Veeam: le aziende devono imparare a convivere con il ransomware 1

Veeam: le aziende devono imparare a convivere con il ransomware

A cura di Edwin Weijdema, Field CTO EMEA and Lead Cybersecurity Technologist, Veeam.

Milano, 25 agosto 2023 – Secondo il Veeam Data Protection Trends Report 2023, lo scorso anno l’85% delle organizzazioni è stato colpito da almeno un attacco ransomware. Con quasi tutte le organizzazioni che subiscono questi attacchi, è chiaro che il problema non è solo diffuso, ma quasi inevitabile al giorno d’oggi. Anche se questo può sembrare scoraggiante, è riconoscendo il problema che possiamo gestire questa minaccia sempre presente. Vediamo quindi quali sono le soluzioni che le organizzazioni possono utilizzare per convivere con il ransomware.

L’assicurazione copre solo in parte

È chiaro che gli attacchi ransomware sono una minaccia molto reale e presente: lo vediamo ogni giorno, sia che guardiamo i telegiornali nazionali sia che siamo seduti in sala riunioni. Considerando l’ubiquità di questi attacchi, le organizzazioni devono essere consapevoli che un attacco ransomware non è più un caso di “se” sarete il bersaglio di un attacco, ma di “quanto spesso”. Mentre un gran numero di organizzazioni ha subito almeno un attacco lo scorso anno, il Veeam Data Protection Trends Report ha anche mostrato che poco meno della metà (48%) ha subito due o tre attacchi. Questa può sembrare una prospettiva schiacciante per un’organizzazione di qualsiasi dimensione, e la naturale conseguenza è che molti si rivolgono all’assicurazione informatica in cerca di un po’ di tranquillità.

L’assicurazione informatica può pagare i danni causati da un attacco ransomware, ma è importante ricordare che non può mai prevenire o annullare questi danni o l’effetto a catena che crea, come la perdita di clienti e di fiducia. L’educazione e la trasparenza, tuttavia, possono aiutare a prevenire i danni causati dal ransomware, ma a volte sono limitate dalle polizze di assicurazione informatica.

Con l’aumento delle minacce di ransomware, sono aumentate anche le clausole dei fornitori di assicurazioni informatiche. Il recente Veeam Ransomware Trends Report ha inoltre rilevato che oltre il 20% delle organizzazioni ha dichiarato che gli attacchi ransomware non sono coperti dal proprio fornitore di assicurazione informatica e, anche quando sono coperti, alcuni fornitori stabiliscono che le aziende non possono parlare pubblicamente della violazione. La spiacevole conseguenza è che la realtà degli attacchi ransomware, così comune, rimane nascosta come un segreto. Ci auguriamo che questa situazione cambi nei prossimi anni, perché è attraverso l’educazione degli altri, condividendo i nostri insegnamenti ed errori, che possiamo diventare più forti nella nostra difesa contro gli attacchi ransomware.

Questo perché parlare di attacchi ransomware aiuta a dissipare il mistero che li circonda. Nonostante la frequenza delle conversazioni sui ransomware nei media, molte persone non sanno come si svolgono: può sembrare che sia sufficiente premere un interruttore o un trucco magico, ma la realtà è molto più complicata e lunga di così. Tenendo presente che quasi tutte le organizzazioni saranno colpite da un attacco ransomware (molte probabilmente lo sono già state), la conoscenza dell’intero processo è essenziale per la preparazione e il successo del recupero.

Il ransomware è la bestia visibile

Le conversazioni sul ransomware raramente riconoscono che un attacco ransomware è il culmine di una serie di eventi orchestrati da malintenzionati. Il ransomware non compare all’improvviso, ma segue giorni, settimane, mesi o addirittura anni di preparazione. Vediamo cosa succede dietro le quinte.

I cattivi attori iniziano con una fase di osservazione. Durante questa fase, si limitano a osservare l’obiettivo per raccogliere informazioni su persone, processi e tecnologie per identificare le opportunità. Così come un ladro familiarizza con le entrate e le uscite di un edificio e con chi vi abita, anche i criminali informatici vogliono sapere con chi hanno a che fare.

