Nella battaglia in corso contro il ransomware, le aziende stanno diventando più resilienti. I rapporti di Coveware by Veeam e Chainalysis mostrano un calo significativo dei pagamenti del ransomware nel quarto trimestre del 2024. Questo successo è attribuito a diversi fattori chiave, tra cui il miglioramento delle normative federali, la rimozione dei principali gruppi di criminali informatici e, soprattutto, una migliore preparazione e resilienza delle organizzazioni nel rispondere e nel riprendersi dagli attacchi malware basati sulla crittografia.
La protezione dei dati si è evoluta in modo significativo negli ultimi anni. Le discussioni si sono spostate dalla deduplica in linea rispetto a quella post-processo ad argomenti incentrati sulla sicurezza come l’immutabilità dei carichi di lavoro, la risposta agli incidenti e il rilevamento del malware. La scansione dei backup alla ricerca del malware non è stata, e non è mai stata pensata, per sostituire gli strumenti tradizionali di endpoint o di rilevamento e risposta estesi. Ha lo scopo di fornire un ulteriore livello di rilevamento per un approccio di difesa in profondità per il rilevamento del malware. Veeam offre le capacità di scansione malware più pratiche e complete prima, durante e dopo un backup nel settore della protezione dei dati. Esploriamo ogni caso d’uso.
Prima del backup: Valutazione proattiva delle minacce
In base al framework MITRE ATT&CK e ai dati di Coveware by Veeam, sappiamo che gli autori delle minacce prendono di mira i backup una volta ottenuto l’accesso iniziale. Veeam è l’unico fornitore che cerca in modo proattivo comportamenti sospetti prima che venga eseguito un backup.
- Recon Scanner: Fornisce avvisi proattivi su potenziali minacce al server di backup, rilevando eventi sospetti come IP sconosciuti che tentano l’accesso remoto o account compromessi che tentano attacchi di forza bruta. Aiuta a identificare le vulnerabilità e crea una sequenza temporale di eventi per individuare punti di ripristino puliti.
- Osservabilità, Analisi e approfondimenti basati sull’IA: Rileva le anomalie nell’ambiente di produzione prima di un backup, identificando pattern insoliti delle VM, attacchi di forza bruta su ESXi e vCenter e attività SSH sospette.
- Veeam Incident API: Consente l’integrazione degli strumenti di sicurezza di terze parti con Veeam, segnalando potenziali punti di ripristino dannosi e attivando i backup out-of-band per i carichi di lavoro crittografati attivamente.
Durante il backup: Livelli multipli di rilevamento in tempo reale
Veeam rileva e mitiga accuratamente le minacce in tempo reale durante i backup, superando le alternative che richiedono la scansione post-processo e l’invio di metadati al cloud solo per identificare le modifiche in massa di base.
- Scanner IoC: Verifica se sulle macchine sono in esecuzione strumenti dannosi noti per essere utilizzati dai criminali informatici e rileva gli strumenti appena installati, anche se sono strumenti Living off the Land, in grado di esfiltrare, crittografare o danneggiare i dati.
- Analisi dell’entropia: Esegui la scansione dei blocchi di dati alla ricerca di eventi casuali, dati crittografati, collegamenti a cipolla e note di riscatto.
- Indicizzazione dei file: Utilizza un’analisi basata sulle firme per scansionare il database di Veeam alla ricerca di estensioni malware note, assicurando una rapida segnalazione di potenziali minacce.
- Backup immutabili: Garantisce che i backup siano recuperabili dagli attacchi informatici crittografati con opzioni come il repository con protezione avanzata Veeam, lo storage Veeam Vault e l’immutabilità di terze parti.
Dopo il backup: Garantire un ripristino rapido e pulito
Purtroppo, il ransomware non esisterebbe se gli strumenti di prevenzione e rilevamento catturassero tutto. Le organizzazioni devono prepararsi al peggio e sperare per il meglio. La scansione post-elaborazione è fondamentale per garantire un ripristino pulito dei dati ed evitare la reinfezione se un criminale elude il rilevamento.
- Recon Blast Radius: Identifica l’effettiva portata di un attacco ransomware, rilevando file corrotti o non crittografati e costruendo una cronologia degli eventi.
- Threat Hunter: Esegue la scansione dei punti di ripristino alla ricerca di malware utilizzando un motore antivirus basato su firme, assicurando che per il ripristino vengano utilizzati solo dati puliti.
- Scansione basata su regole YARA: Ricerca di indicatori di compromissione, rilevando malware che potrebbero essere sfuggiti ad altri strumenti o zero-day
- Capacità di ripristino orchestrato e in clean room: Crea piani di ripristino dettagliati, testando e convalidando il ripristino delle applicazioni critiche.
Unire tutti gli elementi
Queste funzionalità di scansione sono più efficaci quando sono coinvolti i team di sicurezza. L’inoltro degli eventi agli strumenti e ai dashboard già utilizzati dal team di sicurezza consente processi automatizzati. Riassumiamo tutto questo in un esempio per visualizzare meglio come tutti questi componenti lavorano in sinergia:
- Veeam o uno strumento EDR/XDR rileva comportamenti sospetti su una macchina prima o durante il backup.
- L’evento viene inoltrato allo strumento SIEM dell’organizzazione.
- Si avvia automaticamente un playbook che attiva un ripristino istantaneo della macchina sospetta infetta in un ambiente di clean room per un secondo parere da parte di Veeam Threat Hunter.
- Se l’analisi risulta negativa, contrassegna l’evento come falso positivo.
- Se la scansione conferma la presenza di malware, Recon Blast Radius esegue la scansione delle macchine per comprendere meglio la sequenza temporale e la portata dei dati interessati.
- Infine, non rimanere bloccato solo a ripristinare da un backup su disco rigido. Ripristina non solo dal backup una volta che la portata dell’attacco è nota e l’autore della minaccia è stato adeguatamente estirpato.
Conclusion
Veeam’s commitment to cybersecurity extends throughout the entire data lifecycle. From before backup, during backup, and after backup. Veeam ensures that your data is protected at every stage. This comprehensive approach not only minimizes the risk and impact of cyberattacks but also ensures that organizations can recover quickly and efficiently. In conclusion, Veeam’s sophisticated scanning technologies and proactive strategies make it the most reliable solution for malware detection and recovery. By integrating advanced tools and maintaining a vigilant approach to cybersecurity, Veeam helps organizations stay one step ahead of cyber threats, ensuring that their data remains resilient and their operations uninterrupted.