NAKIVO > Blog

Come proteggere i backup dal ransomware con la scansione antimalware di NAKIVO

Aggiornato: Gennaio 16, 2026

Written by: NAKIVO Team

& & &< <>I backup sono diventati uno degli obiettivi principali dei ransomware. Gli hacker vogliono assicurarsi che le aziende paghino il riscatto impedendo loro di ripristinare i dati in modo indipendente. Con NAKIVO Backup & Replication, si ottengono diverse funzioni (ad esempio, destinazioni di backup immutabili) per garantire che, una volta creato, un backup non possa essere infettato o danneggiato da una nuova infezione ransomware. Tuttavia, come si può impedire che un’infezione da malware esistente, che potrebbe essere latente nell’ambiente di produzione, si propaghi ai backup?

Il ransomware può essere sofisticato e, dopo aver infettato un computer, può rimanere inattivo prima di essere attivato per distruggere i dati. Quando viene eseguito il backup di un computer virtuale o fisico infettato da ransomware con crittografia ritardata, il malware può rimanere latente all’interno del backup. Se il backup infetto viene successivamente ripristinato, il ransomware può potenzialmente riattivarsi, avviando il processo di crittografia nel tempo. Questo scenario può portare alla reinfezione dei sistemi e alla crittografia dei dati appena ripristinati, ponendo un rischio significativo per l’integrità della vostra infrastruttura.

In questo post, spieghiamo due modi per utilizzare la scansione dei backup per rilevare i malware in NAKIVO Backup & Replication per garantire che i backup creati siano puliti e pronti per un ripristino sempre efficace.

See the Solution in Action

See the Solution in Action

Get a personalized demo of any feature to get started in no time. Our engineers are here to help and answer any questions you may have.

Book a Free Demo

NAKIVO Best Practices per il ripristino da ransomware

NAKIVO Backup & La replica ti aiuta a garantire di disporre di un numero sufficiente di copie dei dati critici in diverse ubicazioni per poterli ripristinare correttamente dopo qualsiasi incidente.

Alcune delle procedure consigliate per il ripristino da ransomware sono:

  • Applicando la Strategia di backup 3-2-1. Creare backup a intervalli regolari per assicurarsi di avere almeno tre copie dei dati. Almeno due copie devono essere archiviate su due supporti diversi e almeno una copia deve essere archiviata offsite. Un criterio di conservazione adeguato, ad esempio utilizzando lo schema di conservazione grandfather-father-son , vi garantirà un numero sufficiente di punti di ripristino per scegliere una copia pulita nel caso in cui la vostra infrastruttura fosse colpita da un attacco ransomware.
  • Immutabilità. Archivia una delle copie di backup su storage immutabile o storage con protezione air-gap. L’archiviazione immutabile consente di scrivere un backup una sola volta, ma senza la possibilità di modificare o eliminare i dati in seguito da parte di ransomware. L’archiviazione con protezione air-gap è un supporto di archiviazione che viene fisicamente scollegato dopo la scrittura di un backup e che non consente al ransomware di accedere fisicamente a questi dati. NAKIVO Backup & Replication supporta diversi target immutabili.
  • Integrazione tra software di backup e antivirus. È consigliabile utilizzare un software antivirus per il rilevamento delle minacce su macchine fisiche e VM. Il software antivirus è in grado di rilevare ed eliminare la maggior parte dei tipi di virus. È inoltre consigliabile utilizzare il rilevamento delle minacce per i backup integrando l’antivirus con la soluzione di backup, in modo da disporre di backup puliti per ripristini puliti. È possibile utilizzare la scansione dei backup per rilevare i malware in NAKIVO Backup & Replication, utilizzando l’indirizzo & .
  • Replica e DR. Utilizza la replica, sia regolare che in tempo reale, per il failover e il ripristino completo dell’ambiente nel caso in cui il ransomware metta fuori uso la tua infrastruttura e tu debba iniziare alle tue macchine in una diversa ubicazione.

Protezione dei backup con la scansione dei backup per rilevare i malware di NAKIVO

La funzione di scansione dei backup per rilevare i malware di in NAKIVO Backup & Replication consente di integrare software antivirus e scansionare i backup per rilevare i malware.

Come funziona la scansione dei backup per rilevare i malware di NAKIVO Backup

I dischi della macchina fisica o virtuale vengono esposti direttamente dal backup come dischi virtuali. Vengono quindi avviati sul server hypervisor selezionato, come un host ESXi, Hyper-V, Nutanix, macchine Linux/Windows e VMware Cloud Director.

