Tra fine 2024 e metà 2025 abbiamo seguito tre clienti dopo attacchi ransomware. Il pattern degli attaccanti è cambiato: non basta più "avere un backup", serve essere ransomware-safe. Cosa abbiamo cambiato.
1. Immutabilità obbligatoria
Non più solo "backup separato" ma backup immutabile: scritto una volta, non sovrascrivibile né cancellabile per N giorni. Implementazioni concrete:
- Backblaze B2 con Object Lock attivato (legal hold).
- AWS S3 con Object Lock in compliance mode.
- Synology WriteOnce volumes su NAS dedicato.
Senza immutabilità, l'attaccante che ottiene credenziali admin cancella anche il backup.
2. MFA delete
Per i bucket di backup attiviamo MFA Delete: cancellare versioni richiede un token MFA. Anche un account compromesso non può cancellare backup senza la chiave fisica.
3. Tre eredità di backup
Per ogni cliente ora teniamo:
- Backup operativo: ripristino veloce, ultima settimana.
- Backup quarantine: 30-90 giorni, immutabile, su altro provider.
- Backup cold archive: 1 anno, su LTO o servizio glacier-like, indipendente da AD.
4. Test restore mensile
Un backup non testato non è un backup. Su ogni cliente un mese all'anno facciamo restore reale su VM pulita. Trovi sorprese — sempre.
5. Account separati
L'utente che gira il backup non è admin di rete, non è admin del cloud, non ha accesso al gestionale. Se viene compromesso quell'account, il danno è limitato.
Costo extra
Per una PMI da 30 dipendenti, queste pratiche aggiungono ~80-150 €/mese all'infrastruttura backup. Confrontato con il costo di un attacco ransomware reale (recovery, perdita dati, fermo, danno reputazionale: parte da 50.000 €), è un investimento che si paga al primo evento evitato.