Dopodiché, è il momento di entrare nell’edificio. Per i criminali informatici, questo si ottiene inviando link di phishing o simili, per consentire l’ingresso e la creazione di una base operativa all’interno dell’infrastruttura dell’obiettivo. A questo punto, rimangono nascosti, ma questo consente loro di arrecare danni significativi. In questa fase gli aggressori esfiltravano i dati e potevano anche distruggere i backup in modo del tutto inosservato, fino a quando non rendevano nota la loro presenza al momento di lanciare la fase finale, l’attacco e la richiesta di ransomware.

La scoperta di questo processo completo è naturalmente sconvolgente: i team di sicurezza non devono solo affrontare le minacce visibili, ma anche alcuni nemici sconosciuti e invisibili che potrebbero nascondersi sullo sfondo in qualsiasi momento. Tuttavia, il detto “sapere è potere” si dimostra ancora una volta vero. Le organizzazioni possono utilizzare queste informazioni per sviluppare la strategia di backup e di recupero dei ransomware più solida possibile.

Non affidatevi alla fortuna

Sebbene gli attacchi ransomware siano inevitabili, la perdita di dati non deve essere necessariamente tale. Infatti, se si prendono le giuste precauzioni, è possibile ottenere una resilienza del 100%. Potrebbe sembrare troppo bello per essere vero, ma con alcuni elementi chiave, qualsiasi azienda può sviluppare una strategia di protezione dei dati a prova di bomba.

Questo aspetto si articola in tre parti. In primo luogo, i team di sicurezza devono assicurarsi di avere una copia immutabile dei propri dati, in modo che gli hacker non possano alterarli o criptarli in alcun modo. Poi, devono criptare i dati in modo che, in caso di furto o violazione, gli hacker non possano accedervi o utilizzarli.

La fase più importante per sigillare la fortezza è quella che chiamiamo la regola del backup 3-2-1-1-0. Ciò significa mantenere un minimo di 3 copie dei dati, in modo che anche se due dispositivi sono compromessi o si guastano in qualche modo, si ha comunque una copia aggiuntiva, ed è molto più improbabile che tre dispositivi si guastino. Le organizzazioni dovrebbero inoltre archiviare questi backup su due tipi diversi di supporti, ad esempio una copia su un disco rigido interno e un’altra nel cloud. Una di queste copie dovrebbe essere sempre conservata in un luogo sicuro fuori sede e una dovrebbe essere tenuta offline (air-gapped) senza alcun collegamento con l’infrastruttura IT principale. La fase 0 è forse la più importante di tutte: i backup non devono presentare errori. Questo può essere garantito da test regolari e da un costante monitoraggio e ripristino.

Seguendo questi accorgimenti, le organizzazioni potranno stare tranquille quando un attacco ransomware inevitabilmente colpirà, perché saranno sicure di aver chiuso le porte agli hacker.

Il risultato finale

Le organizzazioni prima o poi dovranno affrontare un attacco ransomware: questa è la realtà del mondo in cui viviamo oggi, ma con la crescente consapevolezza aumenta anche la preparazione. Anche se un attacco informatico porterà sempre il caos, con la giusta strategia è possibile renderlo controllabile e, alla fine, questo fa la differenza.

A proposito di Veeam Software
Veeam, il fornitore numero uno a livello globale per la Data Protection e il Ransomware Recovery, offre alle organizzazioni resilienza attraverso la sicurezza, il recupero e la libertà dei dati per il cloud ibrido. La Veeam Data Platform offre un’unica soluzione per ambienti cloud, virtuali, fisici, SaaS e Kubernetes e garantisce alle aziende la tranquillità di sapere che le loro applicazioni e i loro dati sono protetti e sempre disponibili, in modo da poter continuare a far funzionare le loro attività. Con sede centrale a Columbus, Ohio, e uffici in più di 30 paesi, Veeam protegge oltre 450.000 clienti in tutto il mondo, tra cui l’82% delle Fortune 500 e il 72% delle Global 2000. L’ecosistema globale di Veeam comprende oltre 35.000 partner tecnologici, rivenditori, fornitori di servizi e partner di alleanza. Per saperne di più, visita www.veeam.com o segui Veeam su LinkedIn @veeam-software e Twitter @veeam.

This will close in 20 seconds

Translate »