Nel caso di un host ESXi, i dischi virtuali vengono collegati come destinazione iSCSI a una VM temporanea sull’host ESXi. Anche i dischi virtuali delle VM vengono collegati al Server di scansione come destinazione iSCSI. Di conseguenza, l’antivirus in esecuzione sul Server di scansione può eseguire la scansione dei dischi/volumi montati come destinazione iSCSI, in modo simile a come l’antivirus esegue la scansione dei dischi locali.

Di seguito sono riportati alcuni requisiti da soddisfare affinché la funzione funzioni:

  • Il servizio iniziatore iSCSI deve essere in esecuzione sul server di scansione.
  • Un agente è installato sul Server di scansione per collegarlo con i componenti NAKIVO Backup & Replication necessari. & >

Nota: Il Transporter installato sul computer con il repository di backup può essere utilizzato per impostazione predefinita come Server di scansione per eseguire la scansione dei backup in questo repository di backup. È possibile utilizzare questa opzione predefinita se l’antivirus è installato sul computer con un repository di backup.

È possibile controllare l’elenco completo dei requisiti e dei software antivirus supportati .

L’ambiente utilizzato nella procedura guidata

Questa funzione può essere utilizzata subito dopo aver creato un backup per risparmiare tempo in seguito, quando è necessario ripristinare rapidamente un oggetto o una macchina, oppure appena prima del ripristino, se si desidera assicurarsi che il punto di ripristino sia privo di infezioni.

Forniamo i flussi di lavoro per entrambi gli scenari di seguito utilizzando quanto segue nel nostro ambiente:

  • NAKIVO Backup & Replication v.10.11 virtual appliance: 192.168.101.211
  • Un server di scansione con antivirus: Windows 10 x64 (192.168.101.225)
  • ESET NOD 32 Antivirus v.16 installato su un server di scansione
  • ESXi 7.0: 192.168.101.201
  • ESXi 7.0: 192.168.101.202 (entrambi gli host ESXi sono stati aggiunti all’inventario)
  • Una VM Windows su ESXi 7.0
  • Un backup di una VM Windows in un repository di backup di NAKIVO Backup & Replication & Replication

Un lavoro di backup è pianificato per essere eseguito quotidianamente.

Abbiamo installato l’antivirus con le impostazioni predefinite in modalità di prova.

Nota: NAKIVO non fornisce licenze per il software antivirus. È necessario utilizzare una chiave di prova o acquistare manualmente la licenza antivirus.

Aggiunta di un server di scansione

NAKIVO Backup & Replication supporta le scansioni di backup eseguite dal software antivirus installato su un server di scansione disponibile tramite la rete:

  • Un server di scansione può essere una macchina fisica o virtuale Windows/Linux su cui è in esecuzione il software antivirus. Per il server di scansione sono supportate le versioni client e server dei sistemi operativi Linux e Windows.
  • Un server di scansione deve essere in grado di stabilire una connessione di rete con NAKIVO Backup & Replication & Replication.

Nota: Si consiglia di utilizzare un server di scansione in esecuzione su Linux per eseguire la scansione dei backup Linux e server di scansione in esecuzione su Windows per eseguire la scansione dei backup Windows. I server di scansione Linux possono eseguire la scansione dei backup Windows nei casi d’uso più comuni. Tuttavia, l’idea è che il sistema operativo del server di scansione deve essere in grado di comprendere il file system della macchina di cui è stato eseguito il backup.

Procediamo aggiungendo prima un server di scansione all’inventario nell’interfaccia web della soluzione NAKIVO.

  1. Vai a Impostazioni > Inventario, fare clic sull’icona e fare clic su Server di scansione.

    Adding a scan server in NAKIVO Backup & Replication

  2. Inserisci i parametri del nuovo server di scansione che stai aggiungendo:
    • Nome di visualizzazione: ScanServer01
    • Piattaforma: Windows oppure Linux – questo è il sistema operativo del computer su cui è installato l’antivirus
    • Nome host o IP: Inserisci il nome host o l’indirizzo IP del server di scansione
    • Tipo di credenziali: Password (o chiave privata)
    • Nome utente: Un account utente con autorizzazioni sufficienti, ad esempio l’amministratore
    • Password: La password di questo account utente

    Impostare il carico massimo, ovvero il numero massimo di attività simultanee.

    Dopo aver inserito tutti i parametri obbligatori per il server di scansione, fare clic su Esegui test della connessione.

