Il ransomware sta diventando la minaccia numero uno per i dati, il che rende essenziale garantire che i malintenzionati non crittografino i vostri backup insieme ai vostri dati primari quando eseguono attacchi di questo tipo. Se ci riescono, potreste non avere altra scelta che pagare il riscatto e questo li incoraggerà a riprovare.

La chiave per non dover pagare il riscatto è avere i backup per ripristinare i sistemi crittografati dal ransomware. E la chiave per proteggere questi backup dal ransomware è mettere quante più barriere possibili tra i sistemi di produzione e i sistemi di backup. Qualunque cosa facciate, assicuratevi che l’unica copia dei vostri backup non si trovi semplicemente in una directory su un server Windows nello stesso data center che state cercando di proteggere.

Proteggere Windows

La maggior parte degli attacchi ransomware è contro host Windows e si diffonde ad altri host Windows nell’ambiente informatico una volta che un singolo host viene infettato. Una volta che il ransomware si è diffuso a un numero sufficiente di host, l’aggressore attiva il programma di crittografia e i danni possono essere catastrofici. Pertanto, la cosa più ovvia da fare sarebbe utilizzare qualcosa di diverso da Windows per il vostro server di backup.

Sfortunatamente, molti prodotti di backup popolari vengono eseguiti principalmente su Windows. La buona notizia è che molti di loro offrono anche un’alternativa in versione Linux. Anche se il software di backup principale deve essere eseguito su Windows, potrebbe avere un’opzione media-server Linux. I media server sono la chiave perché è lì che si trovano i dati che state cercando di proteggere. Se i vostri backup sono accessibili solo tramite media server basati su Linux, gli attacchi ransomware contro i server basati su Windows non saranno in grado di attaccarli.

Oltre a memorizzare i backup regolari dietro un media server basato su Linux, assicuratevi che anche i backup del vostro server di backup principale siano archiviati lì. Non serve a niente avere i backup non crittografati se il database necessario per accedere a tali backup è crittografato dal ransomware. È inoltre necessario rafforzare il più possibile i server di backup basati su Windows. Scoprite i servizi che il ransomware utilizza per attaccare i server (come RDP) e disattivatene il maggior numero possibile. Ricordate inoltre che questo server è la vostra ultima linea di difesa e quindi pensate alla sicurezza, non alla comodità.

Backup fuori dal data center

Qualunque sia la soluzione di backup scelta, le copie dei backup devono essere archiviate in una posizione diversa. Ciò significa molto di più che inserire semplicemente il server di backup in una macchina virtuale nel cloud. Se la VM è accessibile come lo sarebbe se fosse nel data center, è altrettanto facile attaccarla. È necessario configurare le cose in modo tale che gli attacchi ai sistemi nel data center non possano propagarsi ai sistemi di backup nel cloud. Questo può essere fatto in vari modi, comprese le regole del firewall e la modifica dei sistemi operativi e dei protocolli di archiviazione.

backup

Ad esempio, la maggior parte dei fornitori di cloud offre lo storage basato su oggetti e la maggior parte dei prodotti e servizi software di backup è in grado di scriverci. Gli aggressori che lanciano un attacco ransomware possono essere anche molto capaci, ma finora non hanno capito come attaccare i backup archiviati su storage basato su oggetti. Inoltre, tali provider spesso offrono un’opzione write-once, read-many, il che significa che è possibile specificare un periodo durante il quale i backup non possono essere modificati o eliminati, nemmeno da personale autorizzato.

Esistono anche servizi di backup in grado di scrivere dati nella loro memoria che non è accessibile se non tramite la loro interfaccia utente. Se non potete vedere direttamente i vostri backup, allora nemmeno il ransomware può farlo. L’idea è di mantenere i backup, o almeno una copia dei backup, il più lontano possibile da un sistema Windows infetto. Inseriteli nel cloud di un provider protetto da regole firewall, utilizzate un sistema operativo diverso per i vostri server di backup e scrivete i backup su un diverso tipo di archiviazione.

Rimuovere l’accesso file system ai backup

Se il vostro sistema di backup sta scrivendo backup su disco, fate del vostro meglio per assicurarvi che non sia accessibile tramite una directory del file system standard. Ad esempio, il posto peggiore possibile per inserire i dati di backup è E:\backups. I ransomware prendono di mira in modo specifico le directory con nomi del genere e crittografano i backup.

Ciò significa che è necessario trovare un modo per archiviare i backup su disco in modo tale che il sistema operativo non li veda come file. Ad esempio, una delle configurazioni di backup più comuni è un server di backup che scrive i propri dati di backup su un array di deduplicazione montato sul server di backup tramite server message block (SMB) o network file system (NFS).

Se un ransomware infetta quel server, sarà in grado di crittografare quei backup su quel sistema di deduplicazione perché tali backup sono accessibili tramite una directory. È necessario esaminare i modi per consentire al vostro prodotto di backup di scrivere sull’array di deduplicazione di destinazione senza utilizzare SMB o NFS. Tutti i prodotti di backup più diffusi hanno queste opzioni.

E il nastro?

Ovviamente c’è sempre l’opzione del backup su nastro, che può essere inviato fuori sede per proteggerlo dagli attacchi ransomware. Anche il miglior prodotto ransomware sarebbe completamente incapace di infettare i backup su nastro. A volte i vecchi modi sono i modi migliori.