NAS Synology, protezione WORM contro i ransomware

WriteOnce è uno strumento prezioso, ben integrato e facile da usare, in grado di soddisfare la conformità normativa e salvaguardare i dati sensibili.

Nas Synology

Difendere i dati dagli attacchi informatici è oggi una priorità per le aziende, con le recenti evoluzioni di DSM, i NAS Synology offrono protezione WORM avanzata.

L’evoluzione continua delle minacce

Oggi, gli attacchi alle operazioni di sicurezza tradizionali sono sempre più frequenti e danneggiano la reputazione dei clienti, incidono sui bilanci e spesso causano interruzioni delle attività.
Il preoccupante scenario globale legato ai cyberattacchi va di pari passo con l’aumento della complessità degli ambienti IT. La digitalizzazione, il lavoro da remoto e l’elevata mobilità dei dipendenti in ogni settore, hanno esteso il perimetro aziendale molto al di fuori delle mura dell’ufficio.
Gli esperti di sicurezza si trovano a dover proteggere una superficie di attacco che è cresciuta a dismisura, rendendo urgente l’adozione di soluzioni evolute per la gestione e la protezione dei dati e la definizione di strategie di sicurezza più rigorose, dalla singola postazione di lavoro al monitoraggio della rete e dell’ambiente in generale.

Gli attori delle minacce alla cybersecurity hanno rafforzato le tattiche tradizionali, introducendo al contempo nuove tecniche. Come evidenziato nell’OpenText Cybersecurity Threat Report 2023, una tendenza dello scorso anno è stato l’aumento significativo dell’occultamento della posizione degli URL che ospitano malware e siti di phising. La percentuale di URL dannosi nascosti dietro un proxy o un servizio di mascheramento della geolocalizzazione è aumentata del 36% rispetto all’anno precedente. Nel frattempo, le minacce online continuano a crescere a un ritmo allarmante. Ogni giorno vengono messi online nuovi siti web malevoli, mentre siti legittimi vengono occasionalmente compromessi e sfruttati per scopi nocivi.

Aumentano attacchi malware, il phishing via e-mail, così come le minacce ransomware, tra le più pericolose in circolazione.
Secondo Akamai, l’impatto dei ransomware sulle imprese è raddoppiato in un anno. Nel report “The State of Segmentation 2023” le aziende intervistate hanno subito una media di 86 attacchi ransomware negli ultimi 12 mesi, rispetto alla media di 43 attacchi all’anno registrati due anni fa. Le società che si occupano di sicurezza hanno risposto al recente aumento nel numero di attacchi implementando strategie basate sul modello Zero Trust e sulla microsegmentazione. Quasi tutte le aziende intervistate (99%) che hanno implementato una forma di segmentazione hanno adottato anche un framework di sicurezza Zero Trust.

Le minacce per i dati

I ransomware, e in generale le minacce online, possono costituire un elemento di allarme e concreto pericolo per le imprese. Oltre a predisporre le necessarie barriere a protezione di server, endpoint e network, le aziende devono irrobustire la sicurezza dei repository locali, siano essi destinati ai dati di produzione o al backup.

Proprio gli archivi di sicurezza e i backup sono nel mirino dei ransomware più evoluti in circolazione in questo momento. L’obiettivo finale degli aggressori non è semplicemente quello di esfiltrare e criptare i dati per costringere le vittime a pagare il riscatto, ma di eliminare completamente la capacità di un’organizzazione di riprendersi da un tale attacco.
Gli attaccanti stanno adottando nuovi approcci per raggiungere questo obiettivo. Sia rendendo le loro intrusioni più difficili da rilevare, sia aggiungendo nuovi obiettivi, come i backup dei dati. Così da mettere completamente in difficoltà un’organizzazione. Per difendersi da alcune di queste tattiche, le organizzazioni devono sviluppare solide strategie di backup dei dati che consentano un recupero rapido e completo dei dati. Oltre a piani di emergenza immutabili per garantire che i potenziali attacchi ransomware possano essere mitigati.
Una volta che i malintenzionati hanno criptato una quantità di dati sufficiente a lanciare un attacco ransomware, alcuni cercano di migliorare le probabilità di pagamento. Reclamando anche gli archivi di backup di un’organizzazione.

Synology NAS

Le soluzioni storage NAS Synology permettono di salvaguardare dati e backup tramite funzionalità WORM.

