Durante i giorni dell’attacco Not Petya, Vittorio Bitteleri, country manager di Commvault Italia, ricorda di aver chiesto a un manager se la sua azienda fosse stata colpita da uno degli ultimi attacchi ransomware per poi scoprire che la sua organizzazione stava pianificando un acquisto di bitcoin per pagare il riscatto di un ransomware e riottenere i propri dati.
Il budget non era altissimo ma neanche insignificante. Continuava ad affermare che indipendentemente da quanto le loro tecnologie fossero adeguate a bloccare questi attacchi, in un modo o nell’altro i malintenzionati sarebbero riusciti a superare le loro difese.
Ecco perché Bitteleri insiste nel dire che implementare la sicurezza sul perimetro è estremamente importante.
Intercettare pacchetti dati che contengono malware è un’attività chiave per monitorare la diffusione di malware e ransomware dall’interno.
Strumenti anti-virus e anti-malware sono ottimi per aiutare a rilevare le varianti conosciute e ridurne la propagazione.
Nessuna di queste tecnologie però, anche se combinate, bloccherà il gesto di una persona in buona fede che scatenerà potenzialmente una serie di eventi pericolosi, commettendo un errore accidentale.
Secondo il manager, allora, per tutta la community IT è tempo di spostare il pensiero da “non succederà a noi” a “come possiamo prepararci quando accadrà”.
Backup e ripristino rapido
Il primo obiettivo da ottenere è il ripristino rapido di qualsiasi sistema IT. Avere un backup non è più sufficiente, specialmente se non è situato su un sistema solido di storage.
Se si possiede un backup, è necessario poter effettuare il ripristino in modo veloce e assicurarsi che i luoghi che ospitano le copie di backup siano sicuri da ransomware o altri malware.
Una volta partito un attacco, ci si accorgerà della sua propagazione per il lieve aumento di traffico di rete generato dal trasferimento del codice worm, nonostante il codice stia creando una VPN e replicando i dati su una struttura esterna sicura, un nuovo trend definito leakware, e per la quantità di modifiche che avvengono nei dati di sistema.
Quando viene effettuato in modo appropriato, il backup conosce le informazioni e i loro indici di cambiamento ed è in grado di raccogliere dati per comprendere i modelli sui quali opera un’azienda.
Se un sistema critico all’improvviso riscrivesse tutti i suoi blocchi di dati sullo storage, il backup lo scoprirebbe, perché il suo delta dovrebbe apparire pieno o lo snapshot dovrebbe avere le dimensioni di una completa copia mirror, lasciando gli amministratori di sistema decisamente perplessi.
Il vero obiettivo, per Bitteleri, è dunque il ripristino veloce. Rivelare quando, dove e come un attacco sia iniziato, il più vicino possibile al punto zero, fornendo un nuovo livello di intelligence, automazione e analisi.