Cessazione completa e improvvisa delle operazioni con relativi costi di downtime da sommare alle ipotetiche e non sempre affrontabili spese per il riscatto, senza trascurare la inevitabile perdita di reputazione. Il ransomware può avere conseguenze devastanti per le aziende ed è ogni giorno sempre più fondamentale far evolvere e soprattutto rendere sempre più semplici e accessibili gli strumenti di prevenzione e difesa dato che continua ad essere tra le tipologie di attacchi più frequenti e in frenetica evoluzione anche in Italia.
Ransomware, anche se mainstream mai illudersi di conoscerli bene
Ormai diventato un fenomeno noto a tutti, per via dei diversi casi resi noti negli ultimi mesi, il ransomware è un pericolo che la maggior parte delle aziende non conosce in tutti i suoi aspetti. Questo tipo di attacchi ha tipicamente come scopo ha il pagamento di un riscatto e sfrutta l’anello debole della catena informatica, l’utente, ma anche se i più famosi fanno leva sulla crittografia, come Cryptolocker, ne esistono ad esempio anche ad altri che cancellano temporaneamente i dati oppure che bloccano completamente centinaia o migliaia di dispositivi, chiedendo poi, come Winlock, il pagamento di qualche dollaro per riabilitare ogni singolo computer.
“Per quanto riguarda i rischi – spiega infatti Umberto Galtarossa, Partner Technical Manager di Pure Storage – è importante essere coscienti che può verificarsi il danneggiamento non solo dei dati ma anche delle copie di backup effettuate per evitare di dover pagare e, anche quando esse restano conservate, non è detto che il tempo di ripristino sia ragionevole e l’azienda non sia comunque costretta a cedere al ricatto per evitare improponibili downtime di settimane. Anche questa consapevolezza non basta, però: serve approfondire e aggiornarsi continuamente per non farsi trovare impreparati di fronte ad attacchi che evolvono ogni giorno diventando sempre più frequenti, pericolosi e insidiosi”.
La frequenza è legata al cambio di strategia: oggi gli hacker non mirano più ai sistemi informativi ma alla componente umana inviando centinaia di mail o SMS in broadcast certi che una buona percentuale di vittime “abbocchi”. La maggiore pericolosità è spiegata con l’aumento della superficie di attacco e dei dispositivi da cui si accede a dati sensibili ma l’evoluzione più importante da considerare è quella dell’orizzonte temporale. Oggi, infatti, la maggior parte degli attacchi ransomware mostra i propri effetti “in differita” restando dormiente anche per mesi, in modo da rendere sempre più difficile un tracciamento e sempre più improbabile una reazione tempestiva.
Non solo Backup: la strategia a 3 livelli basata su RPO e RTO
Il tradizionale backup di fronte ad un pericolo così multiforme e insidioso è evidentemente insufficiente, le best practices consigliano per lo meno di effettuarne 3 copie, una da conservare in locale, una in un sito remoto e una nel cloud, “per avere sempre un’ancora di salvezza, ma anche questo non basta: si può fare ancora meglio”.
La strategia consigliata da Galtarossa è quella di affiancare al backup giornaliero o settimanale “delle tecniche come gli snapshot o le repliche, che creino una serie di copie applicative più velocemente per garantire un ripristino dati più rapido”. Tenendo conto anche dei due parametri di disaster recovery associati alle attività di ripristino – il recovery point objective (RPO) e il recovery time objective (RTO) – l’ideale sarebbe agire su tre livelli: snapshot, backup e copia di archivio.
Le snapshot risiedono nella infrastruttura, vengono realizzate con un’alta frequenza (a discrezione del cliente), permettono il ripristino anche in pochi secondi ma possono essere conservate in numero limitato e per poco tempo, massimo una settimana, perché occupano molto spazio prezioso nello storage. Il backup tradizionale viene effettuato giornalmente e conservato per qualche mese ma il ripristino può durare anche alcuni giorni. La copia dati archiviata può restare per anni ma non è aggiornata e impone tempi di ripristino anche di diverse settimane a seconda della mole di dati in gioco. “In base a quanto in ritardo ci si accorge dell’attacco, e quindi a quanto indietro si deve andare nel tempo, si può ripristinare più o meno lentamente il dato usufruendo di una di queste tre opzioni” chiarisce Galtarossa aggiungendo che “la decisione va presa anche tenendo conto della quantità di dati che ci si può permettere di perdere”.
Da immutabili a ineliminabili: le “nuove” snapshot contro i modern ransomware
Anche se in numeri fanno pensare ormai che “non sia più il problema del ‘se’ ma del ‘quando’” un attacco possa colpire il suo bersaglio, le aziende più reattive e resilienti che si attrezzano per minimizzare i danni possono trovare nello storage un ottimo alleato contro le sfide della cyber security e, in particolare, contro il ransomware.
Galtarossa illustra come: “in automatico ogni dispositivo può creare snapshot che rappresentano degli importanti punti di ripristino semplici da implementare essendo puntatori, ma i più moderni prevedono anche attività di storage replication. Ricalcando le best practices previste per il backup si conservano snapshot anche in un sito secondario e direttamente e automaticamente nel cloud perché siano non solo a prova di ransomware ma anche di un eventuale fallimento a livello di hardware, di attacchi logici o fisici, anche se molto rari”.
Integrata da tempo nella propria offerta questa strategia snapshot storage based, Pure Storage, consapevole del ruolo fondamentale dello storage nell’alzare il livello della sicurezza delle aziende, ha scelto di creare un ulteriore livello di protezione contro il ransomware. Implementando il “safe mode”, anche su storage già in uso, ci si protegge perfino quando l’attaccante riesce a penetrare come amministratore e non “solo” come client. Quando ciò avviene, infatti, “teoricamente il ransomware diventa in grado di cancellare i volumi e le snapshot – spiega Galtarossa – con safe mode,invece, si rilasciano agli utenti dei profili di autenticazione particolari impedendo all’hacker che ha fatto accesso a un server di procedere con questa azione che porterebbe al blocco delle applicazioni e delle operazioni fino al pagamento del riscatto. Con questa novità le istantanee, già immutabili sia in FlashArray che in FlashBlade, ora diventano ineliminabili assicurando zero downtime e zero spese di riscatto”.
