A cura di Edwin Weijdema, Global Technologist, Veeam
Milano, 12 ottobre 2022 – Con oltre 236 milioni di attacchi ransomware nella prima metà del 2022, gli attacchi stanno crescendo in volume e intensità e stanno colpendo quasi tutti i settori industriali. Ciò è dovuto all’afflusso di nuovi criminali del ransomware e agli sforzi più audaci per assicurarsi il pagamento di riscatti da parte dei malintenzionati.
Tuttavia, anche se molte organizzazioni si affrettano a pagare il riscatto quando vengono attaccate, questo non fornisce alcuna garanzia di riavere i propri dati. Secondo il Veeam Ransomware Trends Report 2022, il 52% delle organizzazioni globali con dati criptati ha pagato il riscatto e recuperato con successo i propri dati, ma una su quattro non è riuscita a recuperarli. Di conseguenza, il dibattito sull’opportunità di pagare o meno continua a essere molto controverso. Mentre alcuni pagano per cercare di tornare rapidamente online e riprendere le operazioni, altri che hanno pianificato l’inevitabile possono recuperare i dati senza pagare.
È invece necessario che tutte le organizzazioni raggiungano un livello di temerarietà che gli possa permettere di rifiutare il pagamento sapendo che il loro backup dei dati è sufficientemente rigoroso da garantire che i tempi di ripristino siano bassi e la perdita di dati pari a zero.
I pericoli di dire ‘si’
Prima che le organizzazioni possano raggiungere questo punto di “non paura”, ci sono molti passi da fare, ma prima devono considerare il motivo per cui pagano le richieste e capire il pericolo di dire “sì”.
Fondamentalmente, sono spaventati e cercano di evitare diverse conseguenze dannose. Il danno alla reputazione è uno dei principali, così come le preoccupazioni dei dipartimenti di sicurezza per le ripercussioni sul loro lavoro. Questo spinge le organizzazioni a effettuare pagamenti nella speranza di rimanere fuori dalle cronache e che il disastro si risolva in modo tranquillo.
Una nota più seria è rappresentata dai metodi utilizzati dai criminali del ransomware, che spesso fanno pensare alle organizzazioni di non avere davvero scelta. Le bande di ransomware prendono di mira i backup, lasciando le organizzazioni in una posizione difficile: anche se hanno eseguito il backup dei dati, questo fa parte dell’attacco. Se si guarda alla mente di un criminale di ransomware, si capisce perché prenderebbe di mira i backup: dopo tutto, sono i dati più preziosi, sensibili e critici per l’azienda ad avere la priorità per il backup, in modo che gli aggressori sappiano che ciò che stanno ottenendo è cruciale per le funzioni aziendali, piuttosto che dati di cui le organizzazioni possono fare a meno.
Purtroppo, come sappiamo, pagare il riscatto non significa che i dati saranno recuperati con successo e che il caso sarà chiuso. Anzi, in molti casi il pagamento del riscatto scatena una reazione a catena. Se pagate le richieste di riscatto, state dicendo ai vostri aggressori che farete tutto ciò che vi chiederanno, e questo li porterà a sfruttarvi ulteriormente. Solo circa un’organizzazione su quattro ha subito un solo attacco, ma i malintenzionati sono tornati per altri attacchi e hanno avanzato ulteriori richieste. Si tratta della cosiddetta doppia o tripla estorsione.
La doppia estorsione è talvolta nota anche come “estorsione del nome e della vergogna”, e questo comunica molto chiaramente il motivo per cui è una minaccia per le organizzazioni e per cui queste pagano nella speranza di evitarla. Questo tipo di attacco ransomware comporta non solo il furto e la crittografia dei dati, ma anche la loro diffusione. Gli aggressori estorcono i loro obiettivi minacciando di condividere i dati rubati, ad esempio con i loro concorrenti.
La tripla estorsione aggiunge ulteriore pressione alla tattica della doppia estorsione, minacciando anche un attacco DDoS (Distributed Denial-of-Service) se il pagamento non viene effettuato in tempo. Quando ciò accade, le organizzazioni possono sentirsi davvero disperate: non solo hanno subito l’esfiltrazione e la crittografia dei loro dati, ma rischiano anche la loro pubblicazione e la chiusura completa della loro attività in caso di attacco DDoS.
Purtroppo, il più delle volte questo è ciò che accade quando si pagano le richieste di ransomware, e il modo migliore per evitarlo è assicurarsi che la propria strategia di backup sia abbastanza solida da poter dire di no.
Creare un backup a prova di bomba
Il backup è l’ultima linea di difesa contro gli attacchi ransomware, ma non tutti i backup sono uguali. Non è sufficiente avere un backup: come abbiamo visto, questi ultimi sono presi di mira dagli aggressori. I repository di backup sono stati presi di mira nel 94% degli attacchi e quasi il 70% degli eventi informatici ha visto colpiti almeno alcuni repository.
