Ransomware: riprendersi dall’inevitabile

Come prepararsi per difendersi da un attacco ransomware e gestirlo nel momento in cui si verifica: questioni legali, finanziarie, tecniche.

Autore: Edwin Weijdema

Con l'avanzare del panorama della criminalità informatica, che si sposta dall'ambito aziendale a settori come le infrastrutture critiche e la sanità, molti si accorgono che le misure di cybersecurity esistenti non sono sufficienti a tenere a bada i malintenzionati. Come possono quindi le aziende assicurarsi di essere adeguatamente preparate a rispondere a minacce informatiche in continua evoluzione?

L'inevitabilità di un attacco

Il primo passo per una preparazione adeguata è la consapevolezza che un attacco è inevitabile. Con il 71% delle organizzazioni a livello globale vittima di una qualche forma di attacco ransomware nel 2022, ora non si tratta più di capire se o quando, ma quanto spesso un'azienda subirà un attacco ransomware. Le aziende che negano l'inevitabilità di un attacco non solo saranno più esposte, ma saranno anche più lente a riprendersi quando un attacco viene sferrato. La rapidità del ripristino è fondamentale, perché più a lungo i sistemi restano inattivi, più gravi saranno i danni finanziari e di reputazione.

Il processo di difesa informatica deve quindi essere incentrato sulla prevenzione delle minacce, sulla bonifica e sul ripristino dell'operatività nel più breve tempo possibile. Solo se le aziende sono in grado di mettere in atto le proprie strategie di risposta e ripristino non appena si capisce che un attacco ha colpito, saranno in grado di ridurre al minimo i danni.

p>
Edwin Weijdema, Field CTO EMEA, Veeam

Progettare il ripristino

Non c'è dubbio che i team di cybersecurity delle aziende siano sottoposti a un'immensa pressione nella lotta contro il ransomware, ma da soli non possono fare molto. È necessario essere consapevoli del fatto che non è possibile fermarlo alla fonte e che per difendersi dal ransomware è necessaria una combinazione di persone, processi e tecnologia.

Il mondo digitale può apparire complesso, soprattutto nel caso di grandi strutture aziendali, quindi, può essere utile sottolineare che il mondo digitale e quello reale non sono poi così diversi. Le protezioni digitali, come i sistemi di patch, l'autenticazione a più fattori, la protezione dei dati e il rischio di minacce interne, hanno tutte delle controparti nel mondo reale: finestre aperte che devono essere chiuse a chiave di notte, doppia chiusura della porta d'ingresso, chiusura degli oggetti vitali in una cassaforte e irruzione opportunistica attraverso finestre o porte non chiuse. Tuttavia, sebbene l'utilizzo di una combinazione di persone, processi e tecnologia per ridurre al minimo gli attacchi sia fondamentale, alcuni di essi inevitabilmente sfuggiranno, ed è qui che entra in gioco il ripristino.

Sebbene i backup dei dati solidi e sicuri siano una parte fondamentale di qualsiasi strategia di ripristino da ransomware, non sono l'unico strumento. I Recovery Time Objectives (RTO) e i Recovery Point Objectives (RPO) sono parametri fondamentali per la costruzione di strategie di disaster recovery. Aggiungono una metrica quantificabile all'interruzione che mostra quanto un'azienda può tollerare. L'RTO rappresenta il tempo massimo in cui un'azienda può tollerare di rimanere offline, mentre l'RPO rappresenta la quantità massima di dati che possono essere persi prima di causare danni. Questi calcoli del rischio possono aiutare le aziende a creare il loro piano di ripristino d'emergenza e a stabilire la frequenza con cui è necessario eseguire il backup dei dati o la velocità con cui è necessario riportare i sistemi online.

In alcuni casi, il ripristino dei dati può richiedere mesi. Ci sono aziende che semplicemente non sopravvivono a questo livello di impatto e per quelle che ci riescono la perdita di tempo operativo può portare a un impatto finanziario devastante. Inoltre, le interruzioni prolungate non causano solo problemi finanziari, ma incidono anche sulle operazioni e sulla fiducia di dipendenti, clienti e stakeholder. Ecco perché la pianificazione del ripristino deve essere un processo fondamentale della strategia di protezione dei dati di un'azienda.

