Le aziende hanno sempre più bisogno di un’elevata componente tecnologica per navigare nella complessità del mondo contemporaneo. Pertanto, il primo passo è l’implementazione di un’architettura di data security resiliente, che però sta diventando sempre più sfidante a causa di attacchi informatici sempre più sofisticati. Questo è quanto emerge da un White Paper dal titolo ‘Developing Ransomware Resilience with Multilayer Network, Storage, and Data Protection Architecture’ che Huawei ha realizzato in collaborazione con l’International Data Corporation (IDC).
Nel dettaglio, i dati mostrano come un terzo delle imprese globali sia stato colpito da ransomware o da violazioni che hanno impedito l’accesso ai sistemi o ai dati. Negli ultimi 12 mesi, infatti, il 35% delle aziende ha subito dai 3 ai 4 attacchi ransomware. Questa minaccia informatica è quindi diventata una seria problematica per i dirigenti e i responsabili IT, dal momento che le conseguenze a breve e lungo termine possono essere significative. Di conseguenza, la protezione dei dati è tra le principali priorità dei top manager.
Disponendo di infrastrutture grandi e complesse, caratterizzate da un maggior numero di potenziali ‘punti di ingresso’, le realtà dalle dimensioni più elevate sono diventate l’obiettivo principale del crimine informatico che sfrutta il ransomware, poiché gli hacker estorcono i dati sensibili e li criptano per poi chiedere un riscatto per il loro rilascio. Negli ultimi anni, infatti, le richieste di riscatto sono cresciute enormemente. In particolare, nel 2022 il riscatto medio si aggirava intorno ai 150.000 dollari, con un’interruzione media dell’attività aziendale superiore a 5 giorni.
Come difendersi da un attacco ransomware
Nel 2022, in occasione delle tavole rotonde alle quali hanno partecipato Chief Information Officer (CIO) e Chief Information Security Officer (CISO) durante l’IDC Summit, i responsabili IT e della sicurezza informatica hanno evidenziato alcune strategie per rilevare con maggiore accuratezza eventuali attacchi ransomware. Di seguito le tecniche maggiormente utilizzate dalle aziende:
- maggiore utilizzo di soluzioni di backup e disaster recovery
- rilevamento basato sul comportamento
- sandboxing o quarantena
- rilevamento basato sulle firme
- monitoraggio del traffico di rete
Dal punto di vista di Huawei e IDC è infatti giunto il momento per le aziende di spingere queste strategie nella direzione di un approccio multilivello, che includa una combinazione di queste tecniche, oltre a una migliore formazione interna sulla sicurezza informatica e all’aggiornamento regolare della rete e degli endpoint. A questo proposito, le organizzazioni dovrebbero quindi prendere in considerazione le seguenti best practice per la protezione dei propri dati:
- funzionalità dell’architettura di storage per la resilienza al ransomware – le piattaforme di archiviazione e backup devono fornire funzionalità di snapshot sicure basate su blocchi e file per generare copie di dati immutabili nel sistema di archiviazione;
- funzionalità dell’architettura di rete – la sicurezza della rete è fondamentale per prevenire e bloccare il ransomware. Diventa quindi estremamente importante essere in grado di rilevare minacce note o sconosciute, poiché prevenire un attacco è sempre meglio che affrontarne le conseguenze nella propria rete;
- combinazione di rete e storage – tutte le organizzazioni operano in un contesto ad alto rischio in cui la situazione può cambiare rapidamente nel giro di settimane, giorni se non addirittura ore. La combinazione delle funzionalità di sicurezza della rete e dell’architettura di storage dovrebbe pertanto essere uno standard per qualsiasi azienda che voglia costruire un’infrastruttura solida e resiliente.