    Se il servizio iniziatore iSCSI non è avviato sul server di scansione, viene visualizzato un messaggio che lo informa, come mostrato di seguito.

    Adding a new scan server and connection test

  3. Per avviare il servizio iniziatore iSCSI su un computer Windows:
    • Aprire Gestione computer premendo Win+R, quindi nella finestra di dialogo Esegui, digitare compmgmt.msce premere Invio.
    • Andare a Servizi e applicazioni > Servizie passare a Servizio iniziatore iSCSI. È possibile avviare il servizio una volta sola o configurarlo in modo che si avvii automaticamente all’avvio di Windows.
  4. Fare clic con il pulsante destro del mouse su Servizio iniziatore iSCSI e selezionare Proprietà.

    Starting the iSCSI initiator service on the scan server (Windows 10)

  5. Nella finestra delle proprietà del servizio, impostare il tipo di avvio su Automatico e fare clic su Avvio. Quindi premi OK per salvare le impostazioni.

    Starting iSCSI initiator on Windows 10 in automatic mode

  6. Torna all’interfaccia web di NAKIVO Backup & Replication & Replication e clicca su Esegui test della connessione di nuovo. Il test della connessione dovrebbe ora avere esito positivo. Esegui test della connessione su Aggiungi per terminare l’aggiunta del nuovo server di scansione.

    Nota: Se il test non va a buon fine, assicurarsi che il firewall non stia bloccando la connessione di rete e che tutti i requisiti siano soddisfatti.

    A connection with a scan server has been tested successfully

  7. Il nuovo server di scansione viene ora visualizzato nell’elenco dei server di scansione. È possibile chiudere questa finestra nell’interfaccia web.

    A scan server has been added

Una volta aggiunto il server di scansione, è possibile configurare le scansioni di backup per rilevare i malware.

Scansione dei backup alla ricerca di malware prima del ripristino

È possibile eseguire scansioni antimalware in NAKIVO Backup & Replication prima di procedere con il ripristino dei seguenti tipi di lavori di backup:

  • VMware vSphere VM
  • VM Microsoft Hyper-V
  • Nutanix AHV VM
  • VMware Cloud Director
  • Macchina fisica
  • Avvio flash delle VM
  • Oggetto universale

In questo esempio, utilizziamo un processo di avvio flash delle VM per la scansione antimalware prima del ripristino:

  1. Vai a Lavori e seleziona il lavoro di backup che include i backup delle macchine che desideri controllare alla ricerca di virus e malware. Nel nostro caso, si tratta del lavoro di backup di VMware Windows VM .
  2. Una volta selezionato il lavoro di backup, clicca su RipristinaE, nel menu di ripristino, clicca su Avvio flash per VMware.

    Adding a new Flash VM boot job for a VMware VM

Il Nuova procedura guidata Avvio flash per VMware si apre:

  1. Backup. Seleziona i backup dal lavoro di backup necessario che si desidera sottoporre a scansione antivirus. È possibile selezionare più backup. Selezioniamo Windows-VM, che è l’unica macchina di cui è stato eseguito il backup nei nostri backup. Fare clic su Avanti in ogni fase della procedura guidata per continuare.

    Selecting a backup of a VMware VM for a flash VM boot job with a malware scan

  2. Destinazione. Selezionare dove eseguire la VM temporanea con i dischi virtuali collegati da un backup. Le opzioni di destinazione includono un host ESXi, un archivio dati ESXi, una rete virtuale e una cartella della VM (facoltativa). L’host ESXi selezionato è già stato aggiunto all’inventario NAKIVO.

    Selecting a destination ESXi host to run a temporary VM

  3. Pianifica. Configurare la pianificazione o selezionare per eseguire questo lavoro di avvio flash delle VM su richiesta. Poiché desideriamo eseguire la scansione antivirus di un backup prima del ripristino, selezioniamo l’esecuzione di questo lavoro su richiesta.

    Selecting scheduling options for a Flash VM boot job

  4. Opzioni. Configurare le opzioni dell’avvio flash delle VM.
    • Immettere il nome del lavoro.
    • Per l’opzione Rilevamento malware fare clic su Abilitato.

