Giunta al suo dodicesimo anniversario, la giornata mondiale dedicata al backup, che ricorre ogni anno il 31 marzo, offre uno spunto di riflessione sull’importanza di eseguire il backup dei dati. Molto è cambiato in questi dodici anni, ma tante aziende ancora faticano a recuperare i dati in seguito a una crisi, che si tratti di una perdita di dati accidentale dovuta a un errore umano oppure di un attacco ransomware in piena regola.
L’ultima ricerca di Barracuda Networks mostra come nel 2022 solo il 52% delle vittime di ransomware abbia ripristinato i dati crittografati attraverso il backup. Al contrario, circa un’azienda su tre (34%) ha pagato il riscatto. Per alcune, infatti, questa rappresentava l’unica possibilità di tornare in possesso dei propri dati, o perché non disponevano di adeguati sistemi di backup o perché gli hacker erano riusciti ad accedere ai backup e cancellare i file.
Individuare, disattivare o cancellare i dati di backup è ormai parte integrante di un attacco ransomware. Se nel piano di backup aziendale è presente un qualsiasi gap di sicurezza, gli aggressori troveranno un modo per sfruttarlo.
Cosa piace agli hacker
Ecco, secondo Barracuda, le strategie di backup preferite dagli hacker:
- Elevati livelli di accesso ai software di backup – Più alto è il numero di persone che possono accedere al software di backup, maggiore è il rischio che gli aggressori usino credenziali rubate con diritti di amministrazione del dominio o altri diritti di accesso privilegiati per infiltrarsi.
- Sistemi di backup collegati alla rete – Se un sistema di backup è connesso alla rete aziendale, gli hacker possono spostarsi lateralmente, a partire dall’endpoint compromesso, per individuare e ottenere l’accesso al software di backup e infine disattivare, rimuovere o eliminare i file salvati.
- Accesso remoto ai sistemi di backup – Se i sistemi di backup devono collegarsi da remoto ai server per salvare o gestire i dati, un approccio poco rigoroso all’autenticazione delle password può esporre i sistemi protetti nel caso in cui le credenziali vengano rubate o scoperte.
- Backup poco frequenti – Se anche si dispone di un backup efficace, eseguirlo con scarsa frequenza significa correre il rischio di perdere giorni, settimane, o anche mesi di dati in caso di improvvise necessità di ripristino in seguito a una crisi.
- Backup non testati – Potrebbe sembrare ovvio, ma non si può sapere se un processo di backup e ripristino funziona finché non lo si testa.
Una strategia di backup efficace
Di seguito, alcune best practice per definire una strategia di backup veramente efficace, incentrata sulla sicurezza, ma anche sulla continuità operativa:
- Estendere il backup a tutto, non solo ai dati del business. Un backup completo permetterà di ripristinare i sistemi più rapidamente dopo un incidente. È consigliabile anche considerare l’implementazione di un servizio di backup automatico, che garantisca backup regolari su tutti i dati e minimizzi la perdita di dati in fase di ripristino.
- Cercare di evitare di eseguire il backup manager su sistema operativo Windows, relativamente facile da violare. Linux o un’altra piattaforma potrebbero essere scelte più sicure. Inoltre, è importante assicurarsi che sul server di backup sia in esecuzione un software anti-malware.
- Controllare che i sistemi di backup non siano collegati al dominio aziendale: un aggressore potrebbe ottenere l’accesso con un account di amministrazione del dominio compromesso.
- Implementare l’autenticazione multifattoriale e il controllo degli accessi basato su ruoli (Role Based Access Control, RBAC) per garantire che solo un numero limitato di utenti autorizzati possa accedere al backup. È consigliabile inoltre restringere a pochissimi utenti anche la capacità di cancellare definitivamente i file salvati.
- Replicare i backup off-site su un sito remoto o un cloud provider che fornisca un livello di sicurezza con tecniche di air gap tra i server di backup locali, on-premise, e la soluzione esterna.
- Se il backup riguarda dati che si trovano nel cloud, è consigliabile che anche il processo di backup avvenga nel cloud, perché rappresenta l’opzione più sicura. Inoltre, bisogna assicurarsi che tutti i dati di backup siano cifrati, sia quando inattivi (at rest) sia quando in transito.
- Usare la regola d’oro del 3-2-1: tre copie di backup su due supporti diversi, uno dei quali è tenuto offline.
Un’implementazione inadeguata può rendere vane anche le migliori intenzioni. Per questo è necessario curare ogni aspetto e poi testarlo. Per ciascun caso in cui un server di backup è stato attaccato ma l’azienda si è salvata grazie alla copia dei dati conservata off-site, esiste probabilmente un altro caso in cui gli aggressori sono riusciti a cancellare entrambe le copie di backup, primaria e secondaria, perché le credenziali di accesso erano le stesse.