NAKIVO > Blog

Procedure consigliate per il backup contro il ransomware

Pubblicato: Marzo 19, 2024

Written by: NAKIVO Team

Secondo Security Intelligence, gli hacker prendono di mira i dati di backup di destinazione in circa il 93% degli attacchi ransomware. Ciò ha portato alla perdita dei dati di backup di destinazione, rendendoli inutilizzabili per il ripristino, e ha aumentato la probabilità che le organizzazioni paghino il riscatto nella speranza di ripristinare l’accesso ai sistemi.

L’implementazione di misure di sicurezza informatica e il backup dei dati per garantire il ripristino dopo incidenti ransomware non sono più sufficienti. Gli antivirus possono proteggere i computer e i loro dati nella fase iniziale, ma se virus e ransomware hanno infettato i computer e distrutto i dati, l’unico metodo per ripristinarli è utilizzare un backup dei dati. Con repository di backup nel cloud accessibili tramite Internet, i backup sono esposti a un rischio ancora maggiore di ransomware. Ecco perché è necessario adottare misure aggiuntive per proteggere i backup oltre ai dati primari.

Questo post del blog spiega come creare una strategia efficace di difesa dal ransomware.

Say no to ransoms with NAKIVO

Say no to ransoms with NAKIVO

Use backups for fast data recovery after ransomware attacks. Multiple recovery options, immutable local and cloud storage, recovery automation features and more.

DISCOVER SOLUTION

È possibile ripristinare i dati dal backup dopo un attacco ransomware?

La ricerca condotta da Sophos dimostra che il ripristino dei dati dopo un incidente ransomware utilizzando i backup è più veloce rispetto alla scelta di pagare il riscatto. Backup configurati correttamente possono essere utilizzati per ripristinare dati e macchine dopo un attacco ransomware. Se si dispone di una copia di backup affidabile e non infetta, è possibile ripristinare i dati e ridurre al minimo i tempi di inattività correlati all’incidente.

Considerare le seguenti azioni per ripristinare i sistemi dopo un incidente ransomware:

  • Isolare il sistema infetto. Non appena si rileva un’infezione ransomware, scollegare il computer infetto dalla rete per impedire l’ulteriore diffusione del malware.
  • Rimuovere il ransomware. Utilizzare un software antivirus o anti-malware affidabile per rimuovere il ransomware dal sistema. Assicurarsi che le definizioni antivirus siano aggiornate per avere maggiori possibilità di successo. L’alternativa è formattare le unità disco colpite dal ransomware e ripristinare i dati da backup su queste unità (i backup devono essere integri).
  • Verificare la disponibilità dei backup. Controllare i sistemi di backup per assicurarsi che non siano stati compromessi dall’attacco ransomware.
  • Ripristinare i dati. È possibile avviare il processo di ripristino dei dati con la soluzione di backup dei dati. Ciò potrebbe comportare la selezione di file specifici, cartelle o immagini di sistema da ripristinare. Seguire le istruzioni fornite dal software di backup o dal fornitore di servizi.
  • Testare i dati ripristinati. Una volta completato il ripristino, testare i dati ripristinati per assicurarsi che siano accessibili e intatti. Questo è fondamentale per verificare che le copie di backup non siano state compromesse dal ransomware.
  • Applicare patch e proteggere. Prima di ricollegare il computer infetto alla rete, applica tutte le patch di sicurezza, gli aggiornamenti e i miglioramenti necessari per aumentare la sicurezza del sistema e ridurre il rischio di un altro attacco.
  • Indaga e segnala. Indaga su come il ransomware è entrato nel tuo sistema per prevenire attacchi futuri. Segnalare l’incidente alle autorità, ad esempio alle forze dell’ordine o alle organizzazioni di sicurezza informatica.

Ricordare che l’efficacia del ripristino dipende dalla disponibilità di backup aggiornati regolarmente e sicuri. Se i backup sono compromessi o obsoleti, potrebbe non essere possibile ripristinare completamente i dati. È fondamentale mantenere una solida strategia di protezione dai ransomware basata sul backup come parte delle misure generali di sicurezza informatica per mitigare l’impatto degli incidenti di ransomware.

Il ransomware può attaccare un backup?

I backup non sono immuni alle infezioni da malware. Il ransomware può potenzialmente attaccare e crittografare (distruggere) i file di backup se questi sono direttamente accessibili dal sistema infetto o se il ransomware è specificamente progettato per colpire i sistemi di backup.