    Selezionare le impostazioni di rilevamento malware nella finestra pop-up che appare:

    • Server di scansione: Selezionare il server di scansione aggiunto in precedenza all’inventario.
    • Tipo di scansione: Scansione approfondita o Scansione rapida. La scansione rapida viene utilizzata per eseguire la scansione delle ubicazioni standard su un disco del sistema operativo (partizione) tipicamente utilizzate dai virus. La scansione approfondita esegue la scansione di tutti i file.
    • Selezionare il comportamento in caso di rilevamento di malware: Interrompere il processo di ripristino o Continuare e ripristinare su una rete isolata.
    • Impostare il timeout di scansione. Se il tempo impostato viene superato, il lavoro viene terminato con lo stato di errore.

    Una volta configurato, fare clic su Applica per salvare le impostazioni di rilevamento malware per questo lavoro.

    Quindi fare clic su Termina & Esegui per terminare la procedura guidata ed eseguire l’avvio flash delle VM con la scansione antimalware.

    Enabling and configuring malware detection in options

  5. Seleziona l’ambito di esecuzione del lavoro e premi Esegui.

    Running the Flash VM Boot job for all VMs

Ogni disco virtuale della VM temporanea avviata sull’host ESXi viene esposto come target iSCSI e montato sul server di scansione.

Attendere fino a quando la VM temporanea non viene creata sull’host ESXi e i dischi virtuali non vengono montati e sottoposti a scansione alla ricerca di malware e virus.

Nella schermata sottostante è possibile vedere che il processo Flash Boot è in esecuzione e che sono stati rilevati 2 problemi. Fare clic sul 2 problemi link per visualizzare i dettagli della scansione antimalware.

2 issues were found after scanning a backup for viruses

Come possiamo vedere, 2 problemi richiedono la nostra attenzione. Fare clic su Visualizza dettagli per visualizzare ulteriori informazioni. Dopo la scansione antimalware del backup della VM, l’antivirus ha trovato due file che potrebbero essere sospetti e che sono considerati malware dall’antivirus.

The report of malware scan of the backup in NAKIVO Backup & Replication

Si noti che l’avvio flash delle VM non si interrompe automaticamente. È necessario interrompere manualmente questo processo dopo aver completato la scansione antimalware e aver controllato il rapporto di scansione dell’antivirus.

Scansione alla ricerca di malware subito dopo il backup

Per automatizzare le scansioni alla ricerca di malware dopo un lavoro di backup, è necessario utilizzare le funzionalità della soluzione Site Recovery :

  1. Vai a Lavori nell’interfaccia web di NAKIVO Backup & Replication, fai clic su + per aggiungere un nuovo lavoro, quindi fai clic su Ripristino dell’ambiente.

    Adding a new site recovery job

  2. Il Si apre la procedura guidata Nuovo lavoro di ripristino dell’ambiente . Al passaggio Azioni fare clic su Esegui lavori per aggiungere l’azione Esegui lavoro alla sequenza di azioni per un lavoro di ripristino dell’ambiente.

    Adding the Run Jobs action in a new site recovery job

  3. Selezionare un lavoro da eseguire. Selezionare il lavoro Avvio flash per la scansione antimalware VMware creato come descritto nella sezione precedente.

    Selezionare le opzioni di azione:

    • Esegui questa azione in: Esegui questa azione sia in modalità di test che in modalità di produzione
    • Comportamento dell’attesa: Avvia l’azione successiva immediatamente

    Premi Salva per salvare questa azione del lavoro di ripristino dell’ambiente e continuare a configurare altre azioni.

    Selecting a Flash VM boot job to run as the first action in the site recovery job

  4. Aggiungi l’azione Attendi come seconda azione da eseguire subito dopo l’avvio dell’Avvio flash delle VM.

    Adding the Wait action as the second action in the site recovery job

  5. Configurare l’azione Attendere . Impostare un tempo di attesa in base all’esperienza maturata nel proprio ambiente riguardo al tempo necessario per eseguire la scansione dei dischi della macchina di cui è stato eseguito il backup. Nel nostro esempio, 1 ora dovrebbe essere sufficiente. È necessario assicurarsi che ci sia tempo sufficiente per completare la scansione quando viene arrestato l’avvio flash delle VM con il lavoro di scansione del malware.

    Azioni:

    • Esegui questa azione in: Esegui questa azione sia in modalità di test che in modalità di produzione
    • Gestione degli errori: Arresta e indica come non riuscito il lavoro se questa azione non riesce

    Premere Salvare e tornare all’aggiunta delle azioni di ripristino dell’ambiente.

