Non è necessario scomodare il rasoio di Occam (un principio metodologico che suggerisce di scegliere la soluzione più semplice tra più soluzioni egualmente valide di un problema) ma, anche in alcuni ambiti della cyber security – tra cui le strategie di ransomware recovery – la risposta più facile è quella giusta.
È opportuno che ogni impresa appronti una politica seria per contrastare le cyber minacce, così come è capitale che esistano piani di rilevamento e risposta rapidi, rodati e costantemente aggiornati.
Considerando però il forte disequilibrio tra attaccanti e potenziali vittime, è bene che queste ultime valutino il peggiore degli scenari possibili e si comportino di conseguenza.
Nel caso dei ransomware, gli scenari peggiori sono due. Il primo, quello considerato canonico, è che un’organizzazione non possa più lavorare perché i dati vengono crittografati dai criminali e il secondo è quello nel quale, oltre all’impossibilità di accedere ai dati, questi vengano esfiltrati per tenere in scacco le vittime e convincerle a pagare il riscatto.
Scenari diversi che dimostrano lo strapotere dei ransomware e che mettono in forse l’utilità di un backup, anche se effettuato in tempo reale.
Il backup come fulcro dei recovery plan
Il ripristino di emergenza ha senso solo se i backup sono stati pianificati in modo confacente all’entità dei rischi ai quali i dati sono esposti.
eXtended Detection & Response: scopri le novità in tema Security
Un unico backup, anche se effettuato in tempo reale, non è sufficiente soprattutto nel momento in cui viene colpito da un attacco. Si rendono opportuni alcuni accorgimenti, uno dei quali è il backup immutabile.
Un backup immutabile è una copia dei dati che non può essere modificata o cancellata da nessuno e quindi neppure dai software che l’hanno creata, da altri software o dagli amministratori di sistema. Sono protetti dalla formula Write Once, Read Many (WORM), ciò significa che possono essere consultati e usati diverse volte ma non possono essere sovrascritti né crittografati.
La crittografia è essenziale per fare in modo che i dati eventualmente esfiltrati siano inutilizzabili e, come tale, non dovrebbe essere un’opzione quando si crea una procedura di backup.
Allo stesso modo, così come suggerisce la regola aurea 3-2-1-1 (oppure una delle sue diverse evoluzioni), le copie di backup dovrebbero essere tre, una delle quali al di fuori dell’organizzazione stessa e una che deve rimanere offline, sconnessa dall’infrastruttura IT. L’ipotesi di fondo è quella secondo cui, in fase di recovery, è poco probabile che nessuna delle tre copie sia recuperabile.
Una strategia che non va confusa con l’eccesso di zelo perché, quando si parla di garantire la continuità di business, va anche compreso che gli autori delle offensive sono molto vigorosi nel perseguire i propri scopi criminali.
Cedere al ricatto non paga
Pagare il riscatto non garantisce nulla. Secondo il rapporto Ransomware trends 2023 stilato da Veeam Software, il 21% delle organizzazioni che hanno ceduto al ricatto pagando gli hacker non è comunque riuscito a recuperare i propri dati.
Va detto che Veeam Software produce soluzioni per il backup e il disaster recovery e che i dati del rapporto potrebbero essere in qualche modo imbellettati, ciò non toglie che la stessa azienda suggerisce di articolare il ripristino di emergenza in tre fasi:
- preparazione: creare politiche che aiutino a individuare quali dati devono essere salvati in quale modalità (cloud, all’interno del perimetro aziendale oppure offline) e quali dati, eventualmente, possono essere esclusi dai backup
- risposta: rilevamento, segnalazione e contenimento dell’incidente. È importante un’analisi per comprendere cosa è stato colpito e compromesso dagli hacker
- ripristino: le procedure di ripristino dei dati devono essere testate e documentate. Farne uso la prima volta quando è assolutamente necessario farvi ricorso è poco scaltro.
Ciò che occorre valutare è l’impossibilità di ripristinare l’ambiente originale perché compromesso fino al punto di essere ancora sotto attacco, serve quindi un’infrastruttura verso la quale dirottare il carico di lavoro (un ambiente Cloud parallelo che possa garantire un’operatività anche minima ed essenziale è una soluzione percorribile).
Reverse engineering concettuale
Un buon piano di resilienza alle offensive dei cyber criminali deve partire dallo scenario peggiore e, a ritroso, costruire le strategie per lenirne gli effetti e per potenziare i tempi di risposta.
Temere di essere vittime di un attacco non è la giusta forma mentis che un’organizzazione deve avere: occorre chiedersi quando l’organizzazione sarà vittima di un attacco perché, benché in misura più o meno massiccia, è da considerare certo che ciò accadrà.
Questa consapevolezza deve dettare ogni strategia difensiva e deve aiutare a determinare quali dati vanno protetti, anche a costo di sembrare zelanti.
@RIPRODUZIONE RISERVATA