I gruppi criminali che utilizzano il ransomware sanno che le organizzazioni si affidano ai backup per ripristinare i sistemi invece di pagare i riscatti. Per questo motivo, i backup possono essere uno degli obiettivi principali del ransomware.

I backup archiviati sulle seguenti risorse accessibili da un computer infetto sono a rischio:

  • Unità condivise
  • Network Attached Storage (NAS)
  • Unità disco esterne collegate a un computer infetto
  • Storage sul cloud accessibile da computer infetti

Sebbene sia possibile che il ransomware prenda di mira i backup, esistono misure proattive che è possibile adottare nell’ambito della strategia di protezione dal ransomware per proteggere e salvaguardare i dati di backup. In questo modo, si garantisce di disporre di un’opzione di ripristino affidabile in caso di attacco.

Procedura consigliata per il backup contro il ransomware

Le procedure consigliate per il backup contro il ransomware sono progettate per garantire l’integrità e la recuperabilità dei dati in caso di attacco ransomware. Comprendono approcci di backup e strategie per proteggere tali backup da eventuali compromissioni nel caso in cui i sistemi primari vengano infettati.

Strategia di backup 3-2-1

La colonna portante della strategia di difesa dal ransomware è la regola di backup 3-2-1. Si tratta di un approccio solido al backup dei dati che può aiutare a proteggere dagli attacchi ransomware garantendo ridondanza, diversificazione e isolamento delle copie di backup. La regola impone di avere almeno 3 copie dei dati, 2 delle quali con ubicazione diversa, con 1 copia archiviata offsite. La strategia di backup 3-2-1 contro il ransomware può essere ulteriormente estesa a 3-2-1-1 per includere copie con protezione air-gap o immutabili.

Di seguito è possibile vedere come una strategia di backup 3-2-1 3 copie dei dati:

  • Copia primaria. Si tratta dei dati attivi, dei file originali e dei dati con cui si lavora quotidianamente.
  • Backup locale. Crea una seconda copia dei tuoi dati archiviati localmente, ad esempio su un disco rigido esterno, un server di backup o un dispositivo di storage collegato alla rete (NAS). Ciò consente un accesso rapido e comodo ai tuoi backup in caso di perdita o danneggiamento dei dati.
  • Backup offsite. La terza copia deve essere conservata offsite, lontano dalla sede principale. Può trattarsi di una ubicazione fisica diversa, solitamente ottenuta utilizzando lo storage sul cloud, copiando il backup dei dati nella sede secondaria tramite la rete o trasportando fisicamente i backup in una ubicazione offsite a intervalli regolari.
  • 2 supporti diversi. L’utilizzo di supporti di storage diversi per ogni copia di backup può migliorare la resilienza. Ad esempio, se si dispone di un backup locale su un disco rigido fisico, utilizzare un tipo di supporto diverso per il backup offsite, come lo storage sul cloud o un altro dispositivo fisico. Questa diversificazione aiuta a proteggersi dal rischio che lo stesso tipo di ransomware colpisca contemporaneamente sia il backup locale che quello offsite.
  • 1 supporto archiviato offsite. L’archiviazione di una copia di backup offsite consente di ripristinare i dati se il sito principale viene distrutto da un disastro come un incendio, un’alluvione, un uragano, ecc.
  • 1 copia con protezione air-gap o immutabile. Un backup con protezione air-gap è isolato dalla rete e non è direttamente accessibile tramite Internet né collegato al sistema primario. Un backup immutabile è invece archiviato in repository immutabili che possono essere modificati o eliminati. Ciò significa che anche se un ransomware si infiltra nella rete, non può crittografare tali backup.

    Assicurarsi che il backup con protezione air-gap (backup offline) venga aggiornato periodicamente, ma scollegare questo backup dalla rete o rimuoverlo dalla sua ubicazione quando non è in uso. Questo isolamento rende il backup altamente resistente agli attacchi ransomware.

    • La strategia di backup 3-2-1 contro il ransomware protegge dal ransomware nel modo seguente:

    • Ridondanza dei dati. In caso di attacco ransomware che prende di mira i dati primari, si dispone di due copie aggiuntive (locale e offsite) da cui ripristinare i dati senza pagare il riscatto.
    • Diversità. L’utilizzo di diversi supporti di storage garantisce che, se il ransomware compromette un tipo di backup, gli altri rimangano inalterati. Questa diversità rende più difficile per il ransomware corrompere tutte le copie dei tuoi dati.
    • Isolamento. La copia con protezione air-gap, archiviata offline o in un ambiente isolato, funge da ultima linea di difesa. Anche se il ransomware ottiene l’accesso alla rete o alle copie di backup locali, non sarà in grado di raggiungere la copia con protezione air-gap.
    • Flessibilità di ripristino. È possibile ripristinare rapidamente dalla copia locale in caso di perdite di dati minori e, se si verifica un grave attacco ransomware, è possibile ricorrere alle copie offsite e con protezione air-gap.

