La riuscita di un attacco ransomware è purtroppo una notizia quotidiana. Tutte le aziende che basano il proprio lavoro sui dati sono a rischio. Tale rischio non riguarda più solo i team IT e di sicurezza, tanto che oggi occupa anche le discussioni a livello manageriale.
Sebbene non esista un momento favorevole per cadere vittima di un attacco ransomware, esistono momenti decisamente più sfavorevoli di altri.
Si tratta dei casi in cui un’azienda è più vulnerabile. Ad esempio, l’alta stagione dei viaggi sarebbe un periodo piuttosto negativo per un tour operator, e nel peggiore dei casi si potrebbe mettere a rischio l’esistenza stessa dell’azienda. Anche i rivenditori online hanno il loro momento peggiore: si tratta del periodo prenatalizio, quando moltissimi clienti fanno acquisti prima delle feste.
Gli hacker sanno benissimo quando le aziende sono più vulnerabili e a volte aspettano proprio il momento più opportuno per sferrare l’attacco. Nel peggiore dei casi, sono già ben radicati in un ambiente e aspettano solo l’occasione migliore per crittografare i dati.
Una volta completata questa operazione, se il momento è quello favorevole, aumenta la probabilità che la vittima paghi un riscatto per far tornare rapidamente operativi i sistemi vitali. A meno che non disponga della tecnologia giusta!
Indice degli argomenti
Il ripristino dei sistemi può richiedere da giorni a settimane
L’ideale sarebbe che i sistemi per la protezione dei dati di un’azienda fossero così efficaci da impedire totalmente gli attacchi ransomware.
Tuttavia, l’esperienza ci insegna che ad oggi non esiste una difesa al cento per cento efficace contro gli hacker.
E allora, le aziende devono affidarsi alla seconda migliore difesa: un ripristino rapido dei propri sistemi, per dare del filo da torcere agli attaccanti.
Tuttavia, un ripristino rapido non è sempre facile. La ragione principale sta nel fatto che le aziende si affidano a tecnologie di backup legacy per le proprie applicazioni critiche. Tali soluzioni possono ancora risultare adeguate in ambienti molto piccoli, ma per gli ambienti più grandi, tuttavia, il recupero può richiedere giorni o settimane.
Ma perché le aziende vittime di attacco impiegano così tanto tempo a rimettere in funzione i propri sistemi e le proprie applicazioni IT?
L’obiettivo principale è tornare in produzione e non ripristinare singoli server
Il problema fondamentale del ripristino è la differenza tra applicazioni e server. Gli strumenti di backup tradizionali proteggono solo i singoli server. I server possono essere raggruppati, ma ognuno di essi viene protetto singolarmente in un momento diverso del processo di backup.
Ciò significa che il problema del ripristino è già presente al momento del backup: quando l’amministratore del backup ha terminato il ripristino dei server, inizia il vero lavoro. A questo punto è necessario verificare la coerenza e la consistenza di applicazioni complesse composte da server differenti.
Per diverse applicazioni sono necessarie procedure diverse, che di solito solo pochissime persone all’interno dell’azienda conoscono o sono autorizzate a svolgere. Il processo di ripristino di un’applicazione comprende il tempo tecnico della recovery dei vari server che la compongono e quello della verifica di coerenza e consistenza tra gli stessi, prerequisito fondamentale per tornare poi in produzione.
L’obiettivo principale è – infatti – tornare in produzione e non ripristinare singoli server.
L’intero processo può richiedere diverse ore o giorni, a seconda delle dimensioni e della complessità delle applicazioni da ripristinare. Ed è proprio questo il problema quando un attacco ransomware paralizza tutte le applicazioni di un’azienda.
Il numero di dipendenti in grado di ripristinare i dati e riavviare le applicazioni è molto ridotto. È facile calcolare quanto tempo occorre per ripristinare 200 applicazioni critiche se il tempo medio di ripristino per ogni applicazione è di sei ore e sono disponibili due team con le conoscenze e le autorizzazioni necessarie, che lavorano 18 ore al giorno: esattamente 33 giorni.
E questo è proprio il problema di cui un numero allarmante di aziende non è purtroppo consapevole. Si apprende l’importanza di tutto ciò solo in caso di emergenza, purtroppo quando è troppo tardi.
Perché il rischio è sottovalutato?
Negli ultimi anni, nella maggior parte delle aziende, si erano verificati quasi esclusivamente problemi a singole applicazioni. Gli esperti di backup e ripristini di emergenza hanno sempre garantito la loro piena disponibilità per i recuperi, avvenuti in un tempo accettabile di qualche ora.
Il problema è che – di solito – non si ha tanta esperienza con problemi su larga scala. Inoltre, i cosiddetti test di Disaster Recovery (DR) vengono regolarmente superati, il che fa sì che le aziende si sentano al sicuro.
Eppure, questi test sono poco significativi nel caso di un attacco ransomware. Ciò avviene perché, in genere, essi vengono eseguiti su un sottoinsieme delle proprie applicazioni, per limiti stessi delle tecnologie in uso.
Si presume, quindi, che le misure standard adottate durante un normale ripristino funzionino anche su larga scala, quando e se necessario. Questa errata convinzione persiste ostinatamente perché quasi tutti i più noti fornitori di backup pubblicizzano i loro prodotti anche come soluzioni per il ripristino di emergenza.
Ripristino in pochi minuti con pochi clic
La soluzione a questo problema è relativamente semplice, sia dal punto di vista teorico che pratico: invece di proteggere i singoli server, si devono proteggere le applicazioni come gruppi di consistenza e coerenza applicativa fin dall’inizio. Esistono già sul mercato soluzioni moderne che utilizzano la protezione continua dei dati (la cosiddetta CDP) al posto dei backup periodici.
Queste nuove tecnologie riuniscono ripristino di emergenza, backup e mobilità nel cloud in un’unica soluzione semplice e scalabile. Forniscono le basi per una replica continua dei dati senza compromettere le prestazioni e consentono un ripristino coerente delle applicazioni.
Un “journal” tiene traccia di tutte le modifiche nel tempo e, grazie all’orchestrazione nativa, consente il ripristino di file, singoli server, applicazioni complesse o interi data center.
L’orchestrazione e l’automazione consentono alle aziende di predefinire tutto ciò che serve per ripristinare con successo le proprie applicazioni critiche e i propri sistemi IT, gestendo sequenze di avvio, indirizzamenti IP e configurazioni di rete, il tutto con pochi clic. In pratica, questo permette a qualsiasi azienda di ripristinare lo stato esistente a pochi secondi prima di un eventuale attacco.
Obiettivo finale: ridurre il rischio ransomware attraverso il ripristino veloce
Nel panorama odierno delle minacce, chi sferra attacchi ransomware sa esattamente quando può causare i danni maggiori. Per evitare lo scenario peggiore, molte aziende si affidano eccessivamente alle proprie difese tradizionali, dimenticando che possono essere necessarie settimane per riavviare tutte le applicazioni critiche in caso di emergenza. Questo rischio è sottovalutato.
Per evitare lo scenario peggiore in caso di attacco ransomware, è fondamentale un ripristino rapido.
Le moderne soluzioni consentono di recuperare applicazioni complesse con pochi clic, riducendo drasticamente i tempi di ripristino. In questo modo le aziende possono davvero dare del filo da torcere agli hacker, rendendo inutile l’attesa del momento più opportuno per causare i danni maggiori.
Contributo editoriale sviluppato in collaborazione con Zerto