Secondo il Report sulle tendenze nella protezione dei dati 2023, l’85% delle 4.200 organizzazioni intervistate ha subito almeno un attacco ransomware nel 2022. L’aspetto ancora più sorprendente è che il 39% dei dati di produzione di un’organizzazione è stato crittografato o distrutto durante l’attacco e le vittime sono state in grado di ripristinare in media solo la metà (55%) di ciò che era stato colpito. Poiché le minacce informatiche non accennano a diminuire, non sorprende che la maggior parte delle aziende abbia adottato tecnologie di backup immutabile e di isolamento fisico (ovvero storage resistente) per garantire che gli sforzi di ripristino dei dati non siano ostacolati dal ransomware. Questo blog intende approfondire le differenze tra tecnologie di backup immutabili e basate sull’isolamento fisico e su come le organizzazioni possono sfruttare queste soluzioni nella propria strategia di resilienza informatica.
Panoramica delle strategie di resilienza informatica
Fase 1 – Garantire obiettivi di backup resistenti
Per decenni, lo storage con isolamento fisico per i backup è stata l’opzione più affidabile che le aziende potevano sfruttare per proteggere le loro risorse critiche dalla maggior parte delle minacce. La proprietà WORM (Write Once, Read Many) di cui nastri o hard disk rotativi erano dotati, garantiva che i dati, una volta espulsi e spostati off-site, consentissero alle organizzazioni di ripristinarli in caso di disastro. Da allora lo storage dei dati resiliente come il nastro si è evoluto grazie alle aziende che utilizzano architetture più sicure e approcci cloud ibridi. L’immutabilità è diventata più comune in quanto offre funzionalità simili al WORM, con meno sovraccarico per la gestione dei supporti, ma non è tradizionalmente inaccessibile sulla rete. Quando si creano strategie di resilienza informatica e di disaster recovery, sia l’isolamento fisico che l’immutabilità possono avere i propri pro e contro. Tuttavia, è possibile utilizzare entrambe le tecnologie in combinazione tra loro per avere una copia resiliente ultra sicura.
In primo luogo, è sempre stato consigliato che, in caso di interruzione del servizio di un sito di produzione, ci si assicuri di disporre di una copia secondaria che non possa essere influenzata. La tradizionale “regola 3-2-1″ consiglia di eseguire 3 copie dei dati utilizzando almeno 2 tipi di supporto, 1 dei quali off-site. Per la maggior parte delle implementazioni Veeam, i dati di produzione sono [Copia 1, tipo di supporto = disco], i dati di backup sul repository locale sono [Copia 2, tipo di supporto = disco] e un terzo per il disaster recovery off-site [Copia 3, tipo di supporto = disco, cloud o nastro]. La maggior parte delle organizzazioni ha adottato questa pratica e ha esteso la regola 3-2-1 alla regola 3-2-1-1-0 per incorporare anche l’immutabilità e i test, a causa degli obblighi normativi e del rischio sempre crescente di minacce informatiche. L’aggiunta di 1-0 alla regola suggerisce che 1 copia sia “offline” (inaccessibile tramite isolamento fisico o immutabile) e 0 errori (testata e convalidata). Ciò contribuisce a garantire il massimo livello di recuperabilità dei dati da qualsiasi tipo di disastro.
Fase 2 – Ridurre le opportunità di accesso
Ora è tutta una questione di accesso e di rendere difficile ai malintenzionati non solo l’accesso ai sistemi, ma anche il tentativo di distruggere i backup necessari per il ripristino. Pertanto, ti consigliamo di adottare un’architettura informatica resiliente.
In questo caso, ogni elemento del sito di produzione è dotato di adeguati controlli di accesso. Puoi monitorare l’ambiente di produzione per rilevare attività sospette ed eseguire report per assicurarti che tutti i tuoi carichi di lavoro siano protetti e abbiano un backup immutabile. Successivamente, definisci i ruoli degli account utente per avere accesso all’ambiente di backup. Abilitare l’autenticazione a più fattori (MFA) sul server di backup Veeam può contribuire a fornire un ambiente più sicuro che protegge gli utenti da eventuali compromissioni. In seguito, utilizzare un
target immutabile come primo supporto di backup per consentire il ripristino in caso di bug, minacce informatiche o cancellazioni accidentali di dati. E soprattutto, testare spesso questi backup per verificarne il contenuto dei dati e garantire l’assenza di problemi imprevisti al momento del ripristino. Questi dispositivi di storage possono spaziare da hardware specializzato, dispositivi di deduplica e hardware integrato per S3. Infine, abbiamo la nostra copia di terze parti che dovrebbe essere off-site, crittografata E off-line o fisicamente isolata. I disastri naturali e l’accesso fisico non autorizzato degli utenti non sono l’unico motivo per cui è vantaggioso mantenere una copia in silo offline e off-site. L’integrità dei dati, le controversie legali e le regole di conformità/retention dei dati potrebbero non essere tipici eventi di perdita di dati, ma assicurano che ci sia una copia di dati puliti che può essere utilizzata per qualsiasi esigenza basata sui dati.
Cos’è un backup fisicamente isolato?
Un isolamento fisico è un modo per isolare i dati critici, separando una copia, sia fisicamente (rimuovendo il nastro dall’unità) o non rendendola accessibile dalla rete (ad esempio disabilitando porte o percorsi di rete). I vantaggi dei backup con isolamento fisico sono molti, tra cui:
Protezione da ransomware e altri malware poiché questi backup non sono accessibili dal server di backup o da altre parti della rete. Affinché i malintenzionati possano corrompere questi dati, una persona dovrebbe essere fisicamente presente e disporre delle credenziali di accesso appropriate per eliminare i dati. Se questi backup vengono espulsi/isolati correttamente e curati (ad es. temperatura controllata, sporcizia/polvere, umidità, ecc.), le possibilità di un ripristino non riuscito sono basse.
Prevenzione dell’accesso non autorizzato e delle violazioni dei dati con la crittografia. Quando si considera qualsiasi backup, ma soprattutto quelli che sono stati fisicamente isolati o sono comunque offsite, diventa ancora più importante che i dispositivi o i supporti siano crittografati. Immagina di aver eseguito il backup del tuo controller di dominio senza crittografia e quindi dei malintenzionati abbiano ripristinato il backup sul proprio server. Ora possono raccogliere tranquillamente le tue credenziali per prepararsi a un attacco ai tuoi sistemi di produzione. La crittografia dei backup (specialmente quelli off-site) è un passaggio fondamentale per proteggere i dati sensibili dell’azienda dall’accesso da parte di utenti non autorizzati.
Conservazione dell’integrità dei dati, che garantisce che i contenuti non siano stati alterati in forma malevola. Sia l’accuratezza che la coerenza sono fondamentali non solo per la conformità normativa, ma anche per un ripristino affidabile. Per le organizzazioni nei settori della sanità, della pubblica amministrazione, della finanza, ecc., la conservazione di vari tipi di dati a lungo termine può variare da anni a tempo indeterminato e in alcuni casi richiede il mantenimento di una catena di custodia sicura. A seconda delle conformità normative a livello statale o federale, questi requisiti, se non soddisfatti, possono avere un impatto legale che può portare a multe salate per le organizzazioni che non sono in grado di produrre i dati in modo completo e accurato.
Backup immutabili
Un backup immutabile è una copia dei dati con controllo dell’accesso basato sul ruolo e altri tipi di autenticazione e che non può essere modificata o eliminata fino alla scadenza di un determinato periodo di tempo. Tuttavia, non è “offline” come un backup con isolamento fisico, in quanto è ancora connesso e accessibile dalla rete. Esistono diversi fornitori di tecnologia che sfruttano questo tipo di immutabilità, sia on-premises sia nel cloud, e possono includere il blocco degli oggetti, gli snapshot sicuri e il repository con protezione avanzata di Veeam. Per ulteriori informazioni, leggi questo blog post.
Isolamento fisico e backup immutabili
Dal momento che un backup immutabile raggiunge alcuni degli stessi obiettivi di “sopravvivenza” di un backup con isolamento fisico, esistono sia somiglianze che differenze. Entrambi offriranno resistenza al ransomware e conformità dei dati, ma ecco dove iniziano a differire:
Un backup tradizionale con isolamento fisico, come il nastro, può comportare un costo aggiuntivo per la gestione dei supporti e la collaborazione con i fornitori per archiviarli correttamente. Questo vale anche per lo storage immutabile, che può crescere in modo esponenziale se le policy sui dati cambiano.
Anche gli obiettivi Recovery Time Objective (RTO) sono una variabile che dipende dal supporto di storage utilizzato. Ad esempio, un cliente che ha testato le proprie velocità di ripristino dal cloud verso la struttura on-premises ha riscontrato evidenti limiti di rete che hanno reso più lento il ripristino dello stesso set di dati precedentemente ripristinato dal nastro. Ci volevano settimane rispetto ai pochi giorni in cui erano abituati a richiamare i nastri. Aumentare la velocità di download era un’opzione, ma richiedeva una revisione della loro rete attuale a un costo aggiuntivo. Al contrario, un’altra organizzazione è stata in grado di eseguire i ripristini direttamente verso il provider di servizio cloud pubblico e risparmiare settimane di interruzioni dopo un evento di attacco informatico, quando ha perso l’accesso alla propria infrastruttura on-premise a causa di un’indagine forense. Per loro aspettare il completamento dell’indagine sarebbe costato un mese di interruzioni.
In entrambi i casi, i clienti sono stati in grado di costruire una strategia di resilienza dei dati che ha funzionato per loro. Tuttavia, non si tratta di una situazione aut-aut e l’uno non dovrebbe sostituire l’altro. In modo molto simile al fatto che le repliche di VM non sono un backup e viceversa. Entrambe le tecnologie esistono per aiutare le organizzazioni a ripristinare i dati più velocemente e sfruttarle in tandem non fa che aumentare le possibilità di successo del ripristino dopo un evento di attacco informatico.
Proteggi i tuoi dati con Veeam
Nel Report sulle tendenze nel ransomware 2023, l’82% delle 1200 organizzazioni che avevano subito in precedenza attacchi informatici ora sfrutta tecnologie cloud immutabili, mentre il 64% utilizza dischi immutabili e il nastro è ancora rilevante, con il 14% che afferma di utilizzarlo nella loro strategia di protezione dei dati. Man mano che le organizzazioni cercano di adottare strategie di protezione dei dati più resilienti agli attacchi informatici, Veeam continua a stringere solide partnership con fornitori di hardware e cloud per semplificare l’adozione di repository di backup immutabili, soluzioni di isolamento fisico o (come best practice) entrambi. Con l’ultima release della v12, che include l’immutabilità con Microsoft Azure, Direct to S3 con immutabilità e miglioramenti al nastro, un’organizzazione può adottare rapidamente l’aggiunta di un altro livello difensivo per difendersi dal ransomware.
Scoprilo tu stesso facendo clic sul link sottostante oppure scopri di più su come puoi diventare partner di Veeam.