Il ruolo del backup

Il ripristino rapido dopo un attacco ransomware è l'obiettivo finale e un backup a prova di bomba è fondamentale per raggiungere questo obiettivo. Può sembrare semplice, ma un backup incompleto o troppo popolato non farà altro che ostacolare il processo di ripristino, mentre la copia di set di dati inutilmente grandi o solo parziali può lasciare delle lacune, che possono essere problematiche in caso di attacco. Per riprendersi rapidamente, le organizzazioni devono dedicare del tempo a determinare quali dati sono critici per le operazioni aziendali e quindi essere selettivi su cosa viene eseguito il backup e come.


A questo punto è necessario applicare la regola del backup 3-2-1-1-0. Ogni set di dati deve essere copiato tre volte, salvato su almeno due supporti diversi, con una copia conservata fuori sede. Inoltre, una copia dei dati deve essere ospitata offline e deve essere air-gapped o immutabile - rendendola irraggiungibile e immodificabile - e, infine, non ci devono essere errori. I backup stessi sono spesso presi di mira dai criminali informatici, che lasciano i dati vitali nelle mani dei criminali e rendono impossibile per le aziende recuperare i dati e riprendere le operazioni. Un backup immutabile impedisce l'alterazione dei dati, mentre la presenza di più backup consente di ripristinare i dati più rapidamente, accelerandone il processo.

Impatti nascosti

Sebbene il ripristino sia la priorità dopo essere stati colpiti da un attacco ransomware, ci sono anche altri impatti che devono essere presi in considerazione. In primo luogo, potrebbe sembrare un'osservazione ovvia, ma spesso si trascura di considerare un attacco ransomware come un crimine. Subito dopo la segnalazione di un attacco, si svolgerà un'indagine di polizia, durante la quale le aziende non potranno accedere ai sistemi infetti. Per questo motivo, disporre di backup che consentano l'accesso ai dati senza dover entrare nel server compromesso è fondamentale per continuare a svolgere la propria attività mentre si svolge il processo di ripristino. Per ridurre al minimo i danni finanziari e di reputazione, è importante mantenere una facciata ininterrotta, anche quando le aziende sono impegnate nel ripristino.

Nel mondo della protezione e della sicurezza dei dati non c'è pace, quindi, durante queste indagini l'azienda deve anche decidere le proprie strategie di comunicazione interna ed esterna. In questa fase del processo, dipendenti, clienti e altri stakeholder vengono coinvolti e devono essere informati sui sistemi a cui possono o non possono accedere, sui dati che sono stati compromessi e su come l'incidente potrebbe avere un impatto sulle operazioni aziendali a lungo e a breve termine. Le strategie di maggior successo prevedono una comunicazione tempestiva, chiara e onesta che fornisca il maggior numero di informazioni possibili, soprattutto in caso di violazione di dati sensibili. Avere una chiara visione d'insieme dei dati sensibili o fondamentali per l'attività aziendale e della loro ubicazione, garantirà che queste comunicazioni siano complete e che l'impatto dell'attacco sulle attività possa essere rapidamente scoperto.

Un altro costo nascosto di un attacco ransomware dannoso è l'onere associato che devono affrontare i responsabili della protezione della reputazione e del futuro dell'azienda. Un processo di risposta ben definito prima di un attacco può ridurre al minimo il rischio di prendere decisioni critiche sotto pressione e potrebbe preservare posti di lavoro, dati aziendali e il benessere generale del team.

La sicurezza dei dati dovrebbe essere in cima all'agenda aziendale e sicuramente tiene svegli di notte i leader aziendali, per non parlare dei membri del personale che si occupano di questo problema. Il ransomware è inevitabile, quindi progettare una strategia di ripristino su misura che tenga conto degli obiettivi e delle pressioni specifiche dell'azienda garantirà che l'impatto del ransomware sia il minimo possibile. La presenza di questo quadro di riferimento garantirà all'azienda e ai suoi stakeholder la certezza di essere in una posizione forte per intraprendere un'azione rapida e decisiva quando i malintenzionati colpiscono.

Edwin Weijdema è Field CTO EMEA di Veeam


Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.