    L’approccio 3-2-1-1 alla protezione dei dati è una buona strategia di backup dei dati contro il ransomware se integrato con altre misure di sicurezza e implementato correttamente.

    Pianificazione e test del ripristino di emergenza

    Il piano per il ripristino di emergenza e i test svolgono un ruolo fondamentale nella protezione dai ransomware, garantendo la preparazione, riducendo al minimo i tempi di inattività e facilitando un efficiente ripristino dei dati in caso di attacchi ransomware. La pianificazione del ripristino di emergenza prende in considerazione non solo il ripristino dei dati, ma anche la continuità operativa delle operazioni essenziali. Ciò significa disporre di sistemi e processi di backup per mantenere l’attività operativa anche durante un incidente ransomware. Un piano di ripristino di emergenza ben testato consente un ripristino più rapido dei sistemi e dei dati critici.

    Creare un piano di ripristino di emergenza:

    • Identificare i sistemi e i dati critici. Questo aiuta a stabilire le priorità di ciò che deve essere protetto in caso di attacco ransomware.
    • Sviluppare una strategia di backup e ripristino. Ciò include l’implementazione della strategia di backup 3-2-1, la garanzia della ridondanza dei dati e la disponibilità di backup offsite.
    • Risposta agli incidenti. Includete procedure di risposta agli incidenti specifiche per il ransomware nel vostro piano di ripristino di emergenza. In questo modo il vostro team saprà come reagire in modo efficace in caso di attacco.

    Testate e migliorate il piano di ripristino di emergenza:

    • Effettuate test regolari. Effettuare regolarmente test e simulazioni di ripristino di emergenza che includano scenari di ransomware. I test aiutano a identificare i punti deboli del piano e consentono di apportare i miglioramenti necessari.
    • Verifica dell’integrità dei dati di backup testando il processo di ripristino dei dati. Garantire che i backup non siano compromessi è fondamentale nella lotta contro il ransomware.
    • Formazione basata su scenari. La formazione del personale su scenari specifici relativi al ransomware garantisce che sia preparato a rispondere in modo efficace in caso di attacco.

    Non dimenticare la documentazione e la conformità:

    • Documentazione. I piani di ripristino di emergenza devono essere ben documentati e aggiornati regolarmente. Questa documentazione contribuisce a garantire che tutti conoscano i propri ruoli e responsabilità durante un incidente.
    • Conformità normativa. La conformità alle normative sulla protezione dei dati richiede spesso un solido piano di ripristino di emergenza. Ciò può aiutare a evitare problemi legali e sanzioni in caso di attacco ransomware.

    Utilizzo di Storage immutabile

    Storage immutabile è un tipo di storage in cui i dati non possono essere modificati dopo essere stati scritti. La tecnologia di storage immutabile impedisce qualsiasi modifica, cancellazione o crittografia dei dati archiviati per un periodo di conservazione specificato. Utilizza l’storage immutabile per archiviare i backup e aumentare la probabilità di ripristino dei dati in caso di attacchi ransomware.

    L’storage immutabile può sfruttare diversi meccanismi:

    • Write once, read Many (WORM): i dati possono essere scritti una sola volta e, successivamente, possono solo essere letti ma non modificati o cancellati.
    • Hashing crittografico. I dati possono essere sottoposti a hashing utilizzando algoritmi crittografici e i valori hash vengono memorizzati separatamente. Qualsiasi modifica ai dati comporterà un hash diverso, con un avviso in caso di potenziale manomissione.
    • Controllo delle versioni. Le versioni dei dati vengono archiviate e le versioni precedenti possono essere ripristinate se la versione corrente è compromessa.
    • Controlli di accesso. I sistemi di storage immutabili dispongono in genere di controlli di accesso rigorosi per impedire modifiche non autorizzate ai dati.

