L’avvento di virus di tipo ransomware ha esposto le aziende al pericolo più grande: la perdita totale dei dati, con il rischio di non poter più riprendere l’attività se non si dispone di adeguati backup.
In un certo senso possiamo dire che la diffusione del ransomware ha aumentato l'importanza del backup.

Questo perché normalmente l’unica possibilità di ripartire dopo un attacco ransomware consiste nel ripristino da un backup.
BackupAssist ha sempre avuto un buon sistema di ripartenza (che prende il nome di RecoverAssist), costituito da un backup per immagini supportato da un disco avviabile per far ripartire un sistema in caso di emergenza.
Ma perché si possano utilizzare questi backup è necessario che non siano intaccati dal ransomware. Proprio per questo arriva la nuova funzionalità CryptoSafeGuard, studiata per impedire al ransomware di attaccare i backup eseguiti con BackupAssist.

Cosa fa CryptoSafeGuard?

Abbiamo detto che per proteggere i dati dal ransomware è di critica importanza avere dei backup non infetti.
Quindi CryptoSafeGuard si preoccupa di preservare i backup eseguiti con BackupAssist e lo fa attraverso due funzioni: CryptoSafeGuard Protector e CryptoSafeGuard Detector.

CryptoSafeGuard Protector

CryptoSafeGuard Protector protegge dall'attacco del ransomware i backup già eseguiti, impedendo a processi non autorizzati di accedere, modificare, cancellare o aggiungere elementi ai tuoi backup. Questa protezione viene attivata già con l'avvio del primo job di backup.

Il Protector non rallenta il tuo sistema in modo percettibile in quanto gira a livello di "driver” e fa da interfaccia fra il sistema che stai backuppando e il tuo backup.
In questo modo il protector può proteggere varie destinazioni che sono possibili prede dei ransomware: dischi USB, NAS, target iSCSI.

Il CryptoSafeGuard Protector lavora esclusivamente fra il sistema protetto e la destinazione del backup, sulla macchina su cui gira BackupAssist. Il che significa che se lo stesso target del backup viene utilizzato da altri sistemi, allora può essere vittima di ransomware.

Per esempio, se il tuo backup è su un disco USB, finché il disco resta attaccato alla macchina dove gira BackupAssist è protetto da CryptoSafeGuard Protector, ma se lo scolleghi e lo attacchi a un altro sistema, allora i tuoi file di backup non sono più protetti da questa funzionalità.
Analogamente per i target iSCSI: se viene rimosso, per qualsiasi motivo, BackupAssist da una macchina, verrà automaticamente rimosso anche CryptoSafeGuard Protector, lasciando quindi i backup privi di protezione contro ransowmare.

Il lavoro svolto da CryptoSafeGuard Protector può essere sintetizzato con l’immagine qui sotto:
 


CryptoSafeGuard Detector

Lo scopo principale di questa funzione è impedire che i file criptati dal ransomware vengano backuppati.

Quando BackupAssist esegue un job di backup, vengono scansionati tutti i file da salvare, alla ricerca di possibili infezioni ransomware: se viene trovata qualche traccia di possibile infezione, il job viene sospeso e viene inviato un avviso tramite email e SMS.
La prima volta che viene utilizzato un job di backup con questa funzione attiva, potrebbe volerci un po' più tempo del dovuto, in quanto devono essere analizzati tutti i file sottoposti a backup. Le volte successive, invece, verranno esaminati solo i file che hanno subito modifiche.

A questo punto di fronte a un alert di possibile infezione deve intervenire l'amministratore (o chi gestisce BackupAssist).
Se si tratta effettivamente di un'infezione ransowmare allora il job di backup viene interrotto e sarà necessario ripristinare il sistema di produzione a partire da un backup non infetto.
 
 
Qualora invece si tratti di un falso allarme, è possibile inserire in una whitelist i file che erroneamente sono stati considerati oggetto di un attacco ransomware, in modo che le future esecuzioni di quel job non cadano più in errore e non segnalino più quei file come infetti.


 

Naturalmente all'interno di BackupAssist sono state inserite apposite schermate di configurazione per inserire indirizzi email e numeri di SMS da utilizzare in caso di sospetta infezione, così come un'apposita sezione per la gestione del whitelisting dei file.

Come fare ad essere protetti con CryptoSafeGuard?

CryptoSafeGuard è una funzionalità disponibile senza sovrapprezzo e inclusa in tutte le versioni di BackupAssist a partire dalla versione 10.1
Se stai già eseguendo BackupAssist per proteggere i tuoi sistemi e quelli dei tuoi clienti, è consigliabile aggiornare il software per poter disporre di questa ulteriore protezione.
Se invece non utilizzi BackupAssist, è arrivato il momento di provarlo.

 

Se vuoi scoprire di più su CryptoSafeGuard, guarda la registrazione del webinar che abbiamo organizzato sull'argomento.



Condividi sui Social Network