Un attacco ransomware globale, lanciato con una mail infetta e quindi diffuso entro le 24 ore successive in ogni punto nel mondo, sarebbe oggi in grado di crittografare dati in 30 milioni di device impattando 600mila organizzazioni, con costi complessivi superiori ai 200 miliardi di dollari. È quanto emerge dallo studio “Bashe Attack: Global infection by contagious malware”, del progetto Cyber Risk Management (CyRiM, iniziativa pubblico privata di Singapore tra i cui fondatori figura Lloyd’s), secondo il quale numerose realtà sarebbero costrette a pagare il riscatto per decriptare i dati o sostituire del tutto i device infetti.
Il Dipartimento di Giustizia americano (DOJ, Department of Justice) considera oggi il ransomware come un nuovo modello di business per il cyber crime, in grado di diffondersi come una pandemia in tutto il mondo qualora un malware riesca ad attraversare le reti e le interconnessioni di filiera, e quindi ad infettare i computer, restringendo l’accesso ai file, o in alcuni casi portando a una distruzione permanente e irrecuperabile dei dati. Nessuno può dirsi immune, la frequenza con cui avvengono questi attacchi è in continua crescita: se a fine 2016 si poteva stimare una vittima ogni 40 secondi, secondo Cybersecurity Ventures questa frequenza crescerà a 14 secondi nel 2019 e 11 secondi nel 2021.
(Top 10 Malware-Breakdown. Fonte: Center for Internet Security, Novembre 2018)
Una politica efficace di protezione dei dati deve quindi tener conto di questa minaccia, e non deve dimenticarsi che una gran quantità di informazioni (si stima intorno all’80% del totale) è costituita oggi da backup e altri dati non strutturati del business. Il fatto che gli hacker rivolgano sempre di più i loro attacchi a queste risorse deve essere il segnale che si impone un ridisegno della sicurezza e della protezione dei dati se si vuole garantire la continuità del business.
Come proteggersi al meglio dal ransomware, qual è il ruolo dei backup?
Una lezione su come intervenire in modo tempestivo in caso di attacco ransomware è quella fornita da Theresa Miller nel Blog “Why Enterprises Need Great Backups – Ransomware Edition”, di marzo 2019. “Molte aziende si affidano oggi ad ambienti virtualizzati per permettere ai loro dipendenti di lavorare tramite remote dektop e remote app: in queste situazioni però non è inusuale che la piattaforma permetta anche un accesso ubiquo alla rete” scrive Theresa Miller. Ma dalla navigazione gli utenti possono venire in contatto con malware, ad esempio se si clicca su una pubblicità che al suo interno contiene codice malevolo. In questi casi è fondamentale che l’utente segnali immediatamente l’occorrenza di un fatto inusuale, e che in azienda siano instaurati dei processi in modo che da un alert al service desk IT possa partire immediatamente un’attività di isolamento e ripristino post incidente.
Le aziende vanno preparate a gestire un evento come il click che poi da origine ad un effetto non previsto e non corretto, cosicché, dopo la chiamata urgente dell’utente al service desk, un intervento tempestivo possa mettere in evidenza il fatto che il server sia stato compromesso da ransomware. Tra le azioni raccomandate da Theresa Miller:
- il virtual NIC viene disconnesso per assicurare a ciascuno che il server non possa più diffondere il ransomware nei backup o in altri sistemi.
- alcune connessioni sono arrestate
- ciascuno viene contattato ed è spiegato perché le sessioni sono interrotte
- grazie alla strategia di backup dell’azienda, il server è infine ripristinato usando il backup appena precedente al ransomware (essendo questo di appena 10 minuti prima, non ci sono state perdite di dati).
Un’esperienza di questo tipo aiuta ad apprendere come impostare al meglio una strategia di difesa basata su backup efficienti e protetti, come spiega Roberto Visconti, Regional Sales Manager Italy di Cohesity. “L’importante è tener presente le seguenti best practices – commenta Roberto Visconti:
- La necessità di preparare ed educare gli utenti: una segnalazione fatta tempestivamente assicura che il contenimento dell’incidente sia assicurato.
- La disponibilità di backup aggiornati e attuali, per assicurare che i dati del business non sia persi nel momento in cui si ripristina un sistema.
- Una recovery veloce, sempre abilitata da una soluzione di backup efficiente, per rispettare i RTO e RPO di cui il business ha bisogno per assicurare l’uptime dei sistemi”.
Un approccio proattivo per la protezione dei backup
Come spiega Cohesity nell’ebook “Defend Your Data”, considerando la velocità con cui si espande e si modifica oggi il malware, è fondamentale definire una difesa proattiva e un approccio multi-layer alla protezione dei dati. Serve quindi:
- A livello di prevenzione, assicurarsi che i backup non possano diventare oggetto di un attacco;
- A livello di monitoraggio, utilizzare tecniche avanzate di machine learning per scoprire attacchi ransomware
- A livello di risposta, essere in grado di rispondere agli attacchi ransomware individuando e cancellando i file infetti su tutto l’insieme dei dati del business, compresi quelli in Public Cloud, e ripristinando velocemente la situazione attraverso un unico “instant mass restore”.
Cohesity (una delle startup in più rapida crescita nel mercato della Data Protection, nominata nella lista “Next Billion-Dollar Startups 2017,” di Forbes, “Startups: The 50 Industry Disruptors You Need to Know Now,” di LinkedIn e“2017 Emerging Vendors in Storage” di CRN) aiuta le aziende a proteggere, archiviare e gestire i dati secondari, a partire dal backup, passando per il disaster recovery, ambienti di test e sviluppo, analytics, da un unico ambiente che si estende su data center on premise e cloud. Cohesity elimina i silos infrastrutturali e la frammentazione dei dati semplificando radicalmente il backup e la protezione dei dati, facendo convergere servizi files&object, istanze test/dev e funzioni di analytics consolidando tutte queste esigenze in un’unica una piattaforma web scale iperconvergente. La soluzione Cohesity è stata adottata sia da molte aziende Global 1000 sia dalla pubblica amministrazione ed il numero di clienti è in continuo aumento.