Ransomware: quando il possibile diventa reale – un recovery rapido è fondamentale

Vincenzo Costantino, Technical Director Southern Europe, CommVault

Abbiamo tutti sentito gli avvisi dei guru del settore sulla potenziale minaccia ransomware, ma per svariati motivi la gran parte di queste raccomandazioni è stata ignorata. Forse perché si pensava che qualcosa del genere non potesse succedere, almeno non direttamente a noi in prima persona – o forse perché il costante “rumore di fondo” sulle minacce ha di fatto indebolito la percezione del rischio reale che il ransomware rappresenta per le organizzazioni. Ebbene, venerdì scorso (12 maggio) le minacce “potenziali” si sono trasformate in realtà. Abbiamo assistito al più esteso attacco informatico di sempre, che ha colpito aziende in oltre 100 Paesi. E soprattutto, ha colpito indistintamente settore pubblico, istituzioni e imprese commerciali, cosa che ha spinto molti a chiedersi seriamente se la propria attività sia davvero protetta in modo efficace.

Sebbene non siano ancora disponibili tutti i dettagli di questo attacco storico, sappiamo che le infezioni ransomware spesso vengono originate da endpoint, ovvero dispositivi quali desktop, computer portatili, smartphone, tablet o risorse esterne. Per un motivo o per un altro, però, questi dispositivi possono non godere degli stessi aggiornamenti di protezione e rigorosi livelli di controllo del resto dell’organizzazione.

Questo evento certamente mostra concretamente la realtà del mondo in cui viviamo. Una volta subito l’attacco, due sono le opzioni: pagare (rendendo di fatto anche i Bitcoin una possibile voce all’interno del budget aziendale) oppure implementare un piano di data recovery – e farlo VELOCEMENTE. Avere un piano di ripristino dei dati è sempre stato un must, ma ciò che in passato era sufficientemente valido, può ora lasciare zone scoperte in questa nuova situazione. Nel mondo odierno, gli obiettivi e la complessità degli attacchi ransomware continuano a crescere.

Per molte organizzazioni tale complessità è aggravata dal fatto che molte applicazioni aziendali chiave potrebbero essere ancora in esecuzione su sistemi operativi datati, a volte non più supportati e privi di patch, che non ricevono gli aggiornamenti di sicurezza necessari ad arrestare la diffusione di attacchi potenziali. Per questo, è necessario disporre di una Data Platform che non solo copra gli ambienti aziendali, compreso cloud privato ​​e pubblico, ma che possa anche garantire una Endpoint Protection. Ovvero, una piattaforma in grado di salvare copie immutabili e aggiornate di tutti questi ambienti, per garantire la possibilità di un recovery rapido in caso di incidente.

Sulla base dell’esperienza raccolta collaborando con aziende in tutto il mondo, abbiamo sviluppato una serie di best practice per la protezione e il ripristino da attacchi ransomware.

1. Sviluppare un programma che copra ogni necessità di dati. È importante identificare dove vengono archiviati i dati critici, determinare i flussi di lavoro e i sistemi utilizzati per gestire i dati, valutarne i rischi, attuare controlli di sicurezza e fare una pianificazione contro le minacce in evoluzione. Se non sono protetti, non possono essere recuperati.
2. Utilizzare tecnologie affidabili di protezione dei dati. Servono soluzioni in grado di rilevare e notificare potenziali attacchi, che sfruttano gruppi CERT esterni, identificano e prevengono le infezioni, mantengono un’immagine “GOLD” di sistemi e configurazioni, mantengono una strategia di backup completa e forniscono un mezzo per monitorarne l’efficacia.
3. Adottare processi di backup e Data Recovery (DR). Non basta fare affidamento esclusivamente su snapshot o backup di replica. I dati dei processi di backup potrebbero essere facilmente crittografati e danneggiati se non vengono memorizzati in modo sicuro, fuori dalla portata di un attacco ransomware. Se i processi o i vendor coinvolti non offrono protezione contro il ransomware affrontando un’archiviazione corretta dei dati, allora il piano di backup è in grave pericolo!
4. Educare i dipendenti sui pericoli del ransomware e sul modo di proteggere gli endpoint. Istruire il personale su tutte le best practice di DR e sicurezza dei dati per integrare la protezione dei dati presenti sugli endpoint all’interno del programma complessivo di sicurezza delle informazioni. La maggior parte delle violazioni derivano da errori commessi in buona fede.
Valutare l’attuale preparazione ad affrontare minacce ransomware e applicare questi passaggi chiave farà in modo che l’organizzazione stia facendo tutto il possibile per evitare di trasformare le conseguenze a lungo termine degli attacchi ransomware da semplice possibilità a dura realtà. Nel caso in cui si venisse colpiti, l’obiettivo diventa quello di ridurre al minimo le conseguenze e recuperare velocemente dati e operatività.

È necessario proteggere i dati degli endpoint in modo da ridurre il rischio di perdita dei dati, preferibilmente tramite una soluzione semplice e unificata, che protegga l’ambiente IT ibrido e i numerosi endpoint presenti in azienda. Le migliori soluzioni coprono gli utenti finali con tanto di protezione dei dati, sicurezza e maggiore visibilità sui dati aziendali – indifferentemente archiviati su computer portatili, desktop o servizi di file sharing basati su cloud. L’obiettivo è quello di mantenere il controllo, con funzionalità complete di backup e ricerca di file e cartelle – anche nel caso in cui siano esterni al data center – e contribuire a proteggere dalla perdita di dati derivante da attacchi malware e ransomware, come quelli che abbiamo visto in questi giorni.