Solo l'1,4% dei dati è coperto da immutabilità reale; senza test di restore, anche i backup migliori non garantiscono il recovery.
Autore: Redazione SecurityOpenLab
Il backup è ormai un presidio molto diffuso di prevenzione. Eppure, quando arriva il ransomware, solo un'azienda su due riesce a ripristinare i propri sistemi usando le copie di sicurezza. Il dato, rilevato da Sophos nel 2025, è la sintesi più brutale di un problema che il settore conosce bene e risolve poco: la distanza tra avere un backup e essere in grado di usarlo quando conta davvero.
I dati telemetrici relativi al secondo semestre 2025, pubblicati da Acronis TRU, aggiungono un livello ulteriore di dettaglio: circa 170.000 tenant Acronis hanno abilitata l'immutabilità dello storage e proteggono complessivamente circa 49 petabyte di dati. Il footprint totale dello storage gestito sulla piattaforma ammonta a 3.600 petabyte, il che significa che la copertura immutabile reale si ferma all'1,4% dei dati. Il resto esiste come backup; non necessariamente come backup immutabile, testato, e pronto al ripristino.
Gli esperti di Acronis ricordano che i sondaggi di settore raccontano una storia ottimistica. Per esempio, secondo un'indagine sulla resilienza condotta nel Regno Unito nel 2025 il 59% delle organizzazioni dispone di backup immutabili; una ricerca enterprise del 2024 rileva che il 94% utilizza, o intende adottare entro dodici mesi, soluzioni di storage immutabile.
La musica cambia quando si passa dalle parole ai fatti, ossia quando si va a misurare il gap fra l’attivazione del backup immutabile quello che tale backup copre: anche nello studio più ottimistico citato da Acronis TRU, risulta che il 41% delle organizzazioni non dispone ancora di backup immutabili dei dati critici. Il dato Sophos chiude il cerchio: solo il 54% delle aziende colpite da ransomware ha usato i backup per ripristinarsi. Quindi quasi la metà non ci è riuscita o non ha potuto farlo.
Dire che la catena di attacco dei gruppi ransomware è nota da tempo: considerato che un'organizzazione con backup integri e funzionanti può ripristinarsi senza pagare il riscatto, una delle priorità degli attaccanti è cifrare o distruggere le copie di sicurezza della vittima. È il motivo per il quale la guida #StopRansomware della CISA, sviluppata con FBI e NSA, raccomanda backup offline, cifrati e immutabili dei dati critici, con verifica regolare dell'integrità e della disponibilità, precisamente perché molte varianti ransomware cercano di individuare e distruggere i backup accessibili prima di procedere.
Che l'immutabilità sia una buona idea è già stato ampiamente dimostrato e riconosciuto anche dalle istituzioni. Tuttavia, le organizzazioni non stanno attuando le raccomandazioni che ne seguono, nonostante l’abilitazione dell’immutabilità non introduca alcun degrado operativo. Il problema, piuttosto, è da ricercare nelle difficoltà di pianificazione dello storage, nel timore dei costi, nell’incertezza sulle impostazioni di retention, e nella tendenza naturale dei team IT sovraccarichi di rimandare le configurazioni strutturali a favore dei problemi urgenti del giorno.
Un punto che vale la pena esaminare è la preoccupazione per i costi. La telemetria Acronis relativa alla seconda metà del 2025 mostra che il numero di backup è cresciuto di circa il 14% mentre la quantità di dati modificati tra un ciclo e l'altro è cresciuta del 35%. Gli ambienti di backup diventano progressivamente più complessi e costosi, indipendentemente dall'aggiunta dell'immutabilità. Di conseguenza, aggiungere l'immutabilità senza pianificare contestualmente le quote di storage e i criteri di retention può creare pressioni di budget rilevanti. Lo studio Acronis TRU lo dimostra: un workload Exchange da 1 TB protetto con backup di tipo immagine produce 24,76 TB di archivio in trenta giorni; lo stesso workload protetto con backup application-aware del database produce 380 GB nello stesso periodo. Assumendo un costo di 0,025 dollari per gigabyte, la differenza di costo mensile è di circa 619 dollari contro 9,50 dollari.
Quindi la scelta del metodo di backup è una decisione con impatto diretto e misurabile sui costi operativi, che si amplificano in presenza di retention lock che impediscono la cancellazione anticipata dei dati. È comprensibile che i team IT guardino a questi numeri con prudenza. Però la risposta non è rinunciare all'immutabilità, è progettarla con criteri di priorità: partire dai workload davvero critici, scegliere il tipo di backup appropriato per ciascuno, e dimensionare la retention su finestre ragionevoli.
Si tratta di un approccio pragmatico che ha una sua giustificazione: non tutti i dati hanno lo stesso valore in uno scenario di recovery post-attacco: identity store, sistemi finanziari e legali, server di produzione strategici, ambienti collaborativi come Microsoft 365, database chiave. Concentrare l'immutabilità sui workload più critici consente di ottenere il massimo valore protettivo con il minimo impatto sul budget, rinviando a una fase successiva l'estensione della copertura agli altri sistemi.
La configurazione iniziale raccomandata prevede almeno una copia recente immutabile per ciascun workload critico, con backup completi settimanali e retention compresa tra 14 e 30 giorni. Questa finestra è sufficiente per la maggior parte degli scenari ransomware reali: il dwell time medio degli attaccanti prima che l'attacco diventi visibile raramente supera le due settimane, e avere un punto di ripristino pulito in quella finestra temporale è generalmente sufficiente per un recovery completo. Estendere la retention oltre questo periodo richiede una giustificazione specifica, tipicamente normativa.
Sul piano architetturale, il pattern cloud o dual-destination si rivela il più bilanciato: una copia locale garantisce velocità di restore, una copia immutabile su storage separato o in cloud garantisce resilienza. Come spiegato sul blog immutable backup di Acronis, immutabilità e air-gap sono livelli di protezione complementari, in cui l'immutabilità impedisce la modifica o la cancellazione; l'air-gap impedisce l'accesso. Le architetture più robuste combinano entrambe, in particolare per i workload più esposti.
Il passaggio più trascurato è il ripristino, ed è il vero discrimine tra avere un backup e poter fare recovery. Certo è importante monitorare le quote di storage, la durata dei cicli di backup e i tassi di successo; ma la verifica reale della capacità di recovery si fa solo eseguendo restore effettivi in condizioni simulate di emergenza. Questo principio è presente in ogni documento istituzionale sul tema, dalla guida CISA agli advisory specifici sui singoli gruppi ransomware: mantenere backup non basta, occorre verificarne con regolarità la disponibilità e l’integrità.
Come accennato sopra, questa verifica richiede tempo, risorse e una pianificazione che molti team rimandano sistematicamente. Il risultato è che le organizzazioni scoprono se i propri backup siano davvero ripristinabili solo nel momento in cui ne hanno urgente bisogno, cioè durante un incidente attivo, sotto pressione, con i sistemi di produzione compromessi. È il peggior contesto possibile per scoprire che la catena di protezione ha una falla.