    Configuring the Wait action in the site recovery job

  6. Fare clic su Arresta lavori per aggiungere la terza azione per il lavoro di ripristino dell’ambiente.

    Adding the Stop VMware VMs action

  7. Configurare l’azione Arresta lavori azione. Seleziona il lavoro di avvio flash per la scansione antimalware delle VM VMware (che abbiamo usato prima). Dopo che il periodo di tempo definito per la scansione antivirus di un backup per VMware (tramite l’azione Attendi) è scaduto, il lavoro di avvio flash delle VM deve essere interrotto (questo lavoro può essere interrotto solo direttamente da un utente o dall’azione Interrompi del ripristino del sito).

    Opzioni di azione:

    • Esegui questa azione in: Esegui questa azione sia in modalità di test che in modalità di produzione
    • Comportamento dell’attesa: Attendi il completamento di questa azione
    • Gestione degli errori: Arresta e indica come non riuscito il lavoro se questa azione non riesce

    Premere Salvare per salvare questa azione di lavoro.

    Selecting a Flash VM boot job to stop

  8. Sono state aggiunte tutte e tre le azioni necessarie per il lavoro di ripristino dell’ambiente. Fare clic su Avanti nella procedura guidata del lavoro di ripristino dell’ambiente per continuare.

    All three actions for malware scan after making a backup are added to the site recovery job

  9. Poiché non sono presenti processi di replica o failover, è possibile ignorare la fase di mapping di rete (Network). Allo stesso modo, è possibile saltare la fase Re-IP .
  10. Configurare la pianificazione dei test al passaggio 4 della procedura guidata. Utilizzare l’opzione di pianificazione del concatenamento dei lavori per eseguire questo processo di ripristino del sito con scansione antimalware subito dopo il completamento del lavoro di backup. Ciò significa che non appena il backup della nostra VM sarà completato, il lavoro Site Recovery appena creato verrà avviato automaticamente. Questo attiva il processo/l’azione di avvio flash con l’impostazione di scansione antimalware attivata. Di conseguenza, la scansione antimalware si avvia automaticamente.

    Selezionare le seguenti opzioni per la pianificazione n. 1:

    • Esegui dopo un altro lavoro: Backup VM VMware Windows
    • Esegui questo lavoro: Immediatamente.
    • Seleziona il Dopo aver completato con successo casella di controllo.

    Configuring scheduling using job chaining to run the site recovery job right after a VM backup job

  11. Alla fase Opzioni , inserire il nome del lavoro, ad esempio Scansione SR Malware dopo il backup della VM.

    Impostare l’obiettivo di tempo di ripristino. Questo valore RTO non deve essere inferiore al tempo dell’azione Attendere (la seconda azione nell’elenco delle azioni del nostro lavoro di ripristino dell’ambiente). Poiché il tempo di attesa in questo esempio per la scansione alla ricerca di malware è di 60 minuti, impostiamo 65 minuti come RTO per questo lavoro di ripristino dell’ambiente. Ciò è necessario per evitare il fallimento del lavoro a causa di tempo insufficiente per completare tutte le azioni del lavoro di ripristino dell’ambiente.

    Termina per salvare le impostazioni e chiudere la procedura guidata.

    Configuring site recovery job options

Ora è possibile avviare un lavoro di backup della VM Windows e vedere come funziona l’automazione dei processi:

  1. Il lavoro di backup della VM Windows è stato avviato.
  2. Subito dopo il completamento del lavoro di backup della VM, viene avviato il lavoro di ripristino dell’ambiente. Questo lavoro di ripristino dell’ambiente include l’avvio flash delle VM.
  3. L’avvio flash delle VM con scansione antimalware viene avviato come parte del lavoro di ripristino dell’ambiente.
  4. Allo scadere dell’ora impostata per la scansione antimalware, tutti i processi vengono interrotti. È possibile verificare eventuali problemi e visualizzare i rapporti antivirus.

    Automatic scanning of backups for viruses after backup creation is working

In questo esempio abbiamo spiegato come configurare le scansioni antimalware con la soluzione NAKIVO in modo che vengano eseguite automaticamente dopo ogni processo di backup. È anche possibile eseguire scansioni antimalware prima di ripristinare macchine fisiche e VM da un backup, come mostrato di seguito.

See the Solution in Action

See the Solution in Action

Get a personalized demo of any feature to get started in no time. Our engineers are here to help and answer any questions you may have.

Book a Free Demo

Le persone leggono anche

Picture
Come installare la soluzione NAKIVO come virtual appliance VMware
Picture
8 pratiche comprovate per proteggersi dal ransomware
Picture
Le 10 cose più importanti da sapere sugli snapshot Hyper-V