Dall’entrata in vigore del General Data Protection Regulation (GDPR) il 25 maggio scorso, c’è stato un acceso dibattito sui rischi di data breach e in particolare quelli legati al ransomware.
Secondo Eran Brown, Emea Cto di Infinidat si tratta di uno scenario ad alto rischio per qualsiasi azienda che conserva i dati privati e richiede un’attenzione particolare.
Il focus sulle violazioni dei dati, anche se scontato, ha oscurato un altro requisito importante del GDPR, in qualche modo diametralmente opposto: la perdita dei dati. Qual è la differenza?
La violazione dei dati si ha quando terze parti accedono in modo non autorizzato ai dati di un’azienda, mentre la perdita dei dati si verifica nel momento in cui un’azienda non è più in grado di accedere ai dati personali dei propri clienti.
Per Brown negli ultimi anni, la perdita di dati più frequente è stata causata dagli attacchi ransomware, con codici noti come WannaCry, Petya (e NotPetya) e CryptoLock. Nel 2017 è stata la tipologia di malware più utilizzata negli attacchi, con una percentuale superiore al 70% in alcuni settori (ad esempio in quello sanitario).
Con le numerose sfide che si trovano ogni giorno ad affrontare, si chiede Brown, le aziende stanno sviluppando una solida strategia che contempli l’evenienza degli attacchi ransomware?
Individuare un attacco ransomware
Gli attacchi ransomware moderni, spiega Brown, operano in maniera nascosta per lungo tempo al fine di crittografare quanti più dati possibili prima di essere rilevati. Quando viene raggiunta una soglia critica, bloccano l’accesso all’utente e viene richiesto un riscatto in criptovaluta.
Questo comportamento è molto efficace, ma rappresenta anche il tallone di Achille di questo vettore: nel tempo i cambiamenti si accumulano e potrebbero essere rilevati qualora ci fosse un meccanismo adatto. Nelle soluzioni storage moderne questo meccanismo è incluso gratuitamente e si chiama snapshot.
Le snapshot, che generalmente occupano una percentuale minima di spazio dati, inizieranno ad aumentare, consumando capacità. Se l’array storage fornisce dei tool di monitoraggio e di avviso sul consumo, l’azienda potrà facilmente individuare questo incremento e porvi rimedio molto prima che gli aggressori blocchino l’accesso.
Risposta rapida a un attacco ransomware
Se, per esempio, l’attacco ransomware silente è stato in grado di crittografare 100 terabyte (TB) di dati in una settimana, anche i backup a partire da quella settimana saranno compromessi e non potranno essere utilizzati per ripristinare i dati.
Quindi gli amministratori sono costretti a ripristinare 100TB sulla rete da un target di backup, un processo che richiederà molte ore senza alcuna garanzia che il ripristino non contenga file corrotti.
La grandezza di un snapshot, invece, indicherà immediatamente se all’interno sono presenti dati crittografati dal ransomware. Di conseguenza, se un’azienda può accedere alle sue snapshot, verificarne i dati e ripristinare immediatamente la snapshot corretta può ridurre i tempi di ripristino da giorni a minuti.
Evitare un’esplosione della capacità storage
Uno dei rischi tipicamente non menzionato nel contesto di un attacco ransomware, sottolinea Brown, è che la capacità aggiuntiva consumata in modo silente faccia passare l’occupazione degli array storage dall’80% al 100%, causando un crash delle applicazioni. Un sistema storage più capiente offre più spazio, consentendo agli amministratori di identificare e rispondere agli attacchi ransomware.
Inoltre, uno storage più grande offre anche maggiore consolidamento e quindi richiede un livello superiore di affidabilità. L’architettura a doppio controller offerta da molte aziende di storage e originariamente progettata negli anni 90 per alcuni terabyte non può fornire questo nuovo livello di affidabilità richiesto per capacità a livello di petabyte.
Lo storage per combattere gli attacchi ransomware
Per Brown è importante dotarsi di una soluzione storage che condivida l’hardware tra gli utenti e offra pool di capacità che consentano di separare le applicazioni critiche. In questo modo, è possibile contenere l’esplosione di capacità in un’area, quella compromessa dal ransomware, senza impatti sulle altre applicazioni. È un approccio simile alla segmentazione di rete per ridurre il rischio di attacchi su host.
La protezione dagli attacchi ransomware (e in generale dalla perdita di dati) richiede un approccio che comprenda snapshot per la rilevazione e il ripristino rapido dagli attacchi, pool di capacità che consentono la separazione delle applicazioni per salvaguardare quelle più importanti e una capacità dinamica di gestione che eviti un provisioning anticipato della capacità.
