Come prepararsi per il ripristino di emergenza in caso di attacchi ransomware

Secondo un sondaggio globale condotto da Acserve, il 50% delle PMI è stato preso di mira da un attacco ransomware. I costi sono incredibilmente alti: circa il 30% delle vittime ha dovuto pagare un riscatto di oltre 100.000 dollari e il 20% è stato ricattato per una somma compresa tra 1 e 10 milioni di dollari. È terrificante.

Le aziende dovrebbero iniziare a sviluppare un piano di ripristino di emergenza del ransomware. Scorriamo verso il basso e prepariamoci ai disastri del ransomware.

In questo articolo
    1. Comprendere l'ambito dell'attacco
    2. Informare le autorità competenti
    3. Assemblare e comunicare
    4. Stabilire la continuità aziendale
    5. Esecuzione di un piano di ripristino di emergenza

Fase 1: creazione di un team per il ripristino di emergenza da ransomware

Sapere chi è responsabile di cosa potrebbe essere estremamente utile in situazioni caotiche come queste.

In genere, un team di ripristino di emergenza (DR) include:

  • Coordinatore della gestione delle crisi: Quando si verifica una catastrofe, la tua organizzazione dovrebbe avere un coordinatore della gestione delle crisi sensibile per avviare il piano e coordinare la ripresa.
  • Direttore esecutivo: un piano di ripristino di emergenza è solo lettera morta senza che i dirigenti lo approvino in un momento critico. Ne hai bisogno al tavolo per l'approvazione e la supervisione.
  • Specialista in continuità aziendale: questa persona è responsabile delle opzioni di sicurezza. Dovrebbero garantire che le vostre operazioni quotidiane tornino alla normalità il prima possibile.
  • Rappresentanti di valutazione e ripristino: l'intera infrastruttura deve essere nelle mani dei tuoi esperti IT e di sicurezza. Dovrebbero gestire il ripristino su reti, server, storage e database.

Ogni membro del team di ripristino di emergenza dovrebbe avere ruoli chiaramente definiti e un modello di risposta agli incidenti per evitare panico e confusione. Non fa male nominare e formare i membri del team di backup se i membri originali non sono presenti quando colpisce il ransomware.

squadra di ripristino di emergenza ransomware

Fase 2: stabilire protocolli di risposta agli incidenti

Un protocollo di risposta agli incidenti è un nome di fantasia per una lista di controllo per il ripristino di emergenza. Potresti chiederti: "Come faccio a sapere cosa è necessario fare se non ho esperienza con il ransomware?" Ecco perché pianifichi in base alla previsione, alla probabilità e alle esperienze di altre vittime.

piano di ripristino di emergenza ransomware

Anche se il recupero gioca un ruolo centrale in questo, non è l'unica cosa che devi fare:

Comprendere l'ambito dell'attacco

Per prima cosa devi conoscere il tuo nemico. Con che tipo di attacco di riscatto hai a che fare? Qual è la superficie di attacco e ha già iniziato a diffondersi?

Informare le autorità competenti

Non denunciare un reato è illegale in molti paesi. Durante la fase di pianificazione, dovresti chiedere ai tuoi rappresentanti quali sono le tue responsabilità legali come vittima del ransomware. In molti casi, ci sarà un protocollo per informare le autorità da seguire.

Assemblare e comunicare

Nel momento in cui conduci un'indagine iniziale e informi la polizia, la tua squadra di ripristino di emergenza dovrebbe già essere riunita. A questo punto, devi contattare e informare gli stakeholder interni ed esterni, dal tuo team PR e legale ai tuoi clienti e al pubblico in generale.

Stabilire la continuità aziendale

In questa fase del piano di risposta agli incidenti, dovresti essere in grado di appoggiarti ai tuoi sistemi di sicurezza e riprendere le normali operazioni aziendali senza alcun ostacolo. È fondamentale in settori come quello sanitario e finanziario, dove anche una piccola battuta d’arresto può avere gravi conseguenze.

Esecuzione di un piano di ripristino di emergenza

Il piano di disaster recovery ottimale dovrebbe aiutarti a ottenere un ripristino point-in-time prossimo allo zero, il che significa che puoi ripristinare i tuoi sistemi a un punto precedente all'attacco con perdite di dati e tempi di inattività minimi.