    Il ransomware funziona in genere crittografando i file e richiedendo un riscatto per la chiave di decrittografia. L’storage immutabile può proteggere dal ransomware in diversi modi:

    • Impedisce la modifica. Poiché i dati nell’storage immutabile non possono essere modificati, i tentativi del ransomware di crittografare o modificare i file falliranno.
    • Fornisce un ripristino rapido. Anche se il ransomware crittografa i dati primari, è possibile fare affidamento sull’Storage immutabile per ripristinare copie pulite dei file. È possibile ripristinare facilmente i dati allo stato non crittografato perché i dati originali rimangono intatti.
    • Avvisi di manomissione. I sistemi di storage immutabili possono generare avvisi quando vengono rilevati tentativi non autorizzati di modificare i dati, consentendo una risposta rapida a potenziali attacchi ransomware.

    Utilizzo della crittografia dei dati

    La crittografia dei dati può aiutare a ridurre le conseguenze negative degli attacchi ransomware. Si noti che la crittografia da sola non protegge dagli attacchi ransomware. Il ransomware può comunque crittografare/distruggere i file a cui accede, indipendentemente dal fatto che tali file siano crittografati o meno. Tuttavia, la crittografia garantisce che i dati rimangano riservati e non possano essere compresi da persone non autorizzate, compresi gli autori degli attacchi ransomware.

    Anche se il ransomware si infiltra nel sistema, potrebbe non disporre delle autorizzazioni o delle chiavi di crittografia necessarie per accedere ai dati sensibili crittografati. Ciò significa che non sarà in grado di comprendere i dati crittografati. Di conseguenza, gli autori degli attacchi ransomware non potranno estorcere denaro alla vittima caricando i dati rubati su Internet. Questo è anche un vantaggio in termini di conformità per evitare sanzioni.

    La crittografia dei dati in transito, ad esempio durante la trasmissione di rete o quando sono archiviati in servizi cloud, garantisce che i dati intercettati siano inutili per i criminali informatici. I canali di comunicazione crittografati, come le VPN (reti private virtuali) e le connessioni SSL (Secure Socket Layer), proteggono dal ransomware che tenta di intercettare i dati durante la trasmissione.

    Una corretta gestione delle chiavi è essenziale per l’efficacia della crittografia. Conservare le chiavi di crittografia in modo sicuro e separatamente dai dati che proteggono per impedire al ransomware di accedere sia ai dati che alle chiavi.

    Impostare le autorizzazioni per il backup dei dati

    L’impostazione delle autorizzazioni per i dati di backup aiuta a impedire al ransomware di compromettere o distruggere le copie di backup. Autorizzazioni configurate correttamente garantiscono che solo gli utenti o i sistemi autorizzati possano accedere ai dati di backup.

    Limitando l’accesso ai dati di backup, si riduce la superficie di attacco per il ransomware. Se il ransomware si infiltra nella rete, potrebbe tentare di colpire più sistemi nella rete. Se il ransomware infetta un sistema con autorizzazioni limitate, avrà più difficoltà a diffondersi nelle ubicazioni di backup e a comprometterle.

    L’impostazione delle autorizzazioni è in linea con il principio del privilegio minimo e della separazione dei compiti. Assicura che nessun singolo utente o sistema abbia un controllo eccessivo sui dati di backup, riducendo il rischio di minacce interne.

    Le impostazioni delle autorizzazioni consentono di controllare e monitorare l’accesso ai dati di backup. Se il ransomware tenta di compromettere i backup, il controllo può generare avvisi e fornire una registrazione dei tentativi di accesso non autorizzati per le indagini. L’accesso non autorizzato o le modifiche ai dati di backup possono essere rilevati rapidamente attraverso sistemi di monitoraggio e di allerta. Ciò consente una risposta rapida a potenziali attacchi ransomware, riducendo al minimo la perdita di dati.

    Altri consigli

    Ecco alcuni consigli aggiuntivi per aiutarti a migliorare la strategia di backup contro il ransomware:

