Eran Brown, CTO EMEA di Infinidat, spiega l’importanza della protezione mediante snapshot; un sistema efficace e veloce contro i ransomware.
Negli ultimi anni il ransomware è diventato un business molto redditizio, ci sono paesi che li hanno militarizzati o utilizzati come nuova fonte di guadagno. Quando si tratta di prepararsi al ransomware, l’approccio più comune prevede di:
Prevenire – investire nella formazione dei dipendenti e testare la loro preparazione
Reagire – una volta attaccati, la velocità di reazione del team IT sarà fondamentale per ridurre l’impatto sulle attività.
I cybercriminali conoscono questi approcci e quindi continuano a far evolvere le loro minacce. Una delle loro “armi” consiste nell’attaccare il backup, crittografandolo in modo tale da renderlo inutilizzabile, compromettendolo con file di backup corrotti (ad esempio WannaCrypt0r) o, in altri casi, attaccando i file di backup di Time Machine MAC o di Volume Shadow Copy Service (VSS) di Windows.
Come devono prepararsi le aziende per il giorno dell’attacco?
È innegabile l’importanza delle snapshot nel rilevare un attacco ransomware e nell’offrire un ripristino ottimale senza dover spostare terabyte di dati dal backup. Tuttavia, se gli aggressori sono alla ricerca di nuovi metodi per corrompere il backup, bisogna tenere in considerazione che potrebbero pensare di cancellare anche le snapshot (QNAP TS-231P2 è una valida soluzione per abilitare la sicurezza delle snapshot anche in ambienti di piccole dimensioni e con budget ridotto, leggi la nostra recensione). Per questo motivo è fondamentale definire un piano strategico qualora ciò dovesse accadere, in quanto nessuno vorrebbe scoprire che le proprie snapshot sono state cancellate dall’ultimo esemplare di ransomware (il cui nome potrebbe essere probabilmente WannaSnap…).
Molti clienti si chiederanno “perché non adottare backup separati?”, “perché non provare con il backup online?” Il tempo di ripristino è la motivazione principale in questo contesto (backup in cloud? Leggi la nostra prova di Synology C2). A un’azienda che deve ripristinare grandi volumi di dati da nastro servirà molto tempo, causando impatti diretti su clienti e redditività.
È anche una questione di recuperabilità, perché i backup su nastro non sono sempre ripristinabili, alcuni clienti affermano che solo il 94% dei loro backup è recuperabile nel giorno del backup, con un calo evidente nel tempo.
I backup online possono essere protetti dal ransomware?
La risposta è sì! Devono essere messi in campo meccanismi di sicurezza che consentano di convertire una snapshot in una di tipo Write Once Read Many (WORM) che non può essere modificata o eliminata prima che raggiunga un punto temporale predefinito e il suo blocco scada (leggi la nostra prova della piattaforma Overland Tandberg rdxLOCK WORM e Ransomblock).
Allo stesso tempo, si desidera che una snapshot resti completamente funzionale e mantenga tutte le capacità originali:
Recuperabile (in tutti i casi, non solo di ransomware)
Gestione della copia di dati che consenta la creazione di copie scrivibili da snapshot per test e sviluppo
Accessibile per gli utenti: su NAS, le snapshot WORM dovrebbero essere sempre accessibili attraverso la cartella .snapshot / .ckpt hidden per il ripristino
Le snapshot WORM sono utili anche per:
Proteggere dagli errori umani: le persone sono la causa principale della maggior parte degli errori IT. Aggiungere un livello di protezione è un approccio sempre corretto. Le snapshot possono essere bloccate per evitare l’eliminazione accidentale prima della scadenza dei termini di conservazione.
In ambito legale: in determinate situazioni giuridiche, i dati devono essere accessibili per un lungo periodo per proteggere prove rilevanti, consentire analisi adeguate, etc. Bloccare una copia dei dati è un metodo ottimo per mantenere l’accesso nel tempo e, se necessario, prolungarne il blocco.