Come proteggersi da pirati informatici

MILANO – Secondo il Veeam Data Protection Trends Report 2023, lo scorso anno l’85% delle organizzazioni e aziende è stato colpito da almeno un attacco ransomware 💻. Il problema non è solo diffuso, ma quasi inevitabile al giorno d’oggi. Ci sono tuttavia – secondo Veeam – soluzioni che si possono utilizzare per convivere e difendersi dal ransomware.

*

È chiaro che gli attacchi ransomware sono una minaccia molto reale e presente. Lo scorso anno, il Veeam Data Protection Trends Report ha mostrato che poco meno della metà delle aziende (48%) ha subito due o tre attacchi. Esiste l’assicurazione informatica, che può pagare i danni causati da un attacco ransomware, ma non può mai prevenire o annullare questi danni o l’effetto a catena che crea, come la perdita di clienti e di fiducia. 

Con l’aumento delle minacce di ransomware, sono aumentate anche le clausole dei fornitori di assicurazioni informatiche. Il recente Veeam Ransomware Trends Report ha inoltre rilevato che oltre il 20% delle aziende ha dichiarato che gli attacchi ransomware non sono coperti dal proprio fornitore di assicurazione informatica. Le conversazioni sul ransomware raramente riconoscono che un attacco ransomware è il culmine di una serie di eventi orchestrati da malintenzionati. Il ransomware non compare all’improvviso, ma segue giorni, settimane, mesi o addirittura anni di preparazione.

Gli hacker iniziano con una fase di osservazione. Durante questa fase, si limitano a osservare l’obiettivo per raccogliere informazioni su persone, processi e tecnologie per identificare le opportunità. Dopodiché, per i criminali informatici, si parte con un link di phishing o simili, per consentire l’ingresso e la creazione di una base operativa all’interno dell’infrastruttura dell’obiettivo. A questo punto, rimangono nascosti, ma questo consente loro di arrecare danni significativi. In questa fase gli aggressori esfiltravano i dati e potevano anche distruggere i backup in modo del tutto inosservato, fino a quando non rendevano nota la loro presenza al momento di lanciare la fase finale, l’attacco e la richiesta di ransomware.

*

Sebbene gli attacchi ransomware siano inevitabili – sostengono gli esperti – la perdita di dati non deve essere necessariamente tale. Infatti, se si prendono le giuste precauzioni, è possibile ottenere una resilienza del 100%.  In primo luogo, i team di sicurezza devono assicurarsi di avere una copia immutabile dei propri dati, in modo che gli hacker non possano alterarli o criptarli in alcun modo. Poi, devono criptare i dati in modo che, in caso di furto o violazione, gli hacker non possano accedervi o utilizzarli.

La fase più importante per sigillare la fortezza è quella che chiamiamo la regola del backup 3-2-1-1-0. Ciò significa mantenere un minimo di 3 copie dei dati, in modo che anche se due dispositivi sono compromessi o si guastano in qualche modo, si ha comunque una copia aggiuntiva, ed è molto più improbabile che tre dispositivi si guastino. Le organizzazioni dovrebbero inoltre archiviare questi backup su due tipi diversi di supporti, ad esempio una copia su un disco rigido interno e un’altra nel cloud. Una di queste copie dovrebbe essere sempre conservata in un luogo sicuro fuori sede e una dovrebbe essere tenuta offline (air-gapped) senza alcun collegamento con l’infrastruttura IT principale. La fase 0 è forse la più importante di tutte: i backup non devono presentare errori. Questo può essere garantito da test regolari e da un costante monitoraggio e ripristino.

*

Le organizzazioni prima o poi dovranno affrontare un attacco ransomware: questa è la realtà del mondo in cui viviamo oggi, ma con la crescente consapevolezza aumenta anche la preparazione.