Richiedi una demo
  • Blog
  • Strategia di Protezione dei Backup contro il Ransomware: Perché la Maggior Parte Fallisce e Cosa Funziona Davvero
Ransomware

Strategia di Protezione dei Backup contro il Ransomware: Perché la Maggior Parte Fallisce e Cosa Funziona Davvero

Przemyslaw Szanowski avatarPS
Przemyslaw Szanowski
Condividi:

Tutto è iniziato con una singola password compromessa. Quando qualcuno se ne è accorto, i file erano bloccati, i sistemi erano crittografati e le operazioni erano congelate. Ma il vero panico è arrivato quando il team ha aperto la console di backup e non ha trovato nulla. I backup erano scomparsi. 

Il 96% degli attacchi ransomware ora prende di mira i backup, perché senza di essi, il recupero è impossibile, e il riscatto è l'unico modo per uscirne. Quindi, come evitare questo incubo? Costruendo una strategia Protezione dei dati da ransomware che resista sotto pressione. 

In questa guida, imparerai le strategie esatte per proteggere i tuoi backup dal ransomware e ripristinare la tua attività in pochi minuti senza pagare un solo centesimo. 

Che cos'è la protezione dei backup dal ransomware? 

La protezione dei backup dal ransomware è una parte fondamentale di qualsiasi strategia moderna di sicurezza dei dati, esplicitamente focalizzata sull'assicurare che le copie di backup non possano essere crittografate, eliminate o manomesse durante un attacco. 

I criminali informatici non prendono più di mira solo i sistemi di produzione, ma cacciano attivamente i backup per bloccare Recupero dati da ransomware e costringere al pagamento del riscatto. Proteggere i backup dal ransomware significa che rimangono immutabili, accessibili e pronti per il ripristino quando l'intera infrastruttura viene crittografata. 

In poche parole, i backup a prova di ransomware esistono per un motivo: garantire che la tua ultima linea di difesa rimanga intatta, indipendentemente da quanto profonda sia la violazione dei dati

6 settori che devono dare priorità alla Strategia Contro Attacchi Ransomware per il Backup

Gli attori delle minacce non colpiscono a caso, ma vanno dove la disruption provoca il maggior danno. Ecco perché i settori con sistemi legacy, pressione sull'uptime e dati preziosi sono spesso i loro obiettivi principali. 

Ecco chi ha più bisogno di una strategia di backup robusta per il ransomware e perché: 

1. Manifattura e controlli industriali: La manifattura rappresenta il 40% degli incidenti di ransomware a livello globale, con attacchi ai sistemi OT aumentati dell'87% anno su anno. Le attrezzature legacy, la scarsa segmentazione della rete e la limitata isolamento tra IT e OT consentono agli attaccanti di passare dai laptop degli amministratori ai PLC del piano di produzione, bloccando intere operazioni in pochi minuti. 

2. Finanza e assicurazioni: Il 78% delle aziende di servizi finanziari è stato colpito da ransomware lo scorso anno. Questi ambienti contengono dati di alto valore, sistemi di pagamento in tempo reale e complesse interdipendenze, introducendo lacune sfruttabili. Gli attaccanti spesso combinano crittografia con esfiltrazione dei dati, sfruttando l'esposizione normativa e la fiducia pubblica per costringere ai pagamenti. 

3. Sanità e scienze della vita: La sanità è stata un obiettivo principale del ransomware nel terzo trimestre del 2024. Ospedali, laboratori e aziende farmaceutiche dipendono da un accesso costante a EHR, sistemi di imaging e dispositivi medici connessi. Anche brevi interruzioni possono ritardare le cure, violare i mandati di conformità o fermare pipeline di ricerca sensibili al tempo. 

4. Istituzioni educative e di ricerca: L'83% degli incidenti nell'istruzione coinvolge il furto di dati personali. Reti aperte, patching incoerente e un mix di infrastrutture legacy e dispositivi personali ampliano la superficie di attacco. Combinati con IP di ricerca preziosa e risorse IT limitate, questi settori rimangono obiettivi attraenti a causa di una debole strategia di difesa dal ransomware

5. Energia, utilità e logistica: Gli attacchi ransomware al settore energetico sono aumentati dell'80% nel 2024. Con la convergenza degli ambienti OT e IT, gli attaccanti sfruttano IoT, software di terze parti e infrastrutture connesse al cloud per raggiungere i sistemi di controllo. Che si tratti di interrompere oleodotti, reti elettriche o piattaforme della catena di approvvigionamento, una singola violazione può innescare fallimenti a cascata con impatti nazionali o economici. 

6. Governo e servizi pubblici: Nel 2024, 117 enti governativi statunitensi sono stati colpiti da ransomware, con la crittografia che ha impattato più della metà degli ambienti colpiti. L'infrastruttura legacy, la cronica carenza di personale e le elevate esigenze di uptime rendono le reti del settore pubblico obiettivi attraenti, offrendo ampia esposizione e difese limitate in ambienti IT vasti. 

7 migliori pratiche per proteggere i backup dal ransomware 

Nessuna strategia Backup anti ransomware è completa senza indurire i sistemi che gli attaccanti prendono di mira per primi: i tuoi backup. 

Le pratiche di seguito vanno oltre la teoria per mostrare cosa funziona realmente. Sono costruite per prevenire manomissioni, bloccare abusi di privilegi e garantire dati recuperabili in caso di ransomware. 

Rendi i tuoi backup veramente immutabili

L'immutabilità dei dati funziona bloccando le informazioni nel momento in cui vengono create. Invece di consentire modifiche o sovrascritture, eventuali aggiornamenti o cambiamenti devono essere registrati come voci completamente nuove, lasciando l'originale intatto.

Tuttavia, molti fornitori che offrono backup immutabile storage forniscono effettivamente una configurazione basata su policy che può ancora essere modificata, elusa o disabilitata da amministratori o attaccanti con privilegi elevati.

In Object First, definiamo e sosteniamo Vera Immutabilità: un'architettura di storage che impone Zero Access a azioni distruttive con i suoi tre componenti non negoziabili:

  • Storage S3 Object: Costruito su uno standard aperto completamente documentato con immutabilità nativa, che consente test di penetrazione indipendenti e verifica da parte di terzi.

  • Zero Time to Immutability: I dati di backup diventano immutabili nel momento in cui vengono scritti—nessun intervallo, nessuna zona di atterraggio.

  • Apparecchiatura di storage target: Separa lo storage dal software di backup, eliminando i rischi del fai-da-te e delegando la sicurezza operativa al fornitore—nessuna competenza in sicurezza richiesta.

Con Zero Access a ogni livello, i backup non possono essere modificati o eliminati, indipendentemente da quanto compromesso sia l'ambiente.

Applica la regola di backup 3-2-1-1-0

La strategia 3-2-1-1-0 è l'evoluzione moderna della classica regola di backup 3-2-1—raffinata per difendersi dalla più grande minaccia di oggi: il ransomware.

Pur rimanendo fondamentale, non tiene più conto degli attaccanti che mirano specificamente ai dati di backup. Ecco perché il framework aggiornato 3-2-1-1-0 aggiunge due requisiti critici—immutabilità e integrità.

  • 3 copie di dati: Una primaria, più due backup. Questa ridondanza protegge contro la corruzione, il guasto o il compromesso di qualsiasi copia singola.

  • Due tipi di storage diversi: Idealmente, una combinazione di tecnologie distinte—come lo storage a blocchi per la produzione e storage a oggetti compatibile S3 per i backup—previene vulnerabilità condivise e semplifica la segmentazione.

  • 1 copia off-site: Garantisce resilienza geografica. Un target storage a oggetti basato su cloud o un apparecchio immutabile remoto garantisce che anche incidenti su larga scala non influenzino tutte le copie dei dati.

  • 1 copia immutabile: Almeno un backup deve essere write-once, read-many (WORM). È meglio implementato su piattaforme storage a oggetti che supportano l'immutabilità nativa, come S3 Object Lock in modalità di conformità.

