Il ransowmare si riconferma una piaga per la sicurezza aziendale. In un contesto di emergenza sanitaria che ha spinto le aziende ad accelerare la trasformazione digitale e a basare la propria attività sui dati, un attacco ransomware può essere devastante. I dati parlano chiaro: il ransomware è una delle attività più redditizie per la criminalità online. Nell'ultimo anno gli attacchi di questo tipo sono più che raddoppiati (dati McAfee relativi a marzo 2020) e nel primo trimestre del 2020 sono saliti del 25% rispetto al quarto trimestre del 2019 (dati Beazley).

È in questo contesto che si inserisce la riflessione di Mauro Solimene, Country Manager Italia di Pure Storage, secondo cui i cambiamenti innescati dalla pandemia hanno creato nuove opportunità per i cyber criminali. Hanno sfruttato in tutti i modi il fatto che molti lavorano da computer e reti domestiche potenzialmente poco sicure e partecipano a numerose riunioni virtuali, lasciando aperte falle di sicurezza.

Mauro Solimene, Country Manager Italia di Pure Storage

Prevenire non è più sufficiente

Lo scenario non si può cambiare: la pandemia è tuttora in atto e lo smart working resta l'unica opzione produttiva per la maggioranza delle aziende. Quello che si può fare è rivedere la strategia di cybersecurity, partendo da un punto fermo: le aziende non possono più affidarsi solamente ai sistemi anti-intrusione. 

Per quanto sia essenziale predisporre le giuste precauzioni per evitare un attacco, le aziende devono anche pianificare l'eventuale recovery in caso di attacco. Ciò significa implementare una strategia che prenda in considerazione anche le procedure di recovery attraverso cui i dati possano essere ripristinati pressoché all'istante.

Nella stragrande maggioranza dei casi, una volta che un'azienda viene infettata dal malware è troppo tardi per bloccarlo. Se tutti concordano sul fatto che non occorra pagare il riscatto, i dati rimangono irrecuperabili una volta crittografati. I team IT hanno allora la responsabilità di recuperare i dati dai backup, che potrebbero non essere aggiornati con la conseguenza di perdere informazioni preziose. Questo approccio presuppone la disponibilità dei backup e che questi non siano stati cancellati o crittografati dall’attacco ransomware stesso.

Di recente i criminali informatici prendono sempre più di mira i backup con l'obiettivo di cancellarli, consapevoli di quanto essi siano l'ultima linea di difesa di un'azienda. Il recupero dei dati diviene allora impossibile, costringendo la vittima a pagare il riscatto o a rassegnarsi alla perdita delle informazioni, cosa che può produrre danni irreparabili. Anche versare il riscatto non garantisce il recupero dei dati né la protezione contro successivi attacchi e tentativi di estorsione. Ricordiamoci che si tratta di criminali a tutti gli effetti.

Le copie snapshot, un'arma contro il ransomware

In questo contesto si rivelano utili le copie snapshot avanzate. Una copia snapshot è progettata per proteggere i dati allo stesso modo di un backup, ma con l'obiettivo di minimizzare la perdita di dati e i tempi di recovery. Comprendono di fatto metadati dettagliati che servono come guida per ripristinare i sistemi di un'azienda velocizzando enormemente il processo. Con Pure, copie snapshot efficienti in termini di spazio e automatizzate da policy di protezione end-to-end forniscono la flessibilità e la tranquillità per lavorare senza preoccupazioni. Purity CloudSnap consente inoltre la portabilità delle copie snapshot da un sistema on-premises a un sistema secondario o direttamente su cloud.

Pure estende poi ulteriormente questo concetto con le copie snapshot SafeMode che, grazie al fatto di essere in sola lettura, risultano immutabili e impediscono ai malintenzionati di cancellare i backup memorizzati su FlashBlade. Dopo essere state abilitate, le copie snapshot automatizzate su FlashBlade vengono conservate per un periodo di tempo specificato dal cliente e non possono essere cancellate né dal cliente né da chiunque disponga di accesso amministrativo al software di backup o al sistema FlashBlade.

Solo un tecnico aziendale autorizzato potrà modificare la configurazione delle copie snapshot, a patto di contattare una controparte del supporto tecnico di Pure che ne verificherà l'identità prima di sbloccare il sistema. Così facendo, anche se l’administrator account dell'azienda dovesse risultare compromesso, i malintenzionati non saranno in grado di toccare le copie snapshot e, in caso di un attacco ransomware, i dati potranno essere agevolmente recuperati.

La velocità di ripristino

Anche disponendo di copie snapshot immutabili, le aziende vengono limitate dalla velocità alla quale possono ripristinare i dati per tornare a lavorare normalmente. Immaginiamo un retailer online bloccato anche solo per un'ora: un evento che può costare migliaia o milioni di euro in fatturato perduto. Se viene colpito dal ransomware, questo retailer avrà bisogno di ripristinare i propri dati il più rapidamente possibile.

Le aziende dovrebbero puntare su una soluzione di backup in grado di ripristinare i dati alla velocità di centinaia di terabyte all'ora per massimizzare la rapidità di risoluzione dei problemi e non doversi più preoccupare degli attacchi ransomware. Con una solida strategia di cybersecurity rafforzata da copie snapshot avanzate e una soluzione per il rapid restore, il ritorno all'operatività a seguito di un attacco ransomware può essere ridotto da diverse settimane a poche ore.