I dati del Rapporto Clusit 2023 indicano che nel 2022 il 7,6% degli attacchi globali è andato a segno, e oltre la metà è stata causata da malware. Nel 95% dei casi le conseguenze sono state gravi o gravissime a livello economico, sociale e di immagine. Nel nostro Paese sono sotto pressione le aziende manifatturiere del Made in Italy, quelle del settore tecnico-scientifico e dei servizi professionali, soprattutto dove mancano consapevolezza o risorse.

Ecco perché, in occasione del World Backup Day, Clusit sottolinea l’esigenza di alzare la guardia, seguendo tre regole d’oro: dotarsi di un piano di continuità operativa e tenerlo aggiornato via via che l’organizzazione evolve, implementare un ambiente di Disaster Recovery in grado di garantire la continuità aziendale e prevedere un backup immutabile di tutti i dati dell’organizzazione.

Gli specialisti del backup di Veeam ricordano inoltre che un backup solo non basta: per una soluzione davvero resiliente è necessario raddoppiare la vecchia regola del 3-2-1, che recitava di tenere 3 (o più) copie dei dati su 2 (o più) supporti diversi, di cui almeno 1 off-site. In sostanza, gli esperti consigliano di archiviare le due copie di non produzione dei dati di backup su target immutabili, possibilmente entrambe su storage a oggetti.

Quanto all’opzione off-site, l’indicazione è di appoggiarsi al cloud on-premise (intrinsecamente fuori sede), a diverse cloud regions (sicuramente fuori sede) per le due copie e a zone di disponibilità e abbonamenti cloud diversi (logicamente fuori sede e astratti).

Leggi anche: Speciale Backup e protezione dei dati

Le strategie di backup

Barracuda Networks ha invece preferito concentrarsi sugli errori compiuti in fase di creazione o gestione dei backup che agevolano il lavoro dei cyber criminali. I suoi esperti ne hanno indicati cinque:

• Elevati livelli di accesso ai software di backup – Più alto è il numero di persone che possono accedere al software di backup, maggiore è il rischio che gli attaccanti usino credenziali rubate con diritti di amministrazione del dominio o altri diritti di accesso privilegiati per infiltrarsi.
• Sistemi di backup collegati alla rete – Se un sistema di backup è connesso alla rete aziendale, gli hacker possono spostarsi lateralmente, a partire dall’endpoint compromesso, per individuare e ottenere l'accesso al software di backup e infine disattivare, rimuovere o eliminare i file salvati.
• Accesso remoto ai sistemi di backup – Se i sistemi di backup devono collegarsi da remoto ai server per salvare o gestire i dati, un approccio poco rigoroso all'autenticazione delle password può esporre i sistemi protetti nel caso in cui le credenziali vengano rubate o scoperte.
• Backup poco frequenti – Se anche si dispone di un backup efficace, eseguirlo con scarsa frequenza significa correre il rischio di perdere giorni, settimane, o anche mesi di dati in caso di improvvise necessità di ripristino in seguito a una crisi.
• Backup non testati – Potrebbe sembrare ovvio, ma non si può sapere se un processo di backup e ripristino funziona finché non lo si testa.

Sophos invece opta per cinque consigli propositivi. Il primo è la base: affinché il backup possa essere uno strumento difensivo è necessario che sia eseguito con una cadenza regolare. Con altrettanta regolarità bisogna controllare che tutti i dati raccolti siano effettivamente utili e importanti; in caso contrario meglio eliminare quelli non necessari in modo da diminuire tempo e spazio per eseguire il backup e semplificare gli obblighi di privacy e conformità.

Il terzo e quarto passaggio sono invocati da tutti i vendor: è fondamentale che il backup sia crittografato e immutabile, per evitare che un attaccante possa cancellarlo, sovrascriverlo o esfiltrare i dati e che una copia sia conservata offsite. L’ultimo consiglio invece è importantissimo: un backup può essere considerato tale solo se è possibile l’effettivo ripristino dei dati. è necessario sapere esattamente quanto tempo occorre per il processo di ripristino e se sia effettivamente possibile ripristinare un solo file rispetto alla mole totale del backup.

Non solo backup

È infine fondamentale il suggerimento di Bitdefender: il backup da solo non basta, dev’essere calato in un contesto di protezione e prevenzione dai cyber attacchi dati da moderne piattaforme di security. Le soluzioni tecnologiche più recenti, come l'Extended Detection and Response (XDR), aiutano a rilevare precocemente gli attacchi complessi correlando gli eventi e i comportamenti delle minacce in più ambienti, per aiutare a bloccare i criminali prima che possano crittografare i dati a scopo di riscatto e/o esfiltrarli a scopo di estorsione.

Si tratta di una soluzione di sicurezza a più livelli, che riduce al minimo la superficie di attacco e che utilizza controlli automatizzati per bloccare la maggior parte degli incidenti di sicurezza. La gestione dell'accesso alle identità (IAM) continuerà a svolgere un ruolo altrettanto critico. Un solo account utente dirottato può compromettere tutti i backup, indipendentemente dalla loro ubicazione.