Questo significa che potete dire no alle richieste di ransomware solo se state proteggendo i dati giusti nel modo giusto. Per poterlo fare, è necessario essere molto attenti alla classificazione dei dati. Al giorno d’oggi, le organizzazioni hanno e continuano a produrre una grande quantità di dati. Sembra semplice, ma è fonte di notevoli difficoltà. Fondamentalmente, quando ci si trova di fronte a una quantità apparentemente infinita di dati, è difficile sapere quali sono le parti importanti e dove risiedono. Per rafforzare la vostra strategia di protezione dei dati in modo da poter dire no alle richieste, dovete assicurarvi di sapere quali dati avete e di quali dovete fare il backup.
I dati non classificati non sono etichettati o identificabili e questo rende più difficile assegnare un livello di rischio ai set di dati. Se volete proteggere i dati mission-critical, dovete prima identificarli. Inoltre, l’etichettatura dei dati ad alta priorità è una parte importante del recupero degli stessi. Spesso le aziende non possono essere sicure di quali set di dati siano stati violati in un attacco e questo è un altro fattore che le spinge a pagare il riscatto, poiché non possono escludere che i loro dati più sensibili siano stati compromessi, oltre a non poter individuare set specifici da recuperare.
Oltre a garantire la classificazione dei dati, è essenziale seguire la regola d’oro del backup “3-2-1”, ma con una novità.
Abbiamo sviluppato questa regola che prevede tre copie di ogni set di dati, salvate su un minimo di due supporti diversi e con una delle copie conservata fuori sede. Abbiamo aggiunto qualche altro numero alla fine di questa regola, rendendola “3-2-1-1-0”. Oltre ai passi consueti, consideriamo alcuni altri elementi non negoziabili.
In primo luogo, una copia dei dati di backup deve essere ospitata offline, una deve essere air-gapped o immutabile e, in generale, non ci devono essere errori nella fase di test. Può sembrare un’osservazione semplice, ma spesso viene trascurata: il backup è utile (in caso di attacco o più in generale) solo se viene verificato per garantire l’assenza di errori. In caso contrario, non è possibile ripristinare il sistema come previsto. Questo si ottiene con un monitoraggio giornaliero: i backup non devono essere lasciati da soli come qualcosa da conservare per le emergenze, ma devono essere considerati come un elemento vivo e bisognoso di attenzioni costanti.
Ciò riflette i cambiamenti più ampi nell’atteggiamento delle aziende nei confronti della protezione dei dati, nonché le loro mutate esigenze. Il rapporto Veeam Data Protection Trends 2022 ha analizzato quali sono le priorità delle aziende al giorno d’oggi e ha rilevato che l’eterogeneità è fondamentale. Per “eterogeneità” intendo una strategia di protezione dei dati ottimizzata per proteggere il carico di lavoro moderno, che è distribuito tra server on-premise e cloud. Dato che le aziende si stanno muovendo sempre di più in questa direzione, dovrebbero anche assicurarsi di sbloccare i vantaggi di questa strategia di protezione dei dati.
Orientarsi al recupero
Al giorno d’oggi, gli attacchi ransomware sono inevitabili. Non è una questione di “se”, ma di “quando”. Ciò significa che, anche se avete imparato la vostra strategia di backup, questa è solo metà della battaglia.
L’altra metà riguarda la preparazione per ottimizzare il ripristino dei dati e il tempo impiegato (RTO). Si tratta di un processo che assorbe molto tempo. Le organizzazioni impiegano in media 18 giorni per completare la bonifica dei dati, ma per il 15% di esse questo processo può durare mesi (da 1 a 4 mesi). Oltre a richiedere molta manodopera, questo significa anche che le funzioni aziendali vengono interrotte durante il periodo di inattività. Per evitare che ciò accada, è importante assicurarsi di avere l’infrastruttura giusta per supportare un rapido ripristino.
Anche in questo caso, un approccio moderno al backup dei dati può aiutare: se si esegue il backup dei dati on-premise e nel cloud, si ha la possibilità di recuperarli da entrambi i server contemporaneamente. Inoltre, si dispone di un’ulteriore linea di difesa, dato che il 40% dei server ha subìto interruzioni impreviste. Se tenete conto di questo dato e vi organizzate di conseguenza, potete dare alla vostra organizzazione più potere per dire no alle richieste di riscatto, sapendo di avere più backup a portata di mano.
Le organizzazioni tendono ad affidarsi al recupero incrementale dei dati, considerandola un’opzione più economica. Tuttavia, con l’aumento del costo degli attacchi ransomware, vale la pena intraprendere il lavoro necessario per supportare il recupero su larga scala. Ciò comporta la riprogettazione dell’infrastruttura in modo da consentire alle organizzazioni di recuperare i dati in modo rapido, per tornare all’attività ordinaria in un periodo di tempo molto più breve di 18 giorni.
Una volta affrontati i fattori che portano al pagamento di ransomware, diventa molto più facile generare la forza necessaria per rifiutare. In futuro, le organizzazioni devono lasciarsi alle spalle la paura, grazie a una strategia di backup rinnovata che garantisca la tranquillità.