Fase 3: registrazione dell'intera infrastruttura di rete

Il ripristino di emergenza è impossibile se non si sa come erano le cose prima dell'attacco. Ecco perché è necessario conservare istantanee della tua infrastruttura di rete. La registrazione e il monitoraggio sono essenziali per una risposta efficace, ma molte organizzazioni trascurano di investire in essi.

I record hanno un valore inestimabile per pianificare la strategia di ripristino e in più di un modo. Oltre ad aiutarti a costruire più velocemente un'infrastruttura di rete collassata dopo l'attacco, ti dicono anche molto sui tuoi sistemi essenziali e non essenziali, permettendoti di dare loro la priorità.

In questo modo, gli specialisti del disaster recovery sapranno quali parti dell'infrastruttura ripristinare per prime per mantenere operativa l'azienda. Nel caso in cui siano presenti dipendenze di sistema, anche i record le mostreranno. Sapere tutto questo fa la differenza quando devi agire velocemente.

Ancora una cosa: registrare e monitorare la tua infrastruttura di rete può aiutarti a identificare le vulnerabilità del sistema che in qualche modo sono sfuggite alle crepe.

monitoraggio della sicurezza informatica

Fase 4: eseguire backup regolari dei dati

Il backup è un fattore ENORME da considerare quando si crea un piano di ripristino di emergenza del ransomware. Esistono tre tipi principali di backup: completo, incrementale e differenziale:

Che cos'è? Per chi è?
Backup completo Durante un backup completo, l'intera directory di file e cartelle viene copiata contemporaneamente in un'altra posizione. piccole imprese con quantità di dati poco impegnative.
Backup incrementale Il backup incrementale prevede il backup solo dei file e delle cartelle che sono cambiati dall'ultimo backup. organizzazioni di grandi dimensioni con notevoli esigenze di backup.
Backup differenziale Analogamente al backup incrementale, salva solo i file e le cartelle che sono stati modificati, ma dall'ultimo backup COMPLETO. PMI con molti dati ma risorse insufficienti per eseguire backup completi regolari.

Le organizzazioni che considerano diverse opzioni di backup devono prendere un'altra decisione: archiviazione nel cloud o backup in sede. In generale, ottenere il backup e l'archiviazione sul cloud è una soluzione più sicura, semplice ed economica, soprattutto con i servizi gestiti.

Più che un tipo o una destinazione di backup, la coerenza è fondamentale per il ripristino di emergenza.

Una pianificazione di backup infallibile prevede il salvataggio dei dati il ​​più spesso possibile. Per alcune organizzazioni, i backup incrementali continui hanno più senso dei backup completi settimanali. Ciò dipende in gran parte dalla quantità di dati prodotti, dalla capacità di archiviazione e dal sistema di backup.

backup di ripristino di emergenza ransomware

Le soluzioni di backup di livello aziendale dovrebbero includere anche la crittografia. Ciò aggiunge un ulteriore livello di sicurezza ai tuoi sistemi, garantendo che i criminali non possano leggere, vendere o altrimenti utilizzare in modo improprio i tuoi dati anche se ne riescono a impossessarsi. La crittografia e i backup dovrebbero andare di pari passo.

Fase 5: Adottare le tecnologie di sicurezza informatica

tecnologia di ripristino di emergenza ransomware

Le tecnologie di sicurezza informatica di nuova generazione tengono il passo con gli attacchi ransomware, aiutando le aziende che le adottano in tempo a sviluppare un approccio più sistematico alla resilienza dei dati.

Ad esempio, strumenti professionali di recupero dati come Wondershare Recoverit ti consentono di ripristinare rapidamente i tuoi dati ed evitare di pagare il riscatto quando gli aggressori irrompono.

Soluzioni come queste rappresentano un pezzo fondamentale del puzzle del disaster recovery perché sono facili da usare in caso di crisi e hanno tassi di recupero elevati. Possono recuperare qualsiasi formato di file da qualsiasi dispositivo di archiviazione, indipendentemente dal file system. Inoltre, non hanno bisogno di uno specialista del recupero.

