Backup immutabile: l’ultima difesa che il ransomware cerca per prima
Backup immutabile è la risposta a un cambiamento preciso nel modo di operare del ransomware. Per anni il backup è stato l’ancora di salvezza contro la cifratura malevola: se i tuoi dati venivano bloccati, li ripristinavi da una copia e potevi dire di no al riscatto. È esattamente per questo che gli attaccanti hanno cambiato strategia, e oggi i backup non sono più l’ultima cosa che colpiscono, ma spesso la prima che cercano. Distruggere le copie di sicurezza prima di cifrare i sistemi serve a togliere alla vittima l’unica alternativa al pagamento.
In questo scenario, un backup che si può cancellare con le stesse credenziali da amministratore che l’attaccante ha rubato non è una rete di sicurezza, è un secondo bersaglio. Il backup immutabile rovescia questa vulnerabilità: è una copia che nessuno può modificare o eliminare, nemmeno un amministratore con privilegi pieni e nemmeno l’attaccante che ne ha preso il controllo, per tutta la durata di una finestra di conservazione stabilita in anticipo. È la differenza, in caso di attacco, tra ripristinare e pagare.
Il ransomware ha imparato a cercare i backup
Per capire perché l’immutabilità conti, bisogna guardare a come si è evoluto l’attacco. Gli operatori di ransomware più strutturati non si limitano a cifrare ciò che trovano: prima si muovono nella rete, individuano l’infrastruttura di backup e la compromettono, cancellando o cifrando le copie. La logica è cinica e razionale: una vittima che può ripristinare non paga, quindi eliminare quella possibilità è parte integrante dell’attacco. Le rilevazioni di settore lo confermano da anni, indicando che la grande maggioranza degli attacchi ransomware tenta di colpire anche i backup.
Il punto debole che sfruttano è quasi sempre lo stesso: backup collegati alla rete e raggiungibili con le medesime credenziali del resto dei sistemi. Se l’attaccante, una volta dentro, arriva all’amministrazione del backup come arriva a tutto il resto, allora le copie cadono insieme agli originali. Una difesa che si fonda solo sull’esistenza dei backup, senza proteggerli da chi ha già le chiavi del regno, offre una sicurezza illusoria proprio nel momento in cui servirebbe davvero, durante un attacco di ransomware andato a segno.
Cifrare non basta, serve l’immutabilità
Conviene sgombrare il campo da un equivoco. Cifrare i backup protegge la loro riservatezza, cioè impedisce a chi li ruba di leggerne il contenuto, ma non impedisce a chi ne ha il controllo di cancellarli. Contro il ransomware la proprietà che conta non è la segretezza, è l’inalterabilità: un backup che non si può sovrascrivere né eliminare, qualunque comando arrivi e da chiunque, finché non scade il periodo di conservazione. È questa la definizione di backup immutabile, e il suo valore sta tutto nel modello di minaccia che assume: che l’attaccante abbia già ottenuto privilegi da amministratore.
I meccanismi che la realizzano sono diversi ma convergono sullo stesso principio. Il blocco a livello di oggetto, l’object lock, impone che un file di backup non possa essere modificato o rimosso fino alla scadenza impostata. La scrittura su supporti di tipo WORM, dove si scrive una volta e si legge molte, ottiene lo stesso effetto a livello fisico. I repository rinforzati applicano la regola a livello di sistema. Vale però una precisazione che separa l’immutabilità vera da quella apparente: la garanzia regge solo se è imposta a livello di archiviazione, non come semplice regola di permessi. Una configurazione più debole, che nega la cancellazione soltanto attraverso il controllo degli accessi, può essere scavalcata da chi ottiene i privilegi giusti, e confondere il controllo d’accesso con la vera immutabilità è uno degli errori più comuni. Dove l’immutabilità è autentica, invece, per un certo tempo quella copia esiste e non si tocca, e nessuna credenziale rubata può farci nulla.
Il backup immutabile dentro la regola 3-2-1-1-0
L’immutabilità non vive da sola, ma dentro una disciplina di copia consolidata che si è evoluta proprio per rispondere al ransomware. La vecchia regola del tre, due, uno, tre copie dei dati, su due tipi di supporto, di cui una fuori sede, è stata estesa nella formula tre, due, uno, uno, zero. I due numeri aggiunti sono il cuore della difesa moderna: l’uno indica una copia che sia non in linea, isolata o immutabile, sottratta cioè alla portata di un attaccante che controlli la rete; lo zero indica zero errori di ripristino, verificati provando davvero a recuperare i dati.
Quest’ultimo punto merita attenzione, perché è il più trascurato. Un backup che non si è mai provato a ripristinare non è un backup, è una speranza: troppe organizzazioni scoprono solo durante l’emergenza che le loro copie sono incomplete, corrotte o impossibili da riportare in linea nei tempi necessari. L’immutabilità garantisce che la copia ci sia ancora; il test di ripristino garantisce che serva a qualcosa. Le due cose insieme, e non l’una senza l’altra, fanno la differenza tra una continuità operativa reale e una dichiarata sulla carta.
Immutabile e isolato non sono la stessa cosa
Vale la pena distinguere due concetti che spesso si confondono. L’immutabilità protegge una copia dalla manomissione anche mentre è in linea e raggiungibile: il dato c’è, è connesso, ma per quel periodo non si può alterare. L’isolamento fisico, l’air gap, segue una strada diversa, tenendo una copia materialmente o logicamente scollegata, irraggiungibile da chi è dentro la rete. Sono complementari, non alternativi: l’immutabilità ferma il comando di cancellazione, l’isolamento fa sì che quel comando non arrivi nemmeno. La postura più solida le combina, così che un attaccante debba superare due barriere di natura diversa per arrivare alle copie.
Ripristinare senza reinfettarsi
Avere backup immutabili è la condizione necessaria, ma il recupero da un attacco non è mai un semplice ripristinare l’ultima copia. C’è un’insidia legata al tempo che gli attaccanti trascorrono nei sistemi prima di colpire, un intervallo che può andare da poche ore a molti mesi: in quel periodo il loro impianto può essere finito anche dentro i backup, e ripristinare ciecamente la copia più recente significa rimettere in funzione il problema. Il ripristino serio richiede di individuare un punto pulito antecedente alla compromissione, di operare in un ambiente di recupero isolato e di validare i sistemi prima di riportarli in produzione. A questo si aggiunge una precauzione che le linee guida delle autorità ripetono da tempo: gestire l’accesso al sistema di backup con credenziali separate e controlli propri, perché la sua difesa non cada insieme a quella del resto dell’infrastruttura.
In definitiva, il backup immutabile è ciò che restituisce al backup la sua funzione originaria di ultima difesa, dopo che il ransomware aveva imparato a neutralizzarlo. È la precondizione tecnica per poter rifiutare un riscatto, e per questo è entrato a pieno titolo nelle pratiche di resilienza e nei requisiti normativi che chiedono alle organizzazioni di sapersi rialzare dopo un incidente. La domanda decisiva, durante un attacco, è una sola: esiste una copia dei dati che l’attaccante non ha potuto toccare, e siamo davvero in grado di ripristinarla. Chi può rispondere di sì non paga; chi non può, troppo spesso, non ha scelta.