  • 0 errori di backup: Ogni operazione di backup dovrebbe essere verificata automaticamente. Ciò include la validazione delle versioni, controlli di integrità hash o checksum e avvisi per backup incompleti o falliti.

Estendere Zero Trust al Backup e al Ripristino dei Dati

Zero Trust è diventato lo standard d'oro per la cybersecurity, ma il ransomware rende chiaro un aspetto: i confini di fiducia devono estendersi oltre utenti e endpoint all'infrastruttura di backup e ripristino.

È qui che entra in gioco Zero Trust Data Resilience (ZTDR), espandendo il Modello di Maturità Zero Trust (ZTMM) della Cybersecurity and Infrastructure Security Agency (CISA) per coprire esplicitamente il backup e il ripristino dei dati.

I suoi principi fondamentali includono:

  • Segmentazione del software di backup e dello storage di backup per applicare l'accesso con il minor privilegio, riducendo la superficie di attacco e minimizzando il raggio d'azione in caso di violazione.

  • Zone di resilienza dei dati o domini di sicurezza multipli che rispettano la regola di backup 3-2-1, applicando una sicurezza multilivello mentre isolano i componenti critici del backup.

  • Storage immutabile per proteggere i dati di backup da modifiche e cancellazioni. Zero accesso a root e OS, proteggendo contro attaccanti esterni e amministratori compromessi, è un must-have come parte della vera immutabilità.

Integrare ZTDR nella tua Protezione da ransomware strategia chiude le lacune di sicurezza critiche e rimuove il punto più debole in molti ambienti di backup: la fiducia implicita.

Automatizzare il Test e la Verifica del Backup

Un backup che non è stato testato potrebbe anche non esistere. Il ransomware spesso cripta o corrompe i backup silenziosamente, il che significa che non saprai che c'è un problema fino al momento del ripristino, quando è già troppo tardi.

Il testing automatizzato convalida sia l'integrità che la recuperabilità dei tuoi backup su base continua, ecco come farlo correttamente:

  • Controlli di Integrità: Esegui controlli automatici e validazione degli hash per supportare la rilevazione del ransomware e identificare dati di backup corrotti o alterati.

  • Simulazioni di Ripristino Automatiche: Simula regolarmente ripristini completi e parziali per garantire di poter rispettare i tuoi RTO. Questo include la verifica delle dipendenze a livello di applicazione, non solo dei file di dati grezzi.

  • Monitoraggio dei Lavori di Backup: Imposta avvisi automatici per lavori saltati, trasferimenti incompleti o durate di backup insolite—spesso un segnale precoce di compromissione o misconfigurazione.

  • Registrazione delle Audit: Mantieni registri immutabili dei risultati dei test e degli eventi di verifica del backup. Questi fungono anche da artefatti di conformità per audit o indagini.

Segmentare l'Infrastruttura di Backup dalle Reti di Produzione

Il ransomware prospera su un'architettura di rete piatta. Se la tua infrastruttura di backup condivide gli stessi percorsi di accesso, archivi di identità o privilegi del tuo ambiente di produzione, è già compromessa una volta che gli attaccanti entrano.

Per isolare efficacemente i backup:

  • Domini Separati: Utilizza foreste Active Directory (AD) diverse o politiche di Identity and Access Management (IAM) per l'infrastruttura di backup.

  • Account Amministrativi Dedicati: Non riutilizzare le credenziali di produzione per i sistemi di backup. Implementa accesso just-in-time e Autenticazione Multifattore (MFA) per le console di backup.

  • Segmentazione della Rete: Segmenta fisicamente o logicamente il tuo storage di backup dalla tua rete locale di produzione (LAN). Utilizza firewall, Liste di Controllo degli Accessi (ACL) o regole di Networking Definito dal Software (SDN) per controllare rigorosamente il traffico est-ovest.

  • Backup con Air Gap: Considera gap virtuali attraverso regole di routing rigorose o VLAN dedicate se l'isolamento fisico non è fattibile.