NAS Synology – Proteggere dati di produzione e backup

Per mettere al sicuro dati e copie di sicurezza sta diventando sempre più rilevante l’adozione di piattaforme che consentono di archiviare le informazioni in modo immutabile.
I NAS Synology con DSM 7.2 rendono disponibili soluzioni e schemi di protezione tramite WORM (Write Once, Read Many). Dopo aver abilitato questa funzionalità, i dati nelle cartelle condivise possono solo essere scritti e non possono essere eliminati o modificati, per garantire l’integrità dei dati. Per assicurare integrità e immutabilità è possibile usare WORM, ideale per proteggere record e dati sensibili, in modo che non vengano sovrascritti e possano essere salvati come riferimento per un uso futuro.
L’immutabilità dei dati consente di limitare i potenziali danni da ransowmare. In caso di simili minacce, capaci di crittografare intere archivi, i dati risulteranno inalterabili. Ciò rende i backup inattaccabili da virus e malware. Le funzionalità WORM possono dunque essere combinate con una granulare politica di sicurezza per innalzare il grado di protezione dei dati, per condivisioni di rete e procedure di backup a prova di attacco.

WriteOnceIl pacchetto si integra nelle funzionalità dei NAS Synology

In generale, la tecnologia WORM serve da ulteriore livello di protezione, proteggendo risorse preziose come la proprietà intellettuale e i segreti commerciali da accessi non autorizzati e potenziali violazioni dei dati. Non solo, garantisce la conformità in settori come la finanza e la sanità, dove l’archiviazione immutabile dei dati è obbligatoria per una maggiore sicurezza e privacy. Serve inoltre come protezione attiva dei file, contro alterazioni non autorizzate o modifiche accidentali ai documenti aziendali critici.
Adottando Synology WriteOnce, le aziende possono proteggere i propri dati da accessi non autorizzati, alterazioni e rischi di conformità, garantendo che le informazioni critiche rimangano invulnerabili alle manomissioni.

Come abilitare WriteOnce

Quando si configura una cartella condivisa in DSM, è possibile proteggere i dati tramite WriteOnce. Il sistema è implementato a livello di cartella condivisa nei file system BTRFS e utilizza il meccanismo Copy-on-write proprio di questo file system. All’atto pratico, qualsiasi modifica a un file verrà apportata su un nuovo blocco di dati, mantenendo intatto e invariato il blocco originale. Il sistema adotta inoltre il checksum CRC32, algoritmo deputato alla generazione di un valore univoco che rappresenta il contenuto di un file WriteOnce. Durante le operazioni di lettura, il sistema confronta il checksum per verificare la presenza di discrepanze nei dati e prevenire potenziali danneggiamenti.

WriteOnce

WriteOnce, modalità Enterprise e Compliance su NAS Synology

Synology propone due modalità d’uso: Compliance ed Enterprise. Entrambe consentono di bloccare i file in modo che non possano essere eliminati o riscritti per garantire la permanenza dei dati.

WriteOnce

La modalità di conformità offre un elevato livello di protezione dei dati impedendo l’eliminazione della cartella condivisa da parte di chiunque, inclusi gli amministratori. Adottando questa logica di gestione dati, le aziende possono rispettare determinati requisiti normativi. I file nelle cartelle WriteOnce non possono mai essere alterati o modificati e possono essere eliminati solo dopo che tutti i file nella cartella raggiungono la fine dei periodi di conservazione. Per evitare qualsiasi manomissione, le operazioni che potrebbero compromettere i dati direttamente nella cartella condivisa WriteOnce non sono consentite, il che significa che l’eliminazione del volume o del pool di archiviazione dall’interno di DSM non è possibile.

Nella modalità Enterprise, la cartella condivisa o il relativo volume e pool di archiviazione possono essere eliminati solo dagli amministratori autorizzati, garantendo un certo grado di flessibilità di gestione dei dati senza comprometterne l’integrità. Ciò consente inoltre alle organizzazioni di soddisfare le normative autoregolamentate e le best practice per proteggere i propri dati, mantenendoli invulnerabili a qualsiasi modifica non autorizzata.

WriteOnce

Le cartelle condivise WriteOnce offrono due modi per bloccare i file. Con la funzione di blocco automatico è possibile bloccare automaticamente i file al momento della creazione e del caricamento dei dati. In alternativa, è anche possibile bloccare manualmente i file da File Station o tramite le righe di comando dopo che i dati sono stati aggiunti alla cartella WriteOnce. Quando si blocca un file si ottiene il controllo completo sulla conservazione e sull’integrità. È possibile impostare un periodo di conservazione, specificando per quanto tempo il file deve rimanere bloccato e il tipo di stato in cui bloccarlo per proteggerlo da modifiche o eliminazioni. Dopo aver configurato il periodo di conservazione e bloccato il file, questo rimane protetto e inaccessibile con lo stato WriteOnce fino alla scadenza del periodo di conservazione impostato.

