I backup, da soli, non bastano

Al giorno d’oggi, tutti conoscono la parola “ransomware”: la si trova su giornali, riviste, report di sicurezza informatica, praticamente ovunque e con allarmante regolarità. Avremmo potuto indicare il 2016 come l’anno dei ransomware, ma si è rivelato essere nulla in confronto al 2017. Dopo un 2018 e un 2019 relativamente tranquilli, nel 2020 i ransomware sono tornati a fare notizia.

In questa situazione il consiglio più diffuso è semplicemente quello di eseguire il backup di tutti i dati.

Ma questo basta? Non proprio.

Vediamo perché.

I backup devono essere recuperabili facilmente

I backup, ovviamente, sono necessari. Tuttavia chiunque abbia mai avuto a che fare con i backup, sa di dover controllare regolarmente la loro integrità, di dover fare un po’ di pratica eseguendo il ripristino del server e, in generale, di fare in modo che, se necessario, il ripristino non richieda troppo tempo. E chi non ha mai provato a eseguire il ripristino dell’attività a partire da un backup non dovrebbe stare tranquillo: è abbastanza probabile che i backup non aiutino quando il danno ormai è fatto.

Ecco un problema nel fare affidamento su un backup: se il server di backup si trova all’interno del perimetro della rete, allora il ransomware lo cifrerà insieme a tutti gli altri computer della rete, il che significa: addio ai piani di ripristino.

Suggerimento: massimizzare la probabilità di un ripristino rapido segmentando la rete, eseguendo i backup in modo saggio ed effettuando dei test di recupero.

I tempi di inattività sono costosi

Per le grandi aziende con diversi dispositivi e infrastrutture, è improbabile che il ripristino avvenga in tempi rapidi. Anche se il backup funziona perfettamente, e ci si rimbocca le maniche per ripristinare il tutto, sarà comunque necessario un bel po’ di tempo.

In ogni caso, i tempi di inattività dopo un attacco ransomware sono inevitabili; è impossibile decifrare e far ripartire subito tutti i sistemi e i servizi, anche se i criminali informatici sono così gentili da fornirvi un decryptor. Nel mondo reale, i cybercriminali non sono così educati, e anche se lo fossero, il decryptor potrebbe non funzionare come previsto.

Suggerimento: per evitare i tempi di inattività legati ai ransomware, non fatevi infettare, proteggendo e rendendo consapevoli tutti i dipendenti.

I ransomware moderni

I ransomware un tempo si rivolgevano principalmente agli utenti privati, chiedendo a cambio circa 300 dollari in criptomonete. Ora, però, i cybercriminali hanno scoperto i vantaggi di attaccare le aziende, che possono pagare (ed è più probabile che paghino) riscatti molto più ingenti.

Il moderno ransomware non si limita a cifrare, ma si annida nelle reti e sottrae ogni bit di dati che riesce a fiutare. I dati vengono poi analizzati e utilizzati per ricattare le aziende con dati cifrati, fughe di informazioni o entrambi. Il mancato pagamento, si evince dal messaggio di ricatto, porterà alla pubblicazione dei dati personali dei clienti o dei segreti commerciali dell’azienda.

Se un intruso decide di divulgare segreti aziendali o dati personali degli utenti, i backup non vi salveranno. Inoltre, se si memorizzano i backup in un luogo, come sul cloud, che è relativamente facile da raggiungere da parte di un insider, quest’ultimo potrebbe fornire ai cybercriminali le informazioni necessarie per ricattarvi.

Suggerimento: i backup sono necessari, ma da soli non sono sufficienti a proteggere la vostra azienda dai ransomware.

Le tre colonne di difesa dai ransomware

Ancora una volta, poiché non esiste una soluzione a prova di bomba per respingere i ransomware, il consiglio è lo stesso: il backup è assolutamente necessario, ma deve essere fatto correttamente, con diligenza e prove di recupero.

Anche la protezione è d’obbligo, non solo reattiva, ma anche proattiva, che impedirà alle minacce di farsi strada nella rete. La formazione dei dipendenti sulle basi della sicurezza informatica e il controllo regolare delle loro conoscenze è altrettanto importante.

In breve, la sicurezza informatica è racchiusa in queste tre parole: backup, protezione, consapevolezza.

Segui il blog targato Musa Formazione per altri articoli sulla sicurezza informatica e scopri il corso di Ethical Hacker & Security Manager per diventare un esperto in questo ambito.

Al prossimo articolo!

Ethical Hacker & Security Manager