Il ransomware è in agguato per rubare i backup!

Negli ultimi anni, il ransomware è diventato un business molto redditizio, con alcuni attori governativi che lo hanno militarizzato o usato come nuovo flusso di entrate. Tutti gli articoli scritti fin ora in merito alla preparazione per il ransomware dicono che ci sono due cose da fare:

Prevenire - investire nella sensibilizzazione dei dipendenti al problema, assumendo penetration tester per testarne la consapevolezza, etc.

Reagire - una volta che il ransomware è penetrato nel vostro tuo perimetro e si è diffuso in azienda, la velocità con la quale il team IT può reagire si traduce in un impatto minimo sull'azienda.

Ma i pirati informatici leggono gli stessi articoli e si evolvono costantemente. Una delle loro armi è proprio quella di attaccare il backup, crittografandolo così da non poterlo usare contro di loro. Alcuni corrompono i file di backup (per es. WannaCrypt0r) mentre altri attaccano i file di backup di Time Machine MAC o Windows Volume Shadow Copy Service (VSS).

Come dovrebbero prepararsi le aziende contro l’attacco?

Nel mio post precedente ho parlato del ruolo delle snapshot nell'individuare un attacco ransomware in corso e di come possano offrire un ripristino ottimale senza dover ritrasferire TB di dati dal target di backup.

Tuttavia, se gli aggressori cercano attivamente dei modi per corrompere i backup, è più probabile che provino anche a cancellare le snapshot; dobbiamo quindi prepararci attivamente per quel giorno, dato che nessuno vorrebbe essere il primo a scoprire che le sue snapshot sono stati cancellate dall'ultimo ceppo di ransomware (probabilmente chiamato WannaSnap…).

A questo punto, molti utenti si chiederanno perché non ripiegare su un backup a freddo e perché rischiare con backup online in questo scenario? Il tempo di ripristino rappresenta il driver principale. Un'azienda che deve recuperare un grosso volume di dati da nastro impiegherà troppo tempo per il ripristino, andando a incidere direttamente sui suoi clienti e sul fatturato.

I backup su nastro non sono sempre recuperabili, alcuni utenti dichiarano che soltanto il 94% dei loro backup è recuperabile il giorno stesso del backup; questo evidenzia un declino della recuperabilità nel corso del tempo.

I backup online possono essere protetti dal ransomware?

Rispondendo brevemente: si! Adeguati meccanismi di sicurezza devono essere usati per convertire una snapshot in una snapshot Write Once Read Many (WORM), che non può essere modificata o cancellata fino a quando non raggiunge un determinato momento in cui il suo blocco viene meno. Allo stesso tempo, vogliamo che la snapshot resti pienamente funzionante e mantenga le sue capacità originarie:

Recuperabile (in tutti i casi, non soltanto in caso di ransomware)

Gestione della copia dei dati - consente di creare copie scrivibili dalla snapshot per test e sviluppo

Accessibile agli utenti - In NAS, le snapshot WORM dovrebbero essere comunque accessibili attraverso la cartella nascosta .snapshot /.ckpt, per il recupero dell'utente finale

Altri casi d'uso

Le (WORM) snapshot possono anche servire in altri casi:

Protezione dall'errore umano – è l'uomo la causa della maggior parte dei problemi IT Aggiungere protezioni contro la stanchezza dell'amministratore è sempre una buona prassi. Le snapshot possono essere bloccate in scrittura per prevenirne una cancellazione accidentale prima della fine della politica di conservazione.

Conservazione a fini di legge - In alcuni scenari di legge, i dati devono essere conservati per molto tempo al fine di proteggere delle prove, consentire nuove scoperte, etc. Bloccare in scrittura una copia dei dati è una misura ottimale per mantenerne l'accesso nel corso del tempo e, se occorre, il blocco può essere esteso secondo necessità.

Il WORM è lungo

Chiunque abbia mai lavorato con soluzioni WORM conosce la storia di quell'amministratore storage che ha bloccato in scrittura accidentalmente un grosso dataset per troppo tempo (ho visto personalmente un dataset bloccato per 70 anni, fortunatamente non da me…). Questo comporta una grossa spesa per la società, che a volte premia il dipendente con una bella scatola di cartone per sgomberare la scrivania. Per evitare tutto ciò, le soluzioni WORM dovrebbero prevedere protezioni contro tempi di conservazione non ragionevoli. Queste protezioni dovrebbero essere configurabili a seconda delle esigenze, dato che i clienti in ambito finanziario spesso conservano i dati per 7 anni mentre gli ospedali possono conservarli anche per 80 anni.

Presentazione di SnapSecure

SnapSecure fa parte dell'ultimo annuncio di INFINIDAT e ancora una volta è disponibile come aggiornamento gratuito per tutti i clienti con un contratto di assistenza (presto scriverò della filosofia alla base del non avere licenze). SnapSecure consente agli amministratori storage di impostare un tempo di conservazione sulla cancellazione/modifica dei dati delle snapshot, pur mantenendo tutte le capacità di una snapshot sopra menzionata.

Dal momento che l'accesso a InfiniBox avviene tramite l'API e che l'API previene qualsiasi modifica, anche nel caso in cui il ransomware sia in grado di pregiudicare le credenziali dell'amministratore non potrà corrompere o cancellare nessuno dei backup. Ciò significa che le aziende potranno fare affidamento su di loro per ripristinare i dati in meno di un secondo e recuperare velocemente l'operatività.

Per lo scenario di "conservazione a fini di legge", guardando alla conservazione di un WORM scaduto, l'amministratore deve essere in grado di dire se i dati sono ancora conservati "in forma originale" (non modificati) o se agli utenti è stato consentito l'accesso e possono aver apportato dei cambiamenti. SnapSecure semplifica quest'operazione, dal momento che le snapshot ora rientrano in una delle 3 categorie seguenti (vedi lo screenshot sotto riportato):

· Locked - la snapshot non può essere modificata/cancellata - lucchetto chiuso

· Expired - la chiusura della snapshot è scaduta ma i dati non sono mai stati modificati - lucchetto aperto

· I dati non sono mai stati locked o sono stati locked ma da quando sono stati modificati - nessun simbolo

​

Screenshot 1: snapshot in diversi stati WORM

Ciò consente agli amministratori che vogliono estendere la conservazione a fini di legge di una snapshot di essere sicuri che i dati non siano mai stati modificati nel corso del loro lock.