un’efficace policy di identificazione deve includere:

  • un rilevamento di anomalie tramite modelli di machine learning; in questo modo, è possibile monitorare le variazioni e identificare rapidamente quando è avvenuto un determinato attacco ransomware
  • un’analisi dei dati che sono stati colpiti; analizzando l’ambiente si può mappare ogni variazione delle attività nel tempo, consentendo così di visualizzare all’istante l’impatto di un attacco sul proprio sistema.

Ma cosa fare se si viene colpiti? Innanzitutto, non cedere al panico. Ecco cosa è consigliabile:

  • Rispondere e isolare l’infezione
  • Effettuare un test prima del ripristino
  • Ripristinare
  • Effettuare un’analisi root cause

Il downtime è il vero killer

La minaccia più evidente che il ransomware porta con sé è il blocco delle attività e la richiesta di risorse importanti per ripartire. Il downtime può indispettire i clienti, demotivare lo staff e incidere sul fatturato. Anche se un’azienda si ferma “solamente” per un’ora, ponendo di avere mille dipendenti, si tratta comunque di mille ore/uomo perse. A marzo 2018, la città di Atlanta ha speso 2,6 milioni di dollari per riprendersi da un attacco ransomware del valore di 52 mila dollari.

Nel caso di un attacco, è necessario reagire in tempi brevi. L’aspetto positivo nel disporre di una soluzione efficace di cloud data management per il backup è che il ransomware diventa un semplice inconveniente.

Non tutti i backup sono uguali

Immaginate che uno o più sistemi non siano disponibili a causa di un attacco esterno. È una cosa che può succedere – il backup esiste per questo. Salvo poi scoprire che anche il backup è stato colpito nello stesso modo (ed è una cosa che è successa in passato). Tra l’altro, se un backup richiede talmente tanto tempo per ripristinarsi può avere un impatto finanziario o sul business.

Il ransomware non scomparirà tanto presto. Per questo, è fondamentale che le aziende di tutti i settori adottino una strategia di data management basata su una sicurezza multi-livello, su una automazione semplice e su un ripristino veloce. Se si dispone di un sistema certificato, che può essere ripristinato in modo semplice e veloce, non solo si può evitare il pagamento di un riscatto, ma si ha anche la possibilità di tornare all’operatività regolare in tempi brevissimi.

Sono passati ormai i tempi in cui un backup veniva utilizzato solo come forma di assicurazione. Nel mondo attuale, basato sui dati e con un rischio cyber quanto mai concreto, la protezione dei dati è diventata un aspetto critico per il business. Che un’azienda sia piccola o grande, investire saggiamente nel giusto livello di protezione consentirà al business di proseguire anche a fronte di eventi inaspettati, ma in fondo inevitabili.