Da un sondaggio le abitudini delle aziende europee su backup e ripristino dati

Tempo di lettura

Secondo il Report sulle tendenze nella protezione dei dati 2023 (scaricate gratis il documento qui), l'85% delle organizzazioni ha subito almeno un attacco informatico negli ultimi dodici mesi; un incremento rispetto al 76% riscontrato nell'anno precedente. Per comprendere meglio la preparazione e la recuperabilità dagli attacchi informatici, una società di ricerca indipendente ha condotto un sondaggio anonimo tra 1.200 leader IT imparziali le cui organizzazioni hanno subito almeno un attacco ransomware nel 2022, di cui 350 in Europa.

Si tratta del secondo sondaggio annuale sulle organizzazioni che hanno subito attacchi informatici con l'obiettivo di confrontare i punti di vista di quattro diversi ruoli coinvolti nella preparazione e/o mitigazione di questi attacchi: professionisti della sicurezza, CISO o altri dirigenti IT, generalisti delle operazioni IT e amministratori di backup.

“Ci vuole l'impegno di tutti” … ma le organizzazioni non sono allineate

Anche se molte organizzazioni potrebbero dire che "il ransomware è un disastro" e pertanto includere gli attacchi informatici nell'ambito della pianificazione della Business Continuity o del Disaster Recovery (BC/DR), l'effettiva interazione tra i team lascia molto a desiderare. Il 60% ritiene che sia necessario un "miglioramento significativo" o una "revisione completa" tra i team dedicati alla resilienza e al backup. Il 45% ritiene che il programma di gestione del rischio stia funzionando bene, mentre altri cercano miglioramenti o non hanno ancora un programma.

Detto questo, c'è allineamento su due aree: budget e playbook. Per il 2023, i budget per la protezione informatica (prevenzione) sono cresciuti del 5,3%, mentre i budget per il backup (rimedio) sono cresciuti del 5,4%. Oltre a questo,alla domanda sui team di risposta agli incidenti e su come le organizzazioni intendono affrontare l'inevitabilità degli attacchi informatici, gli elementi più comuni del "playbook" in preparazione al ripristino sono i seguenti:

• Copie di backup pulite, che si presume includano dati "sopravvissuti" agli attacchi e non contengano codice dannoso

• Verifica ricorrente che i backup siano ripristinabili

Il pagamento del riscatto non garantisce la recuperabilità

Ciò che potrebbe sorprendere alcune persone è che, sebbene la maggior parte degli intervistati abbia pagato il riscatto, molti di loro in realtà avevano direttive di "non pagamento" provenienti dalla direzione aziendale o da un regolamento governativo. Tuttavia, anche il pagamento del riscatto non costituisce la garanzia che il ripristino sarà possibile. Il 62%ha pagato il riscatto e ha potuto ripristinare i dati, il 20%ha pagato il riscatto ma non ha potuto ripristinare i dati e il 13% non ha pagato il riscatto perché ha ripristinato dal backup. Purtroppo, la statistica complessiva secondo cui il 16% delle organizzazioni è stato in grado di ripristinare senza pagare è scesa dal 19% nel sondaggio dello scorso anno.

Per ripristinare senza pagare, i backup devono sopravvivere

In almeno il 93% degli eventi informatici, il criminale ha tentato di attaccare i repository di backup, negando di fatto qualsiasi altra opzione oltre al pagamento del riscatto. Il 75%delle organizzazioni ha perso almeno alcuni dei propri repository di backup durante l'attacco, il 44% dei repository di backup è andato perso quando il criminale informatico è riuscito a colpire la soluzione di backup. Quando si viene attaccati per la prima volta, ci sono due scelte: pagare o ripristinare dal backup, ma attaccando la soluzione di backup il criminale informatico rimuove una delle scelte disponibili per le vittime.

Il segreto per la sopravvivenza dei backup è l'immutabilità

Esistono altre best practice come la protezione delle credenziali di backup, l'automazione delle scansioni di rilevamento del malware nei backup, la verifica automatica che i backup siano effettivamente ripristinabili, ecc., ma una tattica chiave è garantire che i repository di backup non possano essere eliminati o danneggiati. Questa è la cosiddetta immutabilità e può essere attuata durante l'intero ciclo di vita della protezione dei dati: l'82% delle organizzazioni utilizza repository cloud immutabili, mentre il 64% delle organizzazioni utilizza lo storage su disco immutabile. Quando si tratta di supporti in grado di sopravvivere, è difficile essere più "fisicamente isolati" della cartuccia di un nastro che viene rimossa dalla sua unità e conservata su uno scaffale. Infatti, il 47% dei dati viene ancora scritto su un nastro a un certo punto della strategia di protezione dei dati.

