Una delle cose da sempre più interessanti del lavoro nel campo della tecnologia è che, a volte, l'IT aziendale e gli utenti domestici non sono poi così diversi l'uno dall'altro.

Ad esempio, si chiede regolarmente ai professionisti IT come possono proteggere al meglio le loro organizzazioni dal ransomware. Allo stesso tempo, spesso amici e familiari (che non sono coinvolti nell'IT) chiedono come possono proteggersi dallo stesso nemico.

Quello che risulta interessante è che mostra che c'è una consapevolezza diffusa del ransomware e che sia i professionisti IT che i profani lo considerano una minaccia credibile. Mostra anche, tuttavia, che molte persone non sono sicure su come proteggersi dal ransomware.

Il consiglio da dare sempre è che i tuoi backup sono la tua difesa più importante contro il ransomware. Allo stesso tempo, i backup dovrebbero essere considerati l'ultima linea di difesa, non la prima. Dopotutto, è meglio impedire che si verifichi un'infezione da ransomware piuttosto che dover ripristinare i backup in risposta a un'infezione che si è già verificata.

Sfortunatamente, non esiste un magico proiettile d'argento in grado di prevenire tutti gli attacchi ransomware. In quanto tale, è importante praticare la difesa in profondità. Alcuni dei meccanismi di difesa che potresti prendere in considerazione includono l'educazione dell'utente finale (come spiegare agli utenti perché non dovrebbero aprire allegati di posta elettronica sospetti), whitelist delle applicazioni, autorizzazioni utente restrittive e scansione aggressiva del malware.

Per quanto importanti possano essere queste tecniche di difesa in profondità, i backup sono in definitiva l'unica cosa che può salvare i dati di un'organizzazione dopo che si è già verificato un attacco ransomware. Ciò, tuttavia, solleva la questione del modo migliore per incorporare la mitigazione del ransomware nella strategia di backup di un'organizzazione.

Ancora una volta, non c'è una sola cosa decisiva che puoi fare per assicurarti che i tuoi backup ti proteggano da un attacco ransomware. Tuttavia, ci sono una serie di best practice che puoi utilizzare per aumentare le tue probabilità di recuperare i tuoi dati dopo un attacco.

1. Conserva un backup offline

Innanzitutto, conserva una copia di backup offline secondaria. Quando si verifica un attacco ransomware, il ransomware potrebbe potenzialmente attaccare qualsiasi cosa a cui ha accesso l'utente che ha accidentalmente attivato l'attacco. Anche se gli utenti finali probabilmente non sono amministratori di backup, esistono metodi indiretti attraverso i quali i backup possono essere infettati. A quel punto, il gioco è finito: sia i dati primari che i backup sono stati compromessi e potrebbe non esserci un altro modo per recuperare dall'attacco.

Avere una copia di backup offline funge da ripiego. Il ransomware non può toccare un backup disconnesso dal sistema. Pertanto, consiglio vivamente di creare regolarmente copie di backup secondarie su nastro o su qualche altra forma di supporto rimovibile. Nelle organizzazioni, si utilizzano spesso dischi rigidi esterni per questo scopo. Questi backup dovrebbero essere conservati in un luogo sicuro e portati online solo in caso di grave emergenza.

2. Utilizzare l'archiviazione immutabile

Un'altra best practice consiste nell'utilizzare l'archiviazione di backup immutabile, se possibile. La maggior parte dei sistemi di backup basati su disco protegge i dati a livello di blocco e utilizza il rilevamento dei blocchi modificati per proteggere i file man mano che vengono modificati. Il problema con questo è che il ransomware modifica molti blocchi di archiviazione e il tuo sistema di backup finirà effettivamente per eseguire il backup dei file ora crittografati.

In teoria, il software di backup dovrebbe essere in grado di ripristinare i dati al loro stato appena prima che si verificasse l'infezione. Per fare ciò, tuttavia, deve essere in grado di mantenere un numero sufficiente di punti di ripristino e deve essere in grado di proteggere i blocchi di archiviazione esistenti dalla modifica. L'utilizzo dell'archiviazione immutabile può aiutare a proteggere i backup da un attacco ransomware.

3. Incorpora App anti-malware

Un'altra cosa che puoi fare è incorporare la protezione anti-malware nel tuo server di backup. Ovviamente, ogni organizzazione ha la propria architettura di backup unica. Tuttavia, alcuni dei nuovi array di archiviazione hanno la capacità di eseguire app direttamente sull'hardware dell'array. I fornitori che abilitano tali funzionalità spesso forniscono l'accesso a un app store specifico per l'appliance in cui è possibile trovare probabilmente applicazioni anti-malware. Le capacità variano notevolmente, ovviamente, ma è concepibile che un'app di questo tipo possa essere in grado di rilevare un attacco ransomware in corso e fermarlo prima che possa causare danni ingenti.

4. Aumentare la frequenza

Infine, dai un'occhiata alla frequenza con cui esegui il backup dei dati (l'obiettivo del punto di ripristino menzionato al n. 2). La frequenza di backup è il fattore principale che determinerà la quantità di dati che potrebbero essere potenzialmente persi in un attacco ransomware, anche se si è in grado di ripristinare completamente i backup.

Se, ad esempio, esegui il backup dei dati ogni 15 minuti, potresti potenzialmente perdere fino a 15 minuti di dati in un attacco perché quei dati non sono stati ancora sottoposti a backup e quindi non possono essere ripristinati.