Infinidat Blog

L’evoluzione della strategia storage in funzione della compliance GDPR e degli attacchi ransomware

Data: February 17, 2019   Di: Drew Schlussel

Dall'entrata in vigore del Regolamento Generale sulla Protezione dei Dati Personali (GDPR) a fine maggio 2018, c'è stato un acceso dibattito sui rischi di data breach. Si tratta di uno scenario ad alto rischio per qualsiasi azienda che conservi dati privati e richiede un'attenzione particolare (vedi il mio post precedente su questo argomento). L'attenzione rivolta alle violazioni dei dati, pur giustificata, ha fatto passare in secondo piano un altro requisito importante del GDPR, per certi versi diametralmente opposto: la perdita di dati.

Qual è la differenza?

  • Si ha una violazione di dati quando una terza parte non autorizzata accede a dati privati cui avrebbe potuto accedere soltanto l'azienda interessata.
  • Si ha invece una perdita di dati quando l'azienda non è più in grado di accedere ai dati privati dei suoi clienti.

Negli ultimi anni, la causa più comune di perdita di dati sono stati gli attacchi ransomware, con nomi quali “WannaCry”, “Petya” (e in seguito “NotPetya”) e “CryptoLock”. Nel 2017, gli attacchi ransomware sono stati gli attacchi malware più comuni, responsabili di più del 70% delle perdite di dati in alcuni settori (per esempio, quello sanitario).

Con così tante sfide IT da affrontare, la tua azienda ha sviluppato una strategia solida per gli attacchi ransomware?

 

Sfida 1 - Rilevare un attacco ransomware

Gli attacchi ransomware moderni avvengono di nascosto per lungo tempo, al fine di crittografare più dati possibili prima di essere rilevati. Una volta che il livello di crittografia raggiunge una soglia critica, bloccano l'accesso all'utente e viene richiesto un riscatto in criptovaluta. Questa tattica è molto efficace ma rappresenta anche il tallone di Achille di questo vettore di attacco, in quanto i cambiamenti si accumulano nel tempo e possono essere rilevati in presenza di un meccanismo adatto. Questo meccanismo è incluso gratuitamente nelle moderne soluzione di storage e si chiama snapshot!

Le snapshot, che generalmente occupano una percentuale minima di spazio dati, inizieranno a diventare più grandi a causa dell'inefficienza dell'allocazione di spazio dei dati criptati, e occuperanno quindi più volume. Se l’array storage fornisce dei tool di monitoraggio e di avviso sul consumo, l’azienda potrà facilmente individuare questo incremento e porre rimedio molto prima che gli aggressori blocchino l’accesso.

 

Sfida 2 - Risposta rapida a un attacco ransomware

Se, per esempio, l’attacco ransomware silente è stato in grado di crittografare 100 TB di dati in una settimana, anche le snapshot (a partire da quella settimana) saranno compromesse e non potranno essere utilizzate per ripristinare i dati. Gli amministratori saranno quindi costretti a ripristinare 100TB sulla rete da un target di backup, un processo che richiederà molte ore senza alcuna garanzia che il ripristino non contenga file corrotti.

Tuttavia, la grandezza di una snapshot indicherà immediatamente se all’interno siano presenti dati crittografati dal ransomware.

Di conseguenza, se un’azienda può accedere alle sue snapshot, può verificarne i dati e può ripristinare immediatamente le snapshot corrette, può ridurre i tempi di ripristino da giorni a minuti.

 

Sfida 3 - Evitare un’esplosione della capacità storage

Uno dei rischi tipicamente non menzionato nel contesto di un attacco ransomware è che la capacità aggiuntiva consumata in modo silente faccia passare l’occupazione degli array storage dall’80% al 100%, causando un crash delle applicazioni.

Uno storage più capiente offre più spazio, consentendo agli amministratori di identificare gli attacchi ransomware e rispondere. Tuttavia, uno storage più grande significa anche un maggiore consolidamento e richiede un livello superiore di affidabilità. L'architettura a doppio controller, originariamente progettata negli anni 90 per ospitare alcuni TB, non può fornire questo nuovo livello di affidabilità richiesto per capacità a livello di PB.

 

La soluzione InfiniBox per combattere gli attacchi ransomware

Per quanto l'hardware di un InfiniBox sia condiviso tra gli utenti, InfiniBox offre pool di capacità che consentono agli utenti di separare le applicazioni critiche. In questo modo, i pool di capacità di InfiniBox permettono agli utenti di contenere l’esplosione di capacità in un’area, che potrebbe essere compromessa dal ransomware, senza impatti sulle altre applicazioni in un altro pool. È un approccio simile alla segmentazione di rete da parte degli utenti per ridurre il rischio di attacchi su host.

 

Oltre a questa segmentazione che protegge i dati applicativi a livello di pool, la soluzione di InfiniBox fornisce anche protezione a livello di sistema, in quanto la capacità libera è centralizzata piuttosto che ripartita tra molti array più piccoli. Questo aumenta il tempo a disposizione degli amministratori per rilevare e reagire a un attacco ransomware.

Vantaggi aggiuntivi forniti dai pool di capacità per proteggersi dagli attacchi ransomware:

  • Garanzie di capacità: Separazione della capacità pre-allocata (garantita) dalla capacità non-committed condivisa, consumata soltanto on-demand
  • Avviso: Monitoraggio in tempo reale della capacità per avvertire gli amministratori di una potenziale minaccia
  • Risposta automatica: Quando un pool è pieno, il sistema risponde in base alla politica di crescita impostata per il pool in questione
  • Tali politiche possono impedire al pool di:
    • Crescere automaticamente - politica normalmente applicata ad app non critiche
    • Consentire al pool di crescere ma soltanto entro certi limiti - politica normalmente applicata soltanto ad app più importanti
    • Consentire al pool di crescere secondo necessità - politica applicabile ad app mission critical, che non dovrebbero andare in crash anche in seguito a una crescita molto rapida

La protezione dagli attacchi ransomware, e in generale dalla perdita di dati, richiede un approccio articolato. Le snapshot offrono una rilevazione e un ripristino rapido dagli attacchi, mentre i pool di capacità consentono la separazione necessaria per salvaguardare le applicazioni più importanti e una capacità dinamica di gestione, che evita un provisioning anticipato della capacità. Se stai ancora lottando con il GDPR o cercando nuovi modi per combattere la costante minaccia di ransomware, valuta l'opportunità di rivolgerti a INFINIDAT per scoprire come le nostre soluzioni di storage possano proteggere i dati e far continuare ad operare la tua azienda senza interruzioni.

Informazioni su Eran Brown

Eran Brown è CTO EMEA presso INFINIDAT. Negli ultimi 14 anni, Eran ha progettato soluzioni per data centre a tutti i livelli - applicazioni, virtualizzazione, networking e soprattutto storage. In precedenza, è stato Senior Product Manager e si è occupato di systems engineering e consulting, collaborando con società operanti in diversi settori (finanziario, gas, telecomunicazioni, software e web) aiutandole a pianificare, progettare e implementare infrastrutture scalabili a supporto delle loro applicazioni aziendali.

Informazioni Drew Schlussel

Drew Schlussel (@realdschlussel) is the Director of Content Marketing at Infinidat.

Back to Blogs