    • Esegui regolarmente il backup dei dati. Impostare una pianificazione regolare dei backup che soddisfi le esigenze dell’organizzazione. Backup frequenti, ad esempio giornalieri o orari, aiutano a ridurre al minimo la perdita di dati in caso di attacco, riducendo l’RPO.
    • Automatizzare i backup. Utilizzare soluzioni di backup che automatizzano il processo per ridurre il rischio di errori umani ed evitare lacune nella conservazione.
    • Utilizzare backup con controllo delle versioni o impostazioni di conservazione flessibili, consentendo di accedere e ripristinare le versioni precedenti dei file. Ciò è utile per i ripristini point-in-time se il ransomware rimane inosservato per un certo periodo di tempo.
    • Monitorare l’ambiente. Implementare sistemi di monitoraggio per rilevare qualsiasi attività insolita o sospetta sui sistemi. Impostare avvisi per qualsiasi tentativo di accesso non autorizzato, modifica delle configurazioni di backup o semplicemente consumo insolito di risorse.
    • Proteggere i server di backup. Applica le procedure consigliate per la sicurezza al server di backup stesso, inclusi aggiornamenti di sicurezza regolari e criteri di password complessi. Ridurre al minimo l’accesso dal web al server di backup per ridurre il rischio di attacchi remoti. Aggiornare regolarmente il software e i sistemi di backup di sistema per risolvere le vulnerabilità che potrebbero essere sfruttate dal ransomware.
    • Scegliere un fornitore di backup affidabile. Se utilizzi servizi di backup basati su cloud, seleziona un fornitore affidabile e attento alla sicurezza con una comprovata esperienza nella protezione dei dati.
    • Forma i lavoratori. Formare i dipendenti o gli utenti a riconoscere i tentativi di phishing e altre tattiche di ingegneria sociale che possono portare ad attacchi ransomware. Nel processo di pianificazione e test del ripristino di emergenza, i dipendenti diventano più consapevoli dei rischi associati al ransomware. Questa maggiore consapevolezza può portare a migliori pratiche di sicurezza informatica e segnalazione degli incidenti.

    Utilizzo delle funzionalità di backup resistenti al ransomware di NAKIVO

    NAKIVO Backup & Replication è una soluzione di protezione dei dati veloce, affidabile e conveniente che consente di eseguire il backup dei dati in modo efficace e di proteggerli dal ransomware. Di seguito sono riportate alcune delle funzioni di protezione dei dati e di ripristino dopo un attacco ransomware presenti in NAKIVO Backup & Replication:

    • Backup immutabili. I backup possono essere resi immutabili su archivi locali, NAS, piattaforme cloud pubbliche (Amazon S3, Archiviazione BLOB di Azure, Wasabi e Backblaze B2, ecc.) e cloud privati. Imposta il periodo di immutabilità per i backup e i dati di backup non potranno essere modificati o eliminati fino alla scadenza di tale periodo. Questa funzione protegge i dati di backup da eventuali modifiche da parte di ransomware.
    • Backup su nastro. Le cartucce a nastro sono un tipo di supporto di archiviazione di backup con protezione air-gap. Dopo aver registrato un backup su nastro ed espulso la cartuccia a nastro, i dati registrati su questa cartuccia non sono accessibili dal ransomware.
    • Impostazioni di conservazione flessibili. Non è possibile prevedere il momento esatto in cui avverrà un attacco ransomware. Disporre di backup per date diverse consente di ripristinare i dati nello stato necessario prima che vengano danneggiati dal ransomware. Il supporto per il backup incrementale e i punti di ripristino frequenti aiutano a recuperare più dati nello stato effettivo prima che si verifichi un attacco ransomware.
    • Crittografia dei dati. Crittografia dei dati in un repository di backup e durante la trasmissione in rete aumenta il livello di sicurezza ed evita l’intercettazione dei dati durante la trasmissione in rete. Un repository di backup crittografato impedisce agli autori di attacchi ransomware di decrittografare e caricare i dati da questo repository su Internet per pericolose estorsioni.
    • Copia di backup. Seguire la regola di backup 3-2-1 e copiare i dati di backup su altri supporti di archiviazione e offsite con lavori di copia di backup. Il concatenamento dei lavori è una funzione utile della copia di backup che consente di avviare automaticamente la creazione di una copia di backup al termine di un lavoro di backup.
    • Scansione dei backup per rilevare i malware. La scansione dei backup durante il processo di ripristino impedisce agli utenti di ripristinare file infetti sui propri sistemi, il che potrebbe potenzialmente portare alla diffusione di virus nell’ambiente di produzione.
    • Ripristino dell’ambiente. Ripristino di emergenza con la funzione Ripristino dell’ambiente . Il ripristino di emergenza è veloce ed efficace. È possibile testare scenari di ripristino di emergenza con Site Recovery. È possibile collegare/scollegare repository di backup perché un repository scollegato è meno vulnerabile al ransomware.

    1 Year of Free Data Protection: NAKIVO Backup & Replication

    1 Year of Free Data Protection: NAKIVO Backup & Replication

    Deploy in 2 minutes and protect virtual, cloud, physical and SaaS data. Backup, replication, instant recovery options.

    Get the Free Edition

    Le persone leggono anche

    Picture
    Panoramica della suite Microsoft 365
    Picture
    Utilizzo di Amazon S3 e AWS EC2 come storage di backup sul cloud
    Picture
    Ripristino di emergenza nel cloud: una panoramica completa