Conformità al GDPR: non sottovalutare la perdita dati dovuta ad attacchi ransomware

In seguito all’entrata in vigore della normativa sulla protezione dei dati, la cosiddetta General Data Protection Regulation (GDPR), alla fine di maggio del 2018, le discussioni sul rischio di violazioni dei dati sono innumerevoli. Si tratta di uno scenario ad alto rischio per qualsiasi azienda che conservi dati personali e una questione a cui deve essere prestata grande attenzione (in merito a questo argomento, rimando al mio blog precedente).

Benché giustificata, tutta questa attenzione alle violazioni dei dati ha posto in secondo piano un altro requisito critico del GDPR, che per alcuni aspetti è diametralmente opposto: la perdita dei dati. E allora qual è la differenza? La violazione dati avviene quando un soggetto esterno non autorizzato accede a dati personali a cui avrebbe dovuto avere accesso soltanto l’azienda. La perdita dati si verifica quando l’azienda stessa non riesce più ad accedere ai dati personali dei propri clienti. Negli ultimi anni, la principale causa di perdita di dati sono stati gli attacchi ransomware, i famigerati WannaCry, Petya (seguito da “NotPetya”) e CryptoLock. Nel 2017, gli attacchi ransomware sono stati il tipo più comune di attacchi malware, con picchi del 70% in alcuni settori (ad esempio, nel settore sanitario).

Con così tante sfide da superare, la vostra azienda ha messo a punto una strategia robusta nei confronti degli attacchi ransomware?

Sfida numero 1 – Individuare gli attacchi ransomware

I moderni attacchi ransomware restano nascosti a lungo per cifrare il maggior numero di dati possibile, prima di essere individuati. Al raggiungimento di una soglia critica, bloccano l’utente e chiedono una criptovaluta. Questo comportamento è molto efficiente, ma è anche il tallone di Achille di questo vettore ransomware: accumulandosi nel tempo, le modifiche possono essere individuate da un meccanismo che ne tenga traccia, se presente in azienda. Questo meccanismo è gratuitamente incluso in qualsiasi soluzione di storage moderna – gli snapshot!

Gli snapshot, che in genere consumano una percentuale minima delle dimensioni del data set, cominciano a espandersi, consumando spazio. Se lo storage array fornisce un sistema di monitoraggio e allarme sul consumo di spazio, l’azienda potrà facilmente rilevare l’aumento di capacità e reagire ben prima che gli hacker blocchino l’utente.

Sfida numero 2 – Velocità di risposta all’attacco ransomware

Se, per esempio, nel periodo di ‘latenza’, l’attacco ransomware è riuscito a cifrare 100TB di dati in una settimana, anche i backup di quella settimana saranno compromessi e non potranno essere utilizzati per il recupero dei dati. Quindi, a quel punto, gli amministratori saranno costretti a recuperare 100TB lungo la rete da un backup target, un’impresa che richiederà ore, senza alcuna garanzia che il recupero non contenga file corrotti.

Comunque, le dimensioni di uno snapshot indicheranno immediatamente se contiene dati cifrati.

Quindi, se un’azienda che usa snapshot può accedervi, testare i dati all’interno e recuperare immediatamente lo snapshot giusto, il tempo di recupero non sarà più questione di giorni, ma di minuti.

Sfida numero 3 – Impedire l’esplosione della capacità storage

Un rischio che non è espressamente citato nel contesto dell’attacco ransomware è la possibilità che la capacità aggiuntiva consumata nel periodo ‘latente’ possa portare gli storage array da una capacità media dell’80% al 100%, mandando le applicazioni in crash.

Uno storage array più grande significa più spazio libero per consentire agli amministratori di identificare e rispondere all’attacco ransomware, ma un array più grande significa anche maggiore consolidamento e quindi maggior rischio. L’architettura Dual Controller offerta oggi da molti fornitori di storage non è abbastanza affidabile per gestire dati di tali dimensioni.

​

La ricetta speciale di InfiniBox contro gli attacchi ransomware

Anche se condiviso tra i vari clienti, l’hardware InfiniBox offre capacity pool che permettono al cliente di separare le applicazioni critiche tra loro. In questo modo, grazie ai capacity pool di InfiniBox, l’azienda può impedire che l’esplosione della capacità in una parte corrotta da ransomware possa danneggiare le applicazioni contenute in altri pool.

Il cliente fa esattamente la stessa cosa quando segmenta la rete per minimizzare il rischio di spostamento degli hacker tra i vari host.

Dall’altro lato, la necessità di buffer di maggiore capacità per identificare e rispondere agli attacchi ransomware senza esplosione della capacità di storage è perfettamente in linea con l’elevata capacità di InfiniBox, rendendolo la soluzione ideale per qualsiasi ambiente IT che sia potenziale vittima di ransomware.

Altri vantaggi offerti dai capacity pool contro gli attacchi ransomware:

• Capacità garantita : Con la separazione della capacità preassegnata (garantita) da quella non impegnata, la capacità condivisa viene consumata solo su richiesta.
• Allarmi : Monitoraggio in tempo reale della capacità, per avvisare gli amministratori di eventuali rischi .
• Reazione automatica : Quando il pool è pieno, il sistema reagisce a seconda della growth policy assegnata a quel pool. Le policy possono impedire ai pool di :
  • Espandersi automaticamente – generalmente in uso per applicazioni non critiche
  • Permetterne l’espansione soltanto entro certi limiti – generalmente in uso per le applicazioni più importanti
  • Permettere al pool di espandersi secondo necessità – generalmente in uso per applicazioni di importanza critica per l’attività, che non devono andare in crash neanche in caso di rapida espansione.

La protezione dagli attacchi ransomware (e in generale dalla perdita di dati) impone un approccio poliedrico: gli snapshot permettono sia l’individuazione che il rapido recupero da tali attacchi. I capacity pool offrono la separazione necessaria a proteggere le applicazioni di importanza critica per l’attività, oltre a una gestione dinamica della capacità, che non deve più essere preassegnata.

​

Scarica il white paper: Capire l'impatto della completa sicurezza dei dati