Ransomware – La Regola del 3 -2 -1

Secondo la Cybersecurity and Infrastructure Assurance Agency (CISA): “Il ransomware è una forma di malware in continua evoluzione progettata per crittografare i file su un dispositivo, al fine di rendere inutilizzabili file e i sistemi che si basano su di essi .

Gli attori malintenzionati chiedono quindi un riscatto in cambio della decrittazione.

Gli attori del ransomware spesso prendono di mira e minacciano di vendere o divulgare dati esfiltrati o informazioni di autenticazione se il riscatto non viene pagato.

La copertura mediatica sulla diffusione di Ransomware con crittografia sta imperversando sempre più; gli attacchi ransomware sono oggi un business enorme, al mondo si verifica un attacco ogni 11 secondi e nel 2021 sino ad oggi si stima che siano stati movimentati cifre per un equivalente di 6 trilioni di dollari.

Durante i periodi di crisi, molti hacker approfittano di sconvolgimenti e disordini per arrivare ad un potenziale guadagno monetario. Con l’inizio della crisi COVID-19 nel 2020, si è avuta ad esempio una crescita degli attacchi informatici nel settore sanitario.

I malware Trojan come CryptoLocker sono delle varianti d’esempio usate per attaccare le aziende. Le porte di ingresso di questi attacchi sono spesso dei “buchi” nella sicurezza dei browser Web e dei loro plugin oppure allegati e-mail aperti inavvertitamente. Una volta penetrato in azienda, il ransomware può diffondersi alla velocità della luce e iniziare a crittografare dati preziosi. Il consiglio è sempre il medesimo: implementare una solida strategia di backup e ripristino dal ransomware ed essere così protetti dalla perdita di dati .

Dato il ruolo critico dei dati, l’“1” della Regola 3-2-1 svolge un ruolo fondamentale!

Che cosa prevede la regola del 3 – 2 – 1?

Questa regola è attribuita a Peter Krogh, un fotografo ampiamente considerato un esperto di Digital Asset Management (DAM). Sebbene Krogh non sia certamente la prima persona a realizzare i vantaggi delle soluzioni di archiviazione, è responsabile del nome accattivante descritto nel suo libro, The DAM Book: Digital Asset Management for Photographers.

La regola recita:

·        3 copie dei tuoi dati dovrebbero essere mantenute

·        Dovrebbero essere utilizzati 2 supporti di memorizzazione indipendenti

·        1 copia di backup deve essere archiviata fuori sede

3 copie dei tuoi dati dovrebbero essere mantenute

Il motivo per conservare tre copie dei tuoi dati (primarie più due backup) è ridurre al minimo il rischio giocando al gioco delle probabilità. Se mantieni i dati primari su un dispositivo, hai 1/100 di possibilità di perdere i tuoi dati. Mantieni un dispositivo secondario e le tue possibilità di perdere dati scendono a 1/10.000.

Dovrebbero essere utilizzati 2 supporti di memorizzazione indipendenti

Nello scenario sopra, abbiamo immaginato che non ci fossero cause di errore comuni su tutti i dispositivi. Naturalmente, questo è il mondo reale, e spesso quando un disco si guasta un altro si guasta poco dopo, Murphy ci osserva sempre!!!

“Dentro ogni piccolo problema ce n’è uno più grande che sta lottando per venir fuori.”

La regola 3-2-1 consiglia di utilizzare due tipi di archiviazione per evitare tale scenario!

1 copia di backup deve essere archiviata fuori sede

Conservare tutti i dati in un’unica posizione è come mettere tutte le uova nello stesso paniere. Non è una strategia saggia!

La separazione fisica tra le copie è una necessità, soprattutto per le piccole e medie imprese (PMI) che non dispongono di sedi remote o filiali in cui archiviare i backup.

Per queste PMI, l’archiviazione dei backup online nel cloud è una soluzione ideale.

L’architettura di backup deve esser pensata per assicurare che il dispositivo di backup primario venga sempre utilizzato per scrivere le copie più recenti del dato e che venga usato per ripristini veloci. In un secondo momento i dati verranno copiati su un secondo dispositivo di backup utilizzando i Backup Copy Job

Anche i repository di backup devono essere protetti il più possibile dagli attacchi dei ransomware.

I diritti di accesso al server del repository di backup devono essere limitati, in modo tale che solo un account di servizio Veeam abbia accesso al server e al file system.

In caso di sistemi NAS, solo l’account di servizio Veeam deve essere dotato delle autorizzazioni per il repository di backup.

Per motivi di sicurezza, lavorare su un desktop locale con un amministratore di sistema è assolutamente sconsigliato poiché può portare alla rapida diffusione del ransomware nella rete.

Molti amministratori disattivano per impostazione predefinita il Windows Firewall non appena viene completata l’installazione di Windows. Questo meccanismo integrato può fornire protezione contro gli attacchi provenienti dalla rete tramite i buchi della sicurezza di Windows. È considerata una best practice prendersi un po’ di tempo per attivare i necessari requisiti in entrata e in uscita nel Windows Firewall.

Prevenire, rilevare e recuperare da attacchi ransomware