Christopher Rogers, Technology Evangelist di Zerto, sottolinea come gli attacchi ransomware impongano un profondo ripensamento del recovery
Il primo attacco ransomware documentato è avvenuto nel 1989 tramite floppy disk e la crittografia applicata poteva essere facilmente invertita pagando un riscatto di 189 dollari a una casella postale panamense per ripristinare l’accesso ai file. Da queste umili origini, il ransomware si è evoluto fino a diventare una vera e propria industria criminale di scala globale del valore di trilioni di dollari.
Le tecniche di attacco ransomware stanno diventando via via sempre più sofisticate e colpiscono società e aziende di ogni forma e dimensione, appartenenti a tutti i settori industriali. Inoltre, stanno proliferando grazie a nuovi modelli di business come il Ransomware-as-a-Service (RaaS), che consentono ai criminali con competenze tecniche limitate di acquistare ransomware insieme ai servizi di supporto associati, come, ad esempio, i call center che gestiscono i pagamenti dei riscatti.
Ogni giorno vengono segnalati nuovi attacchi andati a buon fine; quindi, le organizzazioni faticano a far fronte al volume crescente di minacce e al ritmo con cui si moltiplicano i nuovi vettori di attacco. Nei soli primi cinque mesi del 2022, i pagamenti di ransomware effettuati dalle aziende sono stati stimati nell’ordine di 1 milione di dollari, con un aumento del 71% rispetto all’anno precedente.
Questa cifra sorprendente evidenzia come le organizzazioni non solo fatichino a difendersi dal malware, ma incontrino anche difficoltà reali quando si tratta di ripristinare i dati per riprendere rapidamente l’attività a seguito di un attacco di successo, senza pagare un riscatto.
Il dilemma della sicurezza informatica
Sebbene i fornitori di sicurezza informatica si sforzino continuamente di stare al passo con le più recenti metodologie e tecniche utilizzate dagli aggressori, non esiste ancora una soluzione definitiva alle nuove cyber-minacce in rapido sviluppo come le APT (Advanced Persistent Threats) e gli Zero Day Exploit.
Inoltre, gli utenti finali continuano a rappresentare uno dei maggiori rischi quando si tratta di infiltrazioni di malware nella rete di un’organizzazione, perché possono aprire link dannosi contenuti nelle e-mail di phishing, visitare siti web compromessi, utilizzare password poco complesse o assumere comportamenti potenzialmente pericolosi.
Poiché la cybersecurity non può garantire un tasso di successo del 100% in caso di infiltrazioni di malware, le organizzazioni devono essere pronte a reagire agli scenari peggiori: la probabilità che un attacco ransomware vada a buon fine, infatti, non è più solo un’ipotesi remota e non bisogna più chiedersi quando accadrà, bensì con quale frequenza.
Per far fronte a queste minacce, molte organizzazioni si affidano a strategie di ripristino basate su tecnologie di backup che consentono un rapido recupero dei dati. Purtroppo, questo approccio si sta rivelando poco efficace: un sondaggio condotto da IDC nel 2022 ha rilevato che il 93% delle organizzazioni ha subito interruzioni di attività legate ai dati negli ultimi 12 mesi e quasi il 68% ne ha subite almeno quattro, se non di più. Ma c’è un dato ancora più allarmante: solo un’azienda su sette è riuscita a recuperare tutti i propri dati in seguito a un attacco ransomware.
Ecco alcuni dei motivi per cui i problemi di downtime e ripristino dei dati si stanno rivelando così complessi.
L’ascesa dell’impresa digitale
Sebbene i vendor di servizi di backup commercializzino le proprie soluzioni sostenendo di fornire la protezione dei dati di cui le organizzazioni oggi hanno bisogno per far fronte alle interruzioni causate dal ransomware, queste dichiarazioni non sono del tutto veritiere.
Questo perché la maggior parte delle organizzazioni sta implementando le proprie applicazioni nel cloud o nell’edge e le generazioni precedenti di sistemi di storage e protezione dei dati non dispongono delle funzionalità necessarie per prevenire la perdita di dati o i downtime in queste architetture ibride.
Inoltre, fornire protezione e ripristino dei dati sta diventando sempre più complesso e oneroso, a causa della varietà di prodotti per la protezione dei dati interconnessi che le organizzazioni devono adottare, dai software di backup e ripristino al mirroring e alle repliche dei dati.
Secondo una stima di IDC, il costo medio dei downtime per le organizzazioni di ogni settore industriale attualmente ammonta a 250.000 dollari l’ora, motivo per cui le organizzazioni data-driven di oggi stanno diventando meno tolleranti nei confronti dei downtime prolungati e della perdita di dati.
Poiché le strategie come i backup periodici sembrano non soddisfare i sempre nuovi requisiti relativi al disaster recovery post-attacco ransomware, sono necessarie soluzioni più efficaci per affrontare le sfide emergenti e assicurare il ripristino dei dati in caso eventi avversi.
Un approccio più sicuro: la protezione continua dei dati
Eliminando la necessità di eseguire backup periodici che equivalgono a ore di perdita di dati, la protezione continua dei dati (CDP, continuous data protection) garantisce un flusso continuo di checkpoint per il ripristino e una capacità di replica sempre attiva, in grado di acquisire ogni modifica alle applicazioni nel momento in cui si verifica. Di conseguenza, gli obiettivi del punto di ripristino (RPO, recovery point objective) possono ora essere misurati in pochi secondi.
Utilizzando soluzioni di nuova generazione come la CDP, le organizzazioni possono ripristinare qualunque dato da qualsiasi punto nel tempo, grazie a sofisticate tecnologie di journaling che registrano in modo completo lo stato dell’infrastruttura di un’organizzazione a intervalli di pochi secondi.
In seguito a un attacco ransomware, i team IT sono in grado di ripristinare file, database, macchine virtuali e applicazioni per riportare l’intera azienda a un punto risalente a pochi secondi o minuti prima di un attacco ransomware o di qualsiasi altro tipo di interruzione.
L’evoluzione del ripristino in seguito a un attacco ransomware: eliminare il “divario di backup” con la CDP
Le attuali soluzioni basate sulla sicurezza informatica e sui backup tradizionali si stanno rivelando inefficaci, dal momento che i requisiti per il ripristino dei dati in seguito a un attacco ransomware continuano a cambiare e a evolversi. Poiché l’impresa estesa di oggi fa sempre più fatica a fruire di strategie di protezione dei dati e disaster recovery valide, le organizzazioni devono adottare un nuovo approccio per proteggere le applicazioni distribuite nel core, nel cloud e nell’edge.
La tecnologia CDP rappresenta l’ultima evoluzione del ripristino in seguito a un attacco ransomware. Acquisendo le modifiche ai dati durante la scrittura, infatti, colma il “divario di backup”, una delle principali cause di perdita dei dati. In questo modo, le organizzazioni possono eseguire il ripristino in modo facile e veloce e con una perdita di dati minima.