In un mondo ideale, la vita nell’IT sarebbe così facile. Dopo che il ransomware attacca e cripta tutti i sistemi di produzione, i team IT reagiscono e ripristinano le applicazioni e i dati dai backup, mentre gli esperti forensi indagano sull’attacco e identificano il punto debole e la vulnerabilità. In questo scenario ideale, in cui la resilienza informatica è la norma, il tentativo di ricatto non porta a nulla.
Ma la realtà è questa: i criminali informatici di solito esaminano la struttura della rete e il sistema di backup nei primi giorni dopo essere riusciti a penetrare nella rete della vittima. Il loro obiettivo è trovare punti deboli e minare l’ultima linea di difesa. Il risultato? Secondo la società di analisi delle criptovalute Chainanalysis, negli ultimi due anni sono stati pagati circa 1,3 miliardi di dollari agli autori di attacchi ransomware a livello globale, facendo segnare un aumento significativo rispetto ai 152 milioni di dollari del 2019.
Tenendo conto di ciò, ogni azienda può applicare le best practice tecniche e organizzative per proteggersi da alcuni punti deboli.
Banale, ma essenziale: password e privilegi
L’amministratore principale dell’infrastruttura di backup possiede spesso il maggior numero di privilegi di accesso all’interno di un’organizzazione, perché, per definizione, lo strumento di backup deve essere in grado di accedere a tutti i sistemi di produzione importanti e di accedere ai dati. Se i sabotatori riescono a compromettere questo account chiave, tutti i dati di produzione saranno a rischio in un colpo solo. Per motivi di praticità, spesso è possibile gestire questo superutente, i suoi privilegi e le sue password tramite directory di utenti centrali come Active Directory. È importante separare questi due mondi, in modo che gli utenti siano elencati solo nel rispettivo ambiente di backup e disaster recovery. I power user dovrebbero ricevere profili utente che seguano il principio del “minimo privilegio” – solo i diritti di accesso necessari e il minor numero possibile. L’accesso a questi account deve essere ovviamente protetto dall’autenticazione multi-fattore.
Per registrare i dati di backup vengono utilizzati molti sistemi hardware, soprattutto negli ambienti di grandi dimensioni. Solo il personale autorizzato deve avere accesso fisico a questi sistemi, altrimenti un sabotatore potrebbe distruggere l’hardware e quindi i dati. I provider moderni utilizzano strumenti di manutenzione remota per accedere ai sistemi in modo sicuro e, ad esempio, installare una nuova immagine di avvio o accedere direttamente ai dischi rigidi. Dovrebbe essere possibile caricare una nuova immagine al volo durante le operazioni, compreso il rollback con un semplice clic del mouse per attivare rapidamente nuove funzioni o installare correzioni di bug.
Proteggere il flusso di comunicazione e rilevare tempestivamente le anomalie
Per eseguire il backup dei dati, i sistemi di backup devono essere in grado di comunicare tra loro e con le fonti di dati. Ciò richiede l’apertura di porte sui firewall. Per aumentare il livello di sicurezza e garantire una resilienza informatica, questo traffico deve essere trasportato su reti fisiche o logiche isolate.
I team IT devono capire esattamente quali protocolli e servizi vengono utilizzati nella rete per questo scopo. Ad esempio, alcuni provider utilizzano varianti meno sicure di protocolli come SNMPv2 per le attività amministrative, che dovrebbero essere sostituite da SNMPv3. Se si utilizza una nuova versione, è necessario utilizzare SHA e AES come algoritmi di autenticazione, in quanto più sicuri di MD5.
I dati tra la fonte e il backup devono essere crittografati, sia durante il trasferimento sia una volta raggiunta la destinazione. Se si vuole ottenere un’elevata resilienza informatica, è necessario insistere sul principio dell’immutabilità (backup immutabili), che deve essere integrato. Questo è fondamentale per garantire che i dati non possano essere modificati, crittografati o cancellati. E rende i backup immutabili uno dei modi migliori per combattere il ransomware, perché il backup originale rimane in gran parte inaccessibile.
Superare i conflitti organizzativi e gli strumenti legacy isolati
I team Security Operations e i team dell’infrastruttura IT vivono in due mondi spesso separati per scelta. Mentre i team SecOps vogliono regolare tutti gli accessi nel modo più rigoroso possibile, i team dell’infrastruttura IT devono poter accedere a tutti i sistemi importanti per il backup.
Non sorprende che molti di questi team non collaborino nel modo più efficace possibile per affrontare le crescenti minacce informatiche, come ha rilevato una recente survey di Cohesity. Tra gli intervistati che ritengono che la collaborazione tra IT e sicurezza sia debole, quasi la metà ritiene che la propria organizzazione sia di conseguenza più esposta alle minacce informatiche. Per una vera resilienza informatica, questi team devono lavorare a stretto contatto, poiché l’elevato numero di attacchi riusciti dimostra che i vettori di attacco stanno cambiando e non si tratta solo di difesa, ma anche di backup e recovery.
Ed è qui che diventa chiaro che, pur seguendo tutte le best practice, i difetti di progettazione del backup di base non possono essere risolti a meno che i team non siano disposti a modernizzare l’infrastruttura su tutta la linea. Una ricerca di Cohesity ha rilevato che una grande percentuale di aziende a livello globale (quasi il 50%) si affida a infrastrutture di backup e ripristino progettate nel 2010 o prima, molto prima dell’odierna era multicloud e dell’ondata di sofisticati attacchi informatici che affliggono le aziende a livello globale.
Se le organizzazioni vogliono raggiungere una vera resilienza informatica e recuperare con successo i dati critici anche durante un attacco, dovranno modernizzare la loro infrastruttura di backup e disaster recovery e migrare verso approcci moderni come una piattaforma di data management di nuova generazione.
I dati stessi dovrebbero essere riuniti per portare il modello Zero Trust ancora più avanti: in una piattaforma di gestione dei dati centralizzata basata su un file system iperconvergente e scalabile. Oltre a regole di accesso rigorose e all’autenticazione multi-fattore, la piattaforma dovrebbe generare snapshot immutabili che non possono essere modificati da alcuna applicazione esterna o utente non autorizzato.
Il data management di nuova generazione, come quello portato avanti da Cohesity, utilizza anche l’analisi supportata dall’Intelligenza Artificiale dei suoi snapshot di backup per identificare indicazioni di possibili anomalie. Queste possono essere trasmesse a strumenti di sicurezza di livello superiore di fornitori come Cisco o Palo Alto Networks, per esaminare il potenziale incidente in modo più dettagliato.
Qualsiasi ritardo nella risposta e nel recupero del ransomware può portare a un aumento dei tempi di inattività e a una maggiore perdita di dati. L’integrazione dei mondi SecOps e IT può aiutare a collegare in modo più efficace i processi di gestione e sicurezza dei dati. È la chiave per rimanere un passo avanti in caso di attacchi ransomware e per rafforzare la resilienza informatica di un’organizzazione.
di Manlio De Benedetto, Director System Engineering di Cohesity