È poi possibile impostare un periodo di tempo specifico prima che i file vengano bloccati o optare per il blocco immediato, a seconda delle esigenze e dei requisiti di sicurezza dell’organizzazione. Le impostazioni sono specifiche per ogni cartella condivisa WriteOnce.
Il timer di blocco automatico calcola il tempo di blocco in base all’aggiornamento più recente del file. Se vengono apportate modifiche prima del tempo di blocco designato, il timer si estenderà e verrà ricalcolato dal punto in cui si interrompe la modifica. In questo modo si garantisce che tutte le modifiche vengano prese in considerazione senza interrompere le modifiche ai file.

 

Conservazione dei dati

Indipendentemente dal fatto che si stia configurando il blocco automatico per una cartella WriteOnce o bloccando manualmente un file WriteOnce, sarà necessario impostare un periodo di conservazione per determinare per quanto tempo si desidera che il file rimanga bloccato. In questo modo si evita che i dati vengano cancellati o manomessi durante il periodo di tempo specificato. Indipendentemente dal momento in cui si decide di bloccare un file, dallo stato di blocco scelto o dal numero di file che si stanno bloccando, è essenziale comprendere come funziona il periodo di conservazione.
Ogni file può essere bloccato con un periodo di conservazione univoco, personalizzato in base alle esigenze dell’organizzazione. In questo modo è possibile impostare singoli periodi di conservazione e specificare la durata esatta per la quale ogni file rimarrà sotto il blocco WriteOnce. Dopo aver configurato un periodo di conservazione e bloccato il file, non è possibile sbloccarlo fino alla scadenza del periodo di conservazione. Pertanto, è necessario prestare particolare attenzione quando si seleziona il periodo di conservazione per i file WriteOnce.

Subito dopo aver configurato il periodo di conservazione, è necessario scegliere uno stato di blocco per determinare la modalità di blocco del file. È possibile visualizzare lo stato di blocco accanto al file WriteOnce e sono disponibili diversi stati di cui prendere nota.
Prima di bloccare un file, questo si trova in uno stato Aperto, che ne consente la modifica libera. Una volta bloccato, verrà impostato su Immutable o Append-only in base alle impostazioni della cartella condivisa WriteOnce o alle configurazioni durante il blocco manuale del file. Dopo la scadenza del periodo di conservazione, il file passerà allo stato Scaduto.

I file non modificabili scaduti possono essere ribloccati come immutabili. Se la dimensione del file è 0 KB, il file può anche essere ribloccato come solo accodamento. I file di sola aggiunta scaduti possono essere ribloccati come non modificabili o solo di accodamento.

Conformità

In un ambiente di conformità dei dati in cui la tempistica precisa è fondamentale, il semplice affidamento sull’orologio di sistema potrebbe mettere a rischio i dati. Per evitare possibili alterazioni, Synology ha progettato un orologio a prova di manomissione per WriteOnce. Questo meccanismo di cronometraggio specializzato determina in modo indipendente l’ora di scadenza del periodo di memorizzazione. Non basandosi sull’orologio di sistema, è possibile evitare regolazioni arbitrarie dell’ora per garantire l’accuratezza del periodo di conservazione.
Ogni cartella condivisa WriteOnce è dotata di un proprio orologio a prova di manomissione. Quando viene creata una cartella WriteOnce, l’orologio a prova di manomissione viene inizializzato e sincronizzato con l’orologio di sistema per fungere da riferimento per le operazioni future. Per garantire una operatività coerente e accurata, l’orologio a prova di manomissione scrive il suo valore su disco almeno una volta al giorno.

Snapshot e replica immutabili

Oltre a proteggere i dati WriteOnce da accessi non autorizzati, è possibile rafforzarne ulteriormente la sicurezza utilizzando snapshot, copie temporizzate dei dati archiviate nello stesso volume. Questo serve da backup, consentendo di ripristinare i file allo stato esatto salvato nell’istantanea quando necessario.
Anche gli snapshot delle cartelle condivise, incluse le cartelle WriteOnce, possono essere immutabili. Ciò li protegge da eliminazioni dannose o accidentali e da alterazioni non autorizzate, garantendo l’integrità delle versioni snapshot.

WriteOnce

È inoltre possibile aggiungere un secondo livello di protezione ai dati replicando gli snapshot in altri volumi locali o siti partner remoti tramite la replica snapshot. L’immutabilità può essere abilitata per le repliche pianificate o manualmente per ogni snapshot nel sito partner.
Quando si abilitano gli snapshot non modificabili, verrà creato uno snapshot normale nel sito principale e quindi replicato nel sito partner come non modificabile. Di conseguenza, se non si abilita questa funzionalità, gli snapshot sia sul sito principale che su quello partner saranno snapshot normali.

WriteOnce

WriteOnce è dunque uno strumento prezioso, in grado di soddisfare la conformità normativa e salvaguardare i dati sensibili. La piattaforma si integra all’interno di DSM aggiungendo funzionalità facili da impostare e in linea con l’esperienza d’uso dell’ambiente operativo Synology.