Diventa Autore per CoreTech | Scopri di più
22/02/24 CoreTech Blog
I disastri assumono diverse forme, ma gli attacchi informatici come i ransomware continuano a far parlare di sé sui giornali, dimostrando che rappresentano la tipologia di disastro più preoccupante.
I professionisti IT e i fornitori di servizi gestiti devono prepararsi a rispondere in modo tempestivo e appropriato iniziando a informarsi sui problemi principali e sui potenziali errori che fanno la differenza.
I ricercatori nell’ambito della sicurezza informatica hanno registrato l’aumento del 21% degli attacchi ransomware tra il primo e il secondo trimestre del 2022, a causa del significativo aumento dell’attività di tre delle principali aree produttive.
Gli Stati Uniti sono l’area più interessata e hanno registrato quasi il 40% di tutti gli incidenti. Germania e Regno Unito seguono, rispettivamente al secondo e al terzo posto.
I tradizionali disastri come incendi, inondazioni o guasti hardware danno la priorità al ripristino istantaneo per ridurre al minimo i tempi di inattività.
In queste situazioni è un buon approccio, ma il ripristino istantaneo nell’ambiente di produzione non rappresenta la soluzione ideale in caso, invece, di attacchi informatici. In questa circostanza, la rete somigli a una vera e propria scena del crimine che richiede requisiti differenti da quelli di un tradizionale disaster recovery.
Gli esperti di rischi e conformità di Arcas Risk Management suggeriscono diverse best practice fondamentali per la sicurezza informatica: nell’era post-COVID che ha visto la diffusione del lavoro da remoto, un’adeguata soluzione per il backup e la protezione dei dati è stata aggiunta all’elenco dei requisiti critici, insieme a strumenti quali antivirus o rilevamento e risposta per gli endpoint, firewall, monitoraggio della sicurezza 24 ore al giorno, tutti i giorni e l’impiego dell’autenticazione a più fattori.
Queste precauzioni sono particolarmente importanti se consideriamo il grado di commercializzazione dei ransomware, aumentando a dismisura il numero dei criminali in grado di implementarli, che vanno ad aggiungersi agli esperti o ai vari stati.
È sempre più chiaro che questo tipo di crimini finanzia chi li commette e pagare il riscatto non sempre garantisce il ripristino sicuro dei dati. Di fatto, dimostrare la volontà di pagare il riscatto potrebbe favorire altri attacchi; secondo una ricerca, infatti, l’80% delle aziende che ha pagato il riscatto ha subito un altro attacco, spesso per mano degli stessi criminali. Un altro aspetto da considerare è che il ransomware si è evoluto e si rivolge sempre di più alle infrastrutture di backup nel tentativo di evitare che le aziende recuperino i dati con la speranza che paghino il riscatto.
A differenza dei tradizionali disastri naturali o fisici, il piano di ripristino per un attacco informatico dovrebbe far parte di una più ampia strategia di risposta agli incidenti che non si limiti a recuperare i dati da un backup recente funzionante. Arcas consiglia una strategia composta da quattro livelli
Troppo spesso, i professionisti IT che implementano il tradizionale disaster recovery si lasciano sfuggire i più ampi requisiti di risposta agli incidenti e non si coordinano con i colleghi degli altri team. Le discussioni informali aiutano a pianificare i diversi aspetti e a preparare l’azienda agli attacchi praticamente inevitabili.
Come già detto in precedenza, un ripristino istantaneo troppo frettoloso in ambiente di produzione potrebbe potenzialmente reintrodurre il malware nell’ambiente.
Meglio sarebbe eseguire il ripristino in una sede secondaria separata, così che l’attività possa riprendere senza influire sulle indagini forensi contaminando la “scena del crimine”.
Un altro modo di considerare il ransomware è ricordarsi che alla base vi è un reale problema legato alla gestione dei rischi e non solo una complessità tecnica.
Questo deve portare ad aumentare l’adozione dell’assicurazione informatica, ma l’idoneità a tale tipo di copertura comporta domande e requisiti aggiuntivi, oltre che indubbi vantaggi.
L’assicuratore informatico probabilmente necessiterà di informazioni circa l’igiene informatica complessiva implementata in azienda, ad esempio i criteri di sicurezza adottati, registri di backup, del controllo degli accessi e il registro eventi.
Potrebbe inoltre suggerire di investire in strumenti di gestione importanti oltre che di nominare un team addetto alla risposta agli incidenti, se non è già presente. Potrebbe inoltre fornire le risorse utili per formare i dipendenti su phishing e altre minacce.
Anche solo prepararsi a ottenere tutti i requisiti necessari per sottoscrivere una polizza assicurativa informatica potrebbe migliorare l’approccio alla sicurezza presente in azienda.
La maggior parte dei tradizionali prodotti per il backup è stata concepita per disastri naturali e fisici e i tentativi per adattarli ai moderni ripristini informatici comporterebbero ulteriori complessità e altre copie di dati di backup, archiviate in altri luoghi.
In realtà, non sono necessarie altre copie e ulteriori complessità per prepararsi al ripristino da ransomware.
Di fatto, un’architettura di protezione dei dati basata su cloud riduce le vulnerabilità rimpicciolendo la superficie di attacco e semplificando al contempo la procedura di ripristino.
I prodotti per il backup tradizionali sono stati progettati per il backup in locale e memorizzano le copie di backup sulla rete locale.
La popolare strategia di protezione dei dati “3-2-1” comportava la replica o la presenza di una seconda sede di archiviazione. Quindi, le copie di standby venivano aggiunte a un vault in attesa del ripristino.
Successivamente, quando sono stati compresi i vantaggi dello storage cloud, molti fornitori di soluzioni di backup hanno implementato la possibilità di aggiungere un’altra copia ancora archiviandola su cloud.
Questa catena di eventi ha comportato una serie complessa di criteri che richiedono una opportuna gestione e tempo extra del personale per gestire tutte le fasi della procedura.
I criminali informatici tenteranno di avere accesso alla tua rete in una serie di modalità. Sono diversi i vettori di attacco comunemente utilizzati rispetto ai quali le applicazioni di backup on premise tradizionali restano vulnerabili.
Alcuni gruppi e tecniche cercano specificamente nella rete locale i file di backup di fornitori noti e li eliminano o li sottopongono a crittografia, sbarrando di fatto una strada per il ripristino
Potrebbero anche eliminare o disabilitare il server applicazioni di backup. Optando per la protezione dei dati basata su cloud come servizio, puoi ridurre la vulnerabilità agli attacchi ransomware in tre modi