Il segreto della recuperabilità è la portabilità

Come in qualsiasi altro disastro (ad esempio, incendio, inondazione, tornado), una decisione strategica chiave è "dove possiamo ripristinare"? Ciò significa che, se i production server sono compromessi, ce ne vorranno di nuovi. Mentre le organizzazioni più grandi possono avere più data center con server ad accesso infrequente in attesa, molte non li hanno e quindi non sorprende che la maggior parte degli intervistati avesse un piano ibrido: il 69%delle organizzazioni prevede di eseguire il ripristino su un'infrastruttura in hosting nel cloud o nel DRaaS, l'83%delle organizzazioni prevede di eseguire il ripristino sui server all'interno di un data center. È da notare che l'intento di ripristinare sui server all'interno di un data center potrebbe includere:

• Server ad accesso infrequente in attesa, come il modello con doppio data center

• L'acquisizione di nuovi server se le supply chain lo consentono

• Il semplice processo di cancellazione e riutilizzo dei server originali, supponendo che non siano stati requisiti a scopo legale o per le forze dell'ordine

Poiché la somma delle due statistiche va ben oltre il 100%, è incoraggiante che le strategie BC/DR e di resilienza informaticadella maggior parte delle organizzazioni includano entrambi i tipi di posizione, a seconda della crisi.

Non reinfettare durante il ripristino

Come il motto dei medici di "non nuocere", bisogna acquisire la mentalità di non reintrodurre il malware o i dati infetti nell'ambiente di produzione durante il ripristino. Se si verificano altri disastri (ad esempio, incendio/alluvione), i dati nei backup, nelle repliche e negli snapshot sono validi per iniziare immediatamente il ripristino. Purtroppo, una delle tante complessità nella guerra informatica è che i dati sono probabilmente compromessi anche subito prima di ricevere la richiesta di riscatto. Pertanto, è importante eseguire una scansione completa dei dati durante il processo di ripristino. Questo non è sempre un compito facile, a seconda che la soluzione di protezione dei dati offra o meno l'integrazione con le tecnologie di rilevamento (durante il backup, il ripristino o entrambi), nonché una sorta di "staging" o "sandbox". Quando è stato chiesto alle vittime informatiche all'interno del sondaggio, le risposte sono state queste:

• Il 44% ha anzitutto ripristinato in un'area di test isolata o "sandbox" prima di reintrodurre i dati in produzione

• Il 35% ha ripristinato in produzione e quindi avviato immediatamente la scansione

• Il 12% ha ripristinato e poi semplicemente monitorato i comportamenti

• Il 9% non aveva alcun mezzo per prevenire la reinfezione.

Considerazioni conclusive della ricerca

In base alle lezioni apprese dalle 1.200 esperienze di attacco all'interno di questo sondaggio, la maggior parte delle organizzazioni oggi impiega alcune tecnologie chiave in preparazione per il prossimo evento:

• Storage immutabile all'interno di dischi, cloud e supporti fisicamente isolati, per garantire la sopravvivenza

• Architetture IT ibride per il ripristino su piattaforme alternative come qualsiasi altra strategia BC/DR

• Ripristini a più fasi, per prevenire la reinfezione durante il ripristino

E voi? Come si comportano le vostre aziende? Per qualsiasi dubbio, domanda o richiesta....contattateci!

Pubblicato il:
7/7/2023

potrebbe interessarti anche

Web security: 5 motivi per cui è essenziale contro i ransomware

Il ransomware è stato fonte di gravi problemi per molte organizzazioni negli ultimi anni. Ecco 5 motivi per cui prendersi cura della sicurezza web è molto importante per evitare il ransomware.

Leggi tutto l'articolo
Cybersicurezza

Il futuro delle password è nessuna password

Ricordarsi tutte le password che servono per la nostra vita online diventa sempre più difficile. Il futuro è nei nuovi metodi di autenticazione utente.

Leggi tutto l'articolo
Cybersicurezza
Informatica

Kaspersky: tanto (troppo) rumore per nulla (?)

La guerra Russia - Ucraina si sta trascinando dietro delle questioni legate alla cybersicurezza. A finirci dentro è l'antivirus Kaspersky. Cosa sta succedendo?

Leggi tutto l'articolo
Cybersicurezza

iscriviti alla nostra newsletter

lavora con noi

Uniontel è sempre alla ricerca di talenti.
Se vuoi provare a fare parte della nostra squadra, mandaci la tua candidatura!
Offriamo contratto a norma di CCNL, benefit e welfare aziendale.
La nostra ricerca è sempre aperta in campo tecnico e commerciale

Inviaci il tuo curriculum e parlaci di te!

*dimensione massima allegato 5MB
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

Contattaci

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.