Ransomware e sicurezza dei dati nel cloud

L'ormai celebre schermata del ransomware Wannacrypt

L’ormai celebre schermata d’avviso del ransomware Wannacrypt.

Nel 2017 il termine ransomware è stato menzionato più volte da siti specializzati e non. Ad oggi i due più famosi “rappresentanti della categoria” sono stati Wannacrypt e Petya (rivelatosi successivamente un wiper). In Rete, come ribadito in occasione di altri approfondimenti, giungono tuttavia ogni giorno nuove minacce – può trattarsi di una semplice raccolta di software malevoli (rootkit), di un virus, di una variante di un malware scoperto magari una settimana prima dagli esperti.

Peter Smails (Vice President of Marketing and Business Development presso Datos IO) ha recentemente parlato della sicurezza delle applicazioni nel cloud e di una serie di buone norme da seguire per disporre di backup dati affidabili e rapidamente ripristinabili. Vediamo insieme le parti più interessanti del contributo.

La prevenzione è sicuramente importante, esordice l’esperto, ma data la rapida evoluzione delle minacce online (sempre più sofisticate) ci si troverà prima o poi a dover fronteggiare situazioni di emergenza nelle quali è cruciale non solo disporre di efficaci piani disaster recovery ma anche di strumenti che permettano il ripristino dei dati e la rapida ripresa dell’attività lavorativa – nel caso in cui i dati siano corrotti o infetti è possibile distruggerli e sostituirli con le versioni originali.

Un nuovo bersaglio

Molti CIO pensano che nel cloud i dati sensibili siano al sicuro. Niente di più sbagliato afferma Peter. Le applicazioni cloud stanno diventando uno dei bersagli preferiti dagli hacker per via delle informazioni sensibili che gestiscono quotidianamente – pensiamo ai dati di cui dispone un istituto finanziario o una grande catena di negozi.

“[…] Queste applicazioni sono quasi sempre connesse direttamente alla Rete. I database [ai quali si appoggiano] sono aperti alle query di differenti sistemi, [il che li espone agli attacchi]. Queste applicazioni sono inoltre affidate ai business team (piuttosto che agli IT team) e sono prive di solidi processi di sicurezza, disponibilità, backup, ripristino ed altre funzioni “standard” per le infrastrutture enterprise” sottolinea Smails.

A fronte di quanto detto, è allora chiaro perchè le app siano dei bersagli allettanti per i malintenzionati – sia per coloro che vogliono danneggiare i bersagli che arricchirsi. Recentemente, ricorda Peter, sono stati compromessi più di 34.000 server MongoDB (richieste di riscatto comprese tra i 150$ ed i 500$); uno studio del 2016 ha individuato almeno 5300 installazioni Hadoop non correttamente configurate e quindi insicure.

Complessità degli ambienti multi cloud

I tradizionali metodi di backup (LUN e VM centrici) non sono in grado di mettere al sicuro le app dai ransomware ed assicurare l’effettivo recupero dei dati perchè sono stati pensati prima dell’avvento del cloud ed ignorano la natura distribuita e scalabile delle app di ultima generazione: ciò si traduce in tempi di ripristino prolungati e procedure inaffidabili dovute anche alle difficoltà che i metodi tradizionali incontrano quando tentanto di riportare i database al punto di ripristino desiderato.

L’approccio consigliato è quello “app centrico”, afferma, che consente di creare vari punti di ripristino e tornare allo stato antecedente all’infezione. Più in generale occorre attenersi ad alcune norme che riportiamo qui di seguito:

  • focalizzarsi sulle applicazioni piuttosto che sull’infrastruttura. L’infrastruttura sta diventando quasi invisibile, soprattutto nel cloud. Per essere efficaci le procedure di backup e ripristino devono lavorare al livello dell’applicazione;
  • preservare la propria indipendenza nel cloud. Ransomware, disservizi cloud e buon senso suggeriscono di appoggiarsi a varie piattaforme cloud (pubbliche, ibride e private);
  • utilizzare delle procedure di ripristino flessibili che siano in grado di adattarsi a qualsiasi situazione. Non si sa mai quale data center, cluster o piattaforma cloud saranno necessari per effettuare il ripristino;
  • supportarte i ripristini point in time, fondamentali per affrontare i ransomware o qualsiasi disservizio (downtime provider, blackout etc.);
  • utilizzare l’infrastruttura in modo efficiente. Molte soluzioni di backup effettuano la copia di dati già duplicati. Occorrono soluzioni backup storage che siano in grado di lavorare in modo efficace su ogni piattaforma cloud, NFS o piattaforma object storage.

Fonte: 1