La minaccia ransomware è sempre più presente e attiva, con un giro d’affari in costante crescita. Per vincere la battaglia contro questi codici senza pagare riscatti, è necessaria una strategia di difesa solida.
Ci sono due forme di ransomware, i “blocker”, che bloccano l’accesso ai file e gli “encryptor”, che invece crittografano i file degli utenti, molto spesso in modo irreversibile, ma entrambi richiedono un riscatto per sbloccare (“liberare”) i dati.
Cosa spinge il business dei ransomware? La facilità di guadagno. Qual è il mezzo utilizzato per accedere ai sistemi? L’email.
Tuttavia, a prescindere dalla modalità di accesso, i dati sono a rischio ovunque siano archiviati. On-premises o nel cloud, devono essere protetti e gestiti, e questo significa che definire una strategia di backup e recovery è fondamentale.
Quindi, non servono per forza strumenti avanzati o innovativi, ma è necessario avere il controllo dell’azienda. Qui di seguito sei consigli elaborati da Commvault per garantire continuità di business in caso di attacco malware.
1 – Proteggere i dati, indipendentemente dal loro luogo di archiviazione: è importante fare una valutazione completa dei dati e sapere dove sono archiviati. Mappare i luoghi (compresi data center, sedi remote e di service provider) e comprenderne il flusso di dati. Porre molta attenzione ai sistemi che archiviano, processano o trasmettono dati sensibili e al livello di rischio che rappresentano per le attività. Quindi scegliere, implementare e gestire i controlli di sicurezza in base al rischio.
2 – Integrare la strategia di protezione dei dati: scegliere una soluzione che garantisca visibilità completa e integrata di tutti i dati archiviati, per avere la possibilità di rispondere in modo rapido alle violazioni e di semplificare le attività di controllo e gestione quotidiane. Una soluzione potente sarà in grado di proteggere tutti i componenti, dai file server agli array storage, alle app di file sharing di terze parti nel cloud e di monitorare, identificare e segnalare il livello di modifica dei file, in modo tale da rilevare velocemente ogni attività sospetta e prendere le dovute contromisure prima che il malware faccia il suo ingresso e colpisca altri sistemi.
3 – Utilizzare una configurazione di dual backup: per una protezione garantita, si raccomanda di configurare il dual backup, in cui è connesso solo un sistema alla volta. In questo modo, se un hacker non trova l’accesso ai set di backup online, non potrà entrare per cancellare il pool di risorse di backup collegato. Inoltre, utilizzare un archivio virtuale sicuro, centralizzato e ricercabile, può proteggere anche il cold storage, attraverso un “gap” protettivo che eviterà la compromissione dei dati archiviati, assicurando il loro uso attivo per approfondimenti aziendali.
4 – Conservare una “gold image” di sistemi e configurazioni: possedere una gold image elimina la necessità di pagare un riscatto qualora un ransomware dovesse riuscire ad accedere e infettare i sistemi. Se un sistema viene colpito, è possibile clonarlo facilmente con il sistema di partenza. È tuttavia necessario proteggere in modo adeguato le gold image per assicurarsi che non possano mai essere attaccate.
5 – Proteggere gli endpoint vulnerabili: laptop e desktop sono facili bersagli per un ransomware, soprattutto se non sono sufficientemente protetti. È importante dotarsi di soluzioni plug-in per la web browser URL reputation che mostreranno la reputazione degli accessi al sito. Limitare l’utilizzo ad applicazioni approvate a livello corporate, implementare autenticazione a due fattori su ogni sito o app e dotarsi di soluzioni di backup che possano ripristinare in modo veloce il sistema di un singolo utente in caso di attacco, per evitare ulteriori contaminazioni in azienda.
6 – Attività di formazione costante per gli utenti: il modo migliore per combattere i ransomware è prevenirne l’accesso nell’infrastruttura. La maggior parte degli attacchi avviene via email, perciò è necessario formare gli utenti e renderli consapevoli dei rischi legati agli allegati email e sull’importanza di non aprire alcun documento o link ricevuto da mittenti sconosciuti o non di fiducia e di non eseguire alcun software scaricato da Internet senza verificare l’assenza di malware. Incoraggiarli a segnalare ogni attività sospetta o il timore di essere stati attaccati.
È opportuno evitare di correre il rischio di un attacco ransomware che può avere un impatto sui dati e sulla continuità di business, definendo una strategia di sicurezza multi-layer che includa non solo anti-malware, firewall e crittografia di hard disk e file, ma implementare anche tecnologie di data loss prevention e di protezione basata su standard.