di Nigel Tozer, Solutions Marketing Director EMEA di Commvault
Il rischio di un attacco ransomware è in crescita. La disponibilità e il facile accesso a kit di strumenti pericolosi, spesso indicati come Ransomware-as-a-Service, o RaaS, rendono più semplice colpire aziende singole o gruppi e gli attacchi possono essere realizzati in maniera più efficace quando vengono combinati a tecniche di ingegneria sociale, con costi per le aziende che possono estendersi fino a centinaia di milioni. In molti si stanno domandando come prevenire il ransomware. Nessuna tecnologia di sicurezza è corazzata, ma ci sono numerose attività preventive da mettere in campo per mitigare sia il rischio che l’impatto di un attacco di questo tipo.
- Aggiornare le patch
Molti attacchi ransomware hanno sfruttato vulnerabilità relativamente note e le aziende che avevano politiche di patching robuste hanno evitato di essere colpite. Il modello Ransomware-as-a-Service cerca di sfruttare falle di sicurezza a ritmi sempre più rapidi, per incrementare opportunità e profitti. Finora, nessun exploit “zero days” è diventato un attacco ransomware, ma gli specialisti ritengono sia solo una questione di tempo. Le attività di patching possono essere ostacolate dai comandi di modifica, che potrebbero avere impatto su utenti e sistemi di produzione.
Per questo motivo, è necessario un approccio pragmatico e bilanciato tra fast-patching e affidabilità, che conferma l’esigenza di sistemi di ripristino rapido e di patch compatibili con il backup.
- Proteggere i piani di Disaster Recovery
Un problema comune dopo un attacco ransomware è la perdita completa dei controlli di sistema e dei piani di disaster recovery, un rischio per ogni documento digitale. Quindi è importante che l’accesso completo ai piani di DR sia garantito in ogni circostanza. Se non si sono mai subite gravi interruzioni a causa di malware, difficile da immaginare, e quindi non si capisce quali attività intraprendere, il blocco sarà ancora più esteso, da ore a giorni o settimane.
- Difesa robusta
Bloccare il malware è praticamente impossibile, quindi provare a individuarlo il prima possibile è il passo successivo da realizzare. I PC sono solitamente il primo punto di accesso, per cui sono necessarie almeno tecnologie antivirus moderne, training del personale, analisi e patch dei gateway e firewall configurati in modo appropriato. È importante andare oltre la sicurezza tradizionale per ottenere maggiore protezione. Il software di backup è in grado di svolgere un ruolo nella rilevazione e segnalazione di attacchi ransomware, in particolare quando è distribuito su desktop e sistemi produttivi.
- Intelligenza Artificiale e automazione per aumentare la protezione
Molte aziende si stanno affidando all’Intelligenza Artificiale per supportare, nella sicurezza e nel backup, le componenti fondamentali di difesa dal malware. I sistemi di backup, ad esempio, controlleranno i dati e i file modificati su base quotidiana, e con l’Intelligenza Artificiale sarà possibile valutare quali cambiamenti siano normali, inviando alert in caso di incidenti sospetti. Inoltre, si può prolungare l’archiviazione in modo automatico, in modo tale che i backup precedenti vengano conservati fino alla verifica dell’anomalia. Un reporting avanzato si accompagna ad analisi approfondite su eventuali gap per fornire informazioni su potenziali errori nel processo di ripristino. Facendo leva sull’IA è possibile riorganizzare le iniziative e gli orari di backup anche nei più complessi ambienti di cloud ibrido, creando il luogo migliore per il recovery.
- Adottare un approccio ‘Recovery Ready’
Un attacco malware importante può cambiare i piani in modo significativo. Le dipendenze di sistema creano blocchi del ripristino, le comunicazioni si azzerano, i piani sfumano e le priorità di recovery cambiano come la sabbia nel deserto. Potrebbe essere necessario costruire un nuovo data center per il ripristino. È quindi fondamentale avere un sistema di backup robusto dotato di propri strumenti di difesa, senza il quale le chiavi di crittografia potrebbero essere violate e pagare il riscatto potrebbe essere l’unica opzione, considerando che l’obiettivo dell’attacco non è la sola distruzione dei sistemi.
Tuttavia, la prontezza di ripristino non riguarda solo la creazione di backup sicuri, ma comprende il raggiungimento degli obiettivi richiesti, nell’ordine e nei gruppi di sistemi corretti e su target diversi – anche su cloud – mentre il contesto esterno è nel caos. La prontezza di ripristino è legata al supporto disponibile quando necessario, ad avere un sistema di backup affidabile e a un piano completo che sia controllato e testato con regolarità.
Le minacce in circolazione oggi superano la disponibilità, di conseguenza è importante rivedere il sistema di backup. Potrebbe essere sorprendente scoprire quanto questa tecnologia sia cambiata.