Download gratuito
Download gratuito

Il recupero dei dati con Wondershare Recoverit è un semplice processo passo passo:

  1. Innanzitutto, scarica l'app dal sito ufficiale e installala sul computer su cui devi eseguire il ripristino.
  2. Successivamente, seleziona una posizione per avviare il ripristino. Puoi scegliere qualsiasi disco rigido o dispositivo esterno, eseguire un ripristino del sistema in crash o recuperare dati da NAS o Linux.
    seleziona una posizione per avviare il ripristino con recoveryit
  3. La scansione verrà avviata automaticamente. Attendi che l'app termini la scansione o mettila in pausa se viene visualizzato il file o la cartella che stavi cercando. Puoi anche interrompere la scansione.
    scansiona i dischi rigidi e le posizioni per il ripristino con recoverit
  4. Al termine della scansione, puoi filtrare i risultati per tipo di file, dimensione e tag oppure cercare un file o una cartella specifica per parola chiave.
    filtrare i risultati della scansione prima del ripristino con recoverit
  5. Fare doppio click su un file per visualizzarne l'anteprima prima del ripristino. Se decidi di conservarlo, clicca sul pulsante Ripristina.
    visualizzare in anteprima i file prima del ripristino con recoverit
  6. Scegli una destinazione di ripristino sicura e clicca su Salva per recuperare i tuoi dati.
    seleziona il percorso per salvare i file con recoverit
  7. Se non vuoi farlo adesso, puoi salvare i risultati della scansione per un altro momento.
salva i risultati della scansione per un'altra volta con recoverit

Altre soluzioni di sicurezza informatica che ora sono un must per le aziende sono:

  • Endpoint Detection and Response (EDR): i sistemi EDR monitorano e analizzano l'attività degli endpoint per rilevare e rispondere alle minacce avanzate, inclusi gli attacchi ransomware.
  • Next-Generation Firewall (NGFW): i firewall sono assolutamente essenziali per la sicurezza informatica. Forniscono una protezione avanzata dalle minacce ispezionando il traffico e bloccando i contenuti dannosi.
  • Security Information and Event Management (EM): le soluzioni EM raccolgono e analizzano le informazioni sulla sicurezza all'interno dell'organizzazione per rilevare e rispondere agli attacchi ransomware.
  • Email Security Gateway: i gateway di sicurezza e-mail rilevano e deviano le minacce basate su e-mail, inclusi tentativi di pesca e payload ransomware inviati tramite allegati e nomi di immagini.

Fase 6: testare e aggiornare il piano di ripristino di emergenza del ransomware

Molte organizzazioni di tutti i settori imparano presto come evitare ed eliminare il ransomware. Come mai, allora, gli attacchi sono in costante aumento?

Secondo alcuni ricercatori, ciò è dovuto al fatto che molte di queste organizzazioni non riescono a testare e migliorare i propri piani di ripristino di emergenza.

Il test è una misura fondamentale contro il fallimento, poiché mostra dove la risposta all'incidente è insufficiente. Oltre a ciò, insegna la preparazione e ti aiuta ad adottare una mentalità vigile.

Fase 7: formare i dipendenti sulle minacce ransomware

formazione sul ripristino di emergenza da ransomware

Naturalmente, la formazione è fondamentale per un piano di ripristino di emergenza ransomware di successo. I dipendenti devono essere continuamente formati per riconoscere ed evitare i ransomware e segnalare i loro sospetti al team di sicurezza IT.

Cosa devi insegnare ai tuoi dipendenti? Ci sono diverse abitudini che devono aggiungere alla loro routine quotidiana per proteggersi dalle comuni minacce ransomware:

  • Imparare a individuare ed evitare i tentativi di phishing;
  • Riconoscere gli allegati sospetti nelle email;
  • Utilizzo di fonti di download verificate e conosciute;
  • Creare password complesse che non possano essere hackerate;
  • Utilizzo della crittografia e della VPN per le transazioni sensibili;
  • Nessuna condivisione eccessiva delle informazioni personali online.

Conclusione

L’importanza di disporre di un piano di ripristino di emergenza da ransomware non può essere sopravvalutata. Se hai bisogno di aiuto per crearne uno, trova e assegna le persone giuste al team di risposta agli incidenti. Possono aiutarti a sviluppare e applicare protocolli per il ripristino di emergenza.

Non dimenticare che la sicurezza informatica è un processo continuo. È necessario monitorare i sistemi per individuare eventuali vulnerabilità e minacce e introdurre backup regolari. Adotta strumenti di recupero dati come Recoverit, inizia a formare i tuoi dipendenti e testa il tuo piano il più spesso possibile.

Nicola Massimo
Nicola Massimo 31/08/2024
Condividi: