Mentre gli aggressori prendono di mira privati, aziende e governi, il ransomware è emerso come una delle minacce alla sicurezza informatica più significative del nostro tempo.
Quando i criminali informatici criptano dati preziosi e chiedono pesanti riscatti, paralizzano le operazioni e causano gravi danni finanziari e di reputazione.
In passato alcuni attacchi hanno fatto notizia, ma la minaccia del ransomware è diventata una spiacevole realtà per quasi tutte le organizzazioni. Secondo il Veeam Data Protection Trends Report 2023, l’85% delle organizzazioni è stato colpito da almeno un attacco ransomware lo scorso anno, e poco meno della metà (48%) ha subito addirittura due o tre attacchi.
Quindi, dato che i criminali informatici evolvono costantemente le loro tattiche e trovano nuovi modi per aggirare le misure di sicurezza, è diventato un caso di quando e non di se si verifica un attacco di successo.
I metodi di prevenzione tradizionali, come firewall e software antivirus, sono ancora fondamentali, ma da soli non sono sufficienti per essere preparati agli attacchi ransomware avanzati.
Le organizzazioni devono dare priorità a solide strategie di recupero per ridurre al minimo l’impatto sulle operazioni, sulla continuità aziendale e sulla reputazione.
Sebbene molti riconoscano l’importanza di questo cambiamento, per costruire una resilienza sostanziale contro gli attacchi ransomware, è necessario porre maggiore enfasi sul rafforzamento del piano e del processo di risposta agli incidenti e di disaster recovery.
Guida al ransomware: cos’è, come si prende e come rimuoverlo
Indice degli argomenti
Il riscatto non equivale al recupero
Pagare il riscatto non è una strategia di recupero, e non lo è nemmeno il semplice backup dei dati. Il nostro Veeam Ransomware Trends Report 2023 mostra che la maggior parte (80%) delle organizzazioni ha scelto di pagare il riscatto per porre fine a un attacco e recuperare i propri dati lo scorso anno, con un aumento del 4% rispetto all’anno precedente.
Questo nonostante il 41% delle organizzazioni abbia una politica “Do-Not-Pay” nei confronti del ransomware.
Tuttavia, tra coloro che hanno pagato il riscatto, solo il 59% è riuscito a recuperare i propri dati e il 21% di coloro che hanno pagato ha comunque perso i propri dati.
Allo stesso modo, anche se si potrebbe pensare di avere un backup sufficiente e di poter evitare di pagare un riscatto, oltre il 93% degli aggressori prende di mira i backup durante gli attacchi informatici e nel 75% dei casi è riuscito a debilitare la capacità di recupero delle vittime.
Un processo di ripristino affidabile è costituito da tre fasi: preparazione, risposta e ripristino. La preparazione comprende l’esecuzione di backup (ma i backup non sono tutti uguali, come vedremo più avanti) e, cosa altrettanto importante, la preparazione di un luogo di ripristino.
Questo è un aspetto a cui molte organizzazioni non pensano finché non è troppo tardi. Non è possibile ripristinare l’ambiente originale, che è compromesso e rappresenta una scena del crimine attiva.
Ma non è nemmeno il caso di prepararsi e di affrontare per la prima volta un nuovo ambiente cloud sulla scia di un attacco ransomware in corso.
Una risposta efficace ai disastri comprende la segnalazione e il contenimento dell’incidente, una risposta operativa predefinita e le analisi forensi per assicurarsi di sapere cosa è stato colpito e se gli ambienti (soprattutto i backup) sono stati compromessi.
Solo così è possibile recuperare in tutta tranquillità.
Ripartire dal punto esatto
La preparazione al ripristino in caso di disastro è efficace solo se i backup pianificati sono a prova di bomba. Se si dispone di un solo backup dei dati e questo viene colpito durante l’attacco, si torna al punto di partenza.
Le organizzazioni devono invece seguire alcune regole d’oro per aumentare la resilienza informatica:
- I team di sicurezza devono assicurarsi di possedere una copia immutabile dei dati mission-critical, impedendo agli hacker di alterarli o crittografarli.
- La crittografia dei dati è fondamentale per rendere i dati rubati o violati inaccessibili e inutilizzabili dagli hacker.
- L’aspetto più critico per rafforzare la vostra strategia consiste nel seguire la regola di backup 3-2-1-1-0. Questa regola è essenziale per garantire una protezione e un ripristino dei dati affidabili di fronte a potenziali minacce come gli attacchi ransomware. Si tratta di mantenere un minimo di tre copie dei dati, assicurando che anche se due dispositivi sono compromessi o si guastano, ci sia una copia aggiuntiva disponibile. La probabilità che tre dispositivi si guastino contemporaneamente è bassa. Le organizzazioni dovrebbero archiviare questi backup su due tipi diversi di supporti, ad esempio una copia su un disco rigido interno e un’altra nel cloud. Una copia dovrebbe essere sempre conservata in un luogo sicuro fuori sede, mentre un’altra dovrebbe rimanere offline (air-gapped) senza alcun collegamento con l’infrastruttura IT primaria. Infine, la fase “0” è di importanza fondamentale: i backup devono presentare zero errori. Per raggiungere questo obiettivo è necessario effettuare test regolari senza errori, che dovrebbero essere integrati da un monitoraggio costante e dalla formazione sui processi di ripristino.
Come uscire dal ransomware
Non c’è dubbio che gli attacchi ransomware continuino ad evolversi in modo significativo, crescendo in scala, sofisticazione e impatto. Non è più questione di se un’azienda sarà bersaglio di un attacco informatico, ma di quanto spesso.
Questo cambiamento ha fatto sì che la strada per uscire dal ransomware si stia spostando dalla prevenzione al recupero.
Se la sicurezza e la prevenzione rimangono importanti, il recupero è la nuova frontiera nella lotta contro il ransomware e assicurarsi di avere un piano di disaster recovery efficiente è fondamentale.
Dando priorità al backup dei dati, investendo in moderne tecnologie di recupero e stabilendo solidi piani di ripristino d’emergenza, le organizzazioni possono rafforzare la propria resilienza, migliorare la capacità di recupero dagli attacchi e navigare fuori dal rischio ransomware.