Monitorare le Anomalie nel Comportamento di Backup

Il ransomware non aspetta che i tuoi sistemi rispondano. Si muove rapidamente e spesso in modo non rilevato fino all'inizio della crittografia.

Ecco perché il monitoraggio comportamentale è fondamentale per individuare attività insolite nei tuoi flussi di lavoro di backup, quindi devi prestare attenzione a:

  • Modelli di Accesso Insoliti: Allerta su eliminazioni, modifiche o accessi ai backup al di fuori degli orari previsti o da account non autorizzati.

  • Anomalie nelle Dimensioni dei Lavori di Backup: Calo o picchi improvvisi nel volume di backup potrebbero indicare dati crittografati, file eliminati o problemi di replicazione.

  • Accessi alla Console di Backup: Traccia ogni tentativo di accesso, specialmente accessi falliti, cambiamenti di posizione di accesso o creazioni di nuovi utenti sui sistemi di backup.

  • Modelli di Scrittura in Archiviazione Dati Sicura: I sistemi di archiviazione degli oggetti possono segnalare picchi sospetti di scrittura/eliminazione, un segno di manomissione o distribuzione di payload di ransomware.

Rafforzare le Credenziali e le Interfacce di Backup

Gli attaccanti spesso elevano i privilegi attraverso credenziali rubate, prendendo di mira per primi le console di backup.

Questi sistemi detengono le chiavi per ripristinare (o distruggere) tutto, quindi per rafforzare l'accesso, assicurati di:

  • Utilizzare MFA Ovunque: Applicare l'autenticazione a più fattori per tutti gli account relativi al backup, senza eccezioni.

  • Limitare i Ruoli di Amministratore: Applicare rigorosamente i principi del minimo privilegio. Non assegnare accesso globale da amministratore a meno che non sia assolutamente necessario.

  • Ruotare Regolarmente le Credenziali: La rotazione periodica di chiavi e password garantisce che le credenziali obsolete non diventino una porta aperta.

  • Disabilitare gli Account Predefiniti: Molte soluzioni di backup vengono fornite con account amministrativi preconfigurati. Rimuovili o disabilitali completamente dopo la configurazione iniziale.

Rendi i Tuoi Backup Immuni al Ransomware con Ootbi di Object First

Se i backup falliscono, il tuo piano di recupero, le tue operazioni e, in alcuni casi, la tua azienda falliscono con essi. Quindi costruire una strategia Protezione dei dati da ransomware che funzioni realmente può fare la differenza tra un ripristino rapido e un riscatto a sette cifre.

In Object First, crediamo che nessuna azienda debba mai pagare un riscatto per recuperare i propri dati. Ecco perché abbiamo creato Ootbi (Out-of-the-Box Immutability), che offre archiviazione di backup sicura, semplice e potente on-premises per i clienti Veeam.

Ootbi è sicuro per design come definito da CISA. È stato costruito attorno ai più recenti principi di Resilienza dei Dati Zero Trust, che seguono una mentalità di "Assumere una Violazione" che accetta che individui, dispositivi e servizi che tentano di accedere alle risorse aziendali siano compromessi e non debbano essere considerati affidabili.

Prenota una demo dal vivo di Ootbi, e scopri come rendere i tuoi backup Veeam immuni al ransomware.

Risorse

Crittografia Ransomware: Prevenzione e Risposta

Perché la Manifattura è il Maggiore Obiettivo per gli Attacchi Ransomware

Cybersecurity negli Stati Uniti nel Settore Finanziario: 2024

Settori più frequentemente colpiti dal ransomware negli Stati Uniti nel 3° trimestre 2024

Statistiche di Cybersecurity per il 2025

Minacce Cybernetiche contro il Settore Energetico in Aumento mentre le Tensioni Globali Crescono

Lo Stato del Ransomware negli Stati Uniti: Rapporto e Statistiche 2024

Modello di Maturità Zero Trust

Rimani aggiornato

Inviando questo modulo, confermo di aver letto e accettato la Informativa sulla privacy.

Puoi annullare l'iscrizione in qualsiasi momento.