La soluzione Multilayer Ransomware Protection (MRP) di Huawei per la resilienza agli attacchi ransomware
Parallelamente all’elevato numero di attacchi ransomware rilevati negli ultimi anni, questo specifico malware è in continua evoluzione diventando sempre più furtivo, veloce ed efficace. In questo modo, il ransomware riesce spesso ad eludere i comuni software antivirus e a sfidare le tradizionali misure di protezione in silos, che solitamente fanno affidamento sul rilevamento basato sul comportamento e sulle firme, sul monitoraggio del traffico di rete e sul backup dei dati per il ripristino. Per far fronte a queste sfide, Huawei ha sviluppato la soluzione Multilayer Ransomware Protection (MRP) che assicura un sistema di protezione e resilienza dall’elevata performance e che agisce sui seguenti aspetti:
- intercettazione della minaccia nella rete – la sicurezza della rete costituisce la prima linea di difesa. Diventa quindi fondamentale per le aziende disporre di un prodotto di sicurezza della rete solido e aggiornato, perché potrebbe prevenire un attacco ransomware. Il modulo di intercettazione della rete sviluppato da Huawei utilizza una combinazione di firewall, sandbox e panoramica della rete;
- sinergia tra rete e data storage – il loro dialogo si basa su dati della network security e dello storage protection per eseguire diverse attività. Ad esempio, la situational awareness della sicurezza sincronizza le notifiche di attacchi ransomware con lo storage manager (Data Management Engine, DME) in tempo reale;
- archiviazione e protezione dei dati – lo storage è l’ultima linea di difesa. Il modulo di attacco parte, infatti, dall’ambiente di rete e comunica con l’ambiente di archiviazione. Dopodiché, emergono le informazioni sul riscatto e la funzione di infiltrazione secondaria che si impianta nel canale backdoor per un attacco secondario o esteso. Per una protezione efficace è quindi necessario che l’ambiente di storage sia resiliente e contribuisca a prevenire l’estorsione dei dati durante le fasi di attacco e post attacco.
Insieme alle funzionalità di rete, storage e protezione del backup, la soluzione MRP di Huawei fornisce un sistema di protezione e resilienza a 6 livelli di nuova generazione:
- Soluzione di rete per la prevenzione dei ransomware:
- livello 1: prevenzione delle intrusioni al confine della rete
- livello 2: prevenzione della diffusione all’interno della rete
- Soluzione di archiviazione anti-ransomware:
- livello 1: rilevamento e intercettazione del ransomware sullo storage di produzione
- livello 2: ripristino di secondo livello tramite secure snapshot sullo storage di produzione
- livello 3: ripristino rapido sullo storage di backup locale
- livello 4: ripristino rapido utilizzando dati protetti negli airgap
Evoluzione della regola d’oro del backup da 3:2:1 a 3:2:1:1
Le aziende stanno cambiando la propria strategia di protezione dei dati, passando da una polizza assicurativa statica alla costruzione della resilienza vera e propria. Ad esempio, tra le best pratice che si adottano per prime, vi è la scelta di dotarsi di funzionalità di network security per aumentare il livello di resilienza nelle funzioni di identificazione e rilevamento.
La regola del 3-2-1-1 è una best practice estremamente utile per la creazione e il mantenimento di più copie di dati importanti. Questa consiste infatti nel creare 3 copie dei dati, di cui una coppia da archiviare su diversi tipi di supporti (come un hard drive e un servizio cloud), una offsite (come un servizio cloud) e l’ultima in modalità offline o isolata. Una copia dell’area di quarantena viene infine aggiunta alla soluzione di ransomware protection per ottenere in totale quattro copie dei dati (3:2:1:1).
Conclusioni
Il miglior incidente di sicurezza informatica è naturalmente quello che non si verifica. Tuttavia, a causa di attacchi informatici sempre più sofisticati e numerosi, la prevenzione di attacchi ransomware, con la loro conseguente infezione dell’intera infrastruttura, dovrebbe essere oggi una priorità per tutte le aziende. Un moderno modulo di network security in grado di identificare una minaccia ransomware e di prevenirne l’ulteriore diffusione dovrebbe disporre di una combinazione efficace di diversi moduli: un firewall, una sandbox robusta, threat intelligence e una panoramica della rete. Ciò nonostante, alla luce dele crescenti preoccupazioni per una potenziale recessione globale, è lecito aspettarsi che le aziende cerchino di ottimizzare al meglio le loro risorse e che si concentrino su temi di efficienza e innovazione, senza quindi eccedere negli investimenti. In questo contesto, infatti, l’adozione di un approccio multilivello di ransomware resilience insieme a soluzioni che offrono funzionalità unificate può facilitare la riduzione dei rischi e il recupero dei dati hackerati in maniera più rapida. Così facendo, si stima che le aziende si impegnino sempre più per unificare storage, data protection, sicurezza e network capabilities in un’unica soluzione per proteggersi da attacchi ransomware e ottimizzare i costi di investimento.
Alexandre Grandeaux, CTO di Huawei Enterprise Italia
