Dei pericoli del ransomware si parla ormai da alcuni anni, perlomeno dall’attacco in grande stile di Wannacry del 2017, che mise sotto scacco diverse aziende europee e il sistema sanitario britannico.
Eppure, oggi che più che mai, questa minaccia pare attuale, tanto che secondo il Clusit ogni 11 secondi va a buon fine un attacco di questo genere, che non risparmia né grandi né piccoli, come ha dimostrato alcuni mesi fa il caso Colonial Pipeline, il mega gasdotto americano che si è ritrovato vittima di un attacco di questo tipo.
La “colpa” della rinnovata popolarità di questo malware è della accelerazione digitale che abbiamo tutti vissuto nel post pandemia, che ha fatto sì che buona parte dei processi aziendali siano ormai stati affidati al digitale. Scelta di cui sono perfettamente consapevoli gli hacker, che hanno moltiplicato gli sforzi per rubare quanti più dati possibile.
La situazione, insomma, è decisamente complicata, come ha raccontato Francesco Bonetti, Senior System engineer di Veeam Software Italia nel corso di uno speciale webinar Consigli e Strumenti contro i Ransomware: scopri come proteggere i tuoi dati e le tue mail organizzato in collaborazione con 3C.
“Subire un attacco esterno non è una questione di se, ma di quando. Questi attacchi possono essere paragonati a delle reti nel mare, che cercano di tirare su qualsiasi cosa, dal pesce piccolo a quello grande. Nessuna azienda può ritenersi al sicuro, ma a volte non c’è questa consapevolezza, soprattutto da parte dei piccoli, mentre la grande azienda solitamente ha investito di più. Questi investimenti sono però soprattutto indirizzati nell’alzare i muri di difesa, cosa che però non sempre può bastare. Bisogna sempre pensare ad avere un’ancora di salvataggio, un qualcosa che, anche se gli attaccanti riuscissero a buttare giù le nostre mura di difesa – ci consenta di ripartire. Stiamo cercando di educare clienti e prospect, non soltanto ad alzare le difese, ma anche avere un piano B di ripartenza, in caso di attacco riuscito”.
Questo ragionamento è vero anche nel cloud, formula che ormai caratterizza buona parte delle scelte tecnologiche aziendali, con il dominio di piattaforme basate sull’as a service, come Microsoft 365.
Il grande errore è pensare che, nel momento in cui ho portato i miei dati sul cloud, la protezione dei dati spetti esclusivamente ai provider:
“La realtà è ben diversa. Microsoft si occuperà dei server e dei suoi data center, ma il dato occupato all’interno dell’infrastruttura resta di nostra responsabilità. Ogni cloud provider è infatti responsabile dell’uptime del servizio, mentre le aziende restano responsabili dell’utilizzo del dato. Prendiamo ad esempio la posta elettronica: cosa dicono le retention policy di default di Microsoft? Questi dati rimangono nella inxbox per 2 anni, poi vengono spostati nell’archivio on line. I dati del cestino, invece, ci rimangono per 1 mese, poi sono definitivamente cancellati. Anche i dati dell’utente che lascia l’azienda non hanno vita lunga: tutto viene cancellato per sempre dopo 30 giorni” — evidenzia Bonetti.
Questo rappresenta un problema non da poco per le imprese, considerato che l’intervallo temporale tra il momento in cui avviene una compromissione di qualsiasi tipo e la sua scoperta è di oltre 140 giorni, ovvero ben oltre le retention policy by default di Microsoft.
Le soluzioni di Veeam.
Il rischio, insomma, è che buona parte dei dati non siano più recuperabili. In questo senso le organizzazioni possono contare su una soluzione come Veeam backup per Office 365, che permette di avere un backup completo di Office 365.
Secondo Veeam ci sono almeno 6 ottimi motivi che possono spingere a una scelta di questo tipo:
- Eliminazione accidentale di file
- Requisiti policy di retention diversi: posso avere bisogno di mantenere questi dati anche per anni
- Requisiti legali e di conformità: dobbiamo essere sempre pronti ad avere dati recuperabili
- Minacce esterne alla sicurezza: applicazioni dannose/ransomware
- Minacce interne alla sicurezza: utenti interne con finalità dolose o meno
- Gestione di infrastrutture ibride a supporto delle migrazioni
In quest’ottica Veeam backup for 365 è un software che può essere installato ovunque, riceve i dati dal cloud Microsoft, compreso teams, ma può proteggere anche i dati on prem, salvandoli su dei repository on premise o in cloud. A livello di licensing la soluzione ricalca quella di Microsoft, ovvero una licenza per ogni utente che si vuole andare a proteggere.
Un’altra arma a disposizione delle organizzazioni è Veeam Backup & replication:
“Dal momento che c’è sempre qualcuno che tenterà di entrare, avere una scialuppa di salvataggio e ripristinare servizio che ogni azienda eroga ha un’influenza primaria. È importante avere la certezza che i nostri dati di backup siano ripristinabili e immodificabili. Primi gli attacchi ransomware come Wannacry andavano a cifrare i dati dei server; quindi, per evitare le conseguenze più gravi sarebbe bastato fare il backup. Oggi gli hacker si sono fatti furbi e prima ancora di cifrare dati in produzione vanno anche a cifrare il backup, cercando di compromettere nostra scialuppa di salvataggio. Quindi occorre far sì che scialuppa sia inattaccabile: in questo caso andiamo a creare un repository Linux inattaccabile, rispondendo così a queste nuove minacce. Per il tempo che si vuole definire il dato che non può essere mai cancellato, persino dallo stesso amministratore, grazie all’inserimento di un flag di immutability.”
Proprio per evitare qualsiasi possibilità di compromissione e assicurare la sicurezza del dato e dei Backup, Veeam con le sue soluzioni Data Labs e Secure Restore permette di creare delle bolle che consentono di verificare l’effettiva ripristinabilità dei dati e la possibile presenza di malware dormiente.
In definitiva, il consiglio di Veeam per mettere al sicuro i dati è quello di creare una strategia:
“L’importante è creare un piano di disaster recovery, relativo anche agli attacchi malware, così da avere procedura da seguire e non trovarsi impreparati. Importante è anche capire punto d’innesco e comprendere se i backup siano effettivamente ripristinabili. Il recente attacco ransomware alla Regione Lazio è stato superato perché i tecnici sono riusciti a ripartire utilizzando del backup e delle snapshot, ripristinando il servizio e non pagando alcun riscatto.”