Un leader nel Magic Quadrant™ Gartner® 2025 per la Protezione di Endpoints. Cinque anni di fila.Leader nel Magic Quadrant™ di Gartner®Leggi il report
La tua azienda è stata compromessa?Blog
IniziareContattaci
Header Navigation - IT
  • Piattaforma
    Panoramica della piattaforma
    • Singularity Platform
      Benvenuti nella Sicurezza Aziendale Integrata
    • IA per la sicurezza
      Leader nelle Soluzioni di Sicurezza basate su AI
    • Sicurezza dell’IA
      Accelera l’adozione dell’IA con strumenti, applicazioni e agenti di IA sicuri.
    • Come funziona
      La Differenza di Singularity XDR
    • Marketplace di Singularity
      Integrazioni con un solo clic per sbloccare la potenza di XDR
    • Prezzi e Pacchetti
      Confronti e indicazioni in sintesi
    Data & AI
    • Purple AI
      Accelerare la SecOps con l'IA generativa
    • Singularity Hyperautomation
      Automatizzare facilmente i processi di sicurezza
    • AI-SIEM
      Il SIEM AI per il SOC autonomo
    • AI Data Pipelines
      Pipeline di dati di sicurezza per AI SIEM e ottimizzazione dei dati
    • Singularity Data Lake
      Alimentato dall'IA, unificato dal lago di dati
    • Singularity Data Lake for Log Analytics
      Ingestione dei dati da ambienti on-premise, cloud o ibridi senza soluzione di continuità
    Endpoint Security
    • Singularity Endpoint
      Prevenzione, rilevamento e risposta autonoma
    • Singularity XDR
      Protezione, rilevamento e risposta nativa e aperta
    • Singularity RemoteOps Forensics
      Orchestrare l'analisi forense su larga scala
    • Singularity Threat Intelligence
      Intelligence avversaria completa
    • Singularity Vulnerability Management
      Scoperta di risorse illecite
    • Singularity Identity
      Rilevamento e risposta alle minacce per l'identità
    Cloud Security
    • Singularity Cloud Security
      Bloccare gli attacchi con una CNAPP basata sull'IA
    • Singularity Cloud Native Security
      Proteggere il cloud e le risorse di sviluppo
    • Singularity Cloud Workload Security
      Piattaforma di protezione del carico di lavoro del cloud in tempo reale
    • Singularity Cloud Data Security
      Rilevamento delle minacce potenziato dall'intelligenza artificiale
    • Singularity Cloud Security Posture Management
      Rilevare e correggere le configurazioni errate del cloud
    Protezione dell’IA
    • Prompt Security
      Proteggere gli strumenti di IA in tutta l’azienda
  • Perché SentinelOne?
    Perché SentinelOne?
    • Perché SentinelOne?
      Cybersecurity per il futuro
    • I nostri Clienti
      Scelta dalle aziende leader nel mondo
    • Riconoscimenti dal mercato
      Testato e comprovato dagli esperti
    • Chi siamo
      Il leader del settore nella sicurezza informatica autonoma
    SentinelOne a confronto
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Settori Verticali
    • Energia
    • Governo Federale
    • Servizi Finanziari
    • Sanitario
    • Scuola Superiore
    • Istruzione Primaria e Secondaria
    • Manifatturiero
    • Retail
    • Settore pubblico statale e locale
  • Servizi
    Managed Services
    • Panoramica dei Managed Services
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Competenza di livello mondiale e Threat Intelligence.
    • Managed Detection & Response
      MDR esperto 24/7/365 per tutto il tuo ambiente.
    • Incident Readiness & Response
      DFIR, preparazione alle violazioni & valutazioni di compromissione.
    Supporto, implementazione e igiene
    • Gestione tecnica dei clienti
      Customer Success con un servizio personalizzato
    • SentinelOne GO
      Consulenza per l'onboarding e l'implementazione
    • SentinelOne University
      Formazione live e on-demand
    • Panoramica dei Servizi
      Soluzioni complete per operazioni di sicurezza senza interruzioni
    • SentinelOne Community
      Community Login
  • Partner
    La Nostra Rete
    • Partner MSSP
      Successo più veloce con SentinelOne
    • Marketplace di Singularity
      Amplia la potenza della tecnologia SentinelOne
    • Partner specializzati nel Cyber Risk
      Ingaggiare i team per gestire le risposte agli incidenti
    • Alleanze Tecnologiche
      Soluzione aziendale integrata su larga scala
    • SentinelOne per AWS
      Ospitato nelle regioni AWS di tutto il mondo
    • Partner di canale
      Offriamo le soluzioni giuste, insieme
    • SentinelOne for Google Cloud
      Sicurezza unificata e autonoma che offre ai difensori un vantaggio su scala globale.
    Per saperne di più sul Programma→
  • Risorse
    Centro Risorse
    • Schede tecniche
    • eBook
    • Video
    • Whitepaper
    • Events
    Accedi a tutte le risorse→
    Blog
    • Riflettori puntati sulle funzionalità
    • Per CISO/CIO
    • Direttamente dalla prima linea
    • Identità
    • Cloud
    • macOS
    • Blog di SentinelOne
    Blog→
    Risorse Tecniche
    • SentinelLABS
    • Glossario del Ransomware
    • Cybersecurity 101
  • Chi siamo
    Informazioni su SentinelOne
    • Informazioni su SentinelOne
      Il leader di mercato nella sicurezza cyber
    • SentinelLABS
      Ricerche sulle minacce per il moderno Threat Hunter
    • Carriere
      Opportunità di lavoro
    • Stampa e notizie
      Annunci dell’azienda
    • Blog
      Tutto sulle minacce alla cyber security, le ultime notizie e molto altro
    • FAQ
      Ottieni risposte alle domande più frequenti
    • DataSet
      La Piattaforma dal vivo
    • S Foundation
      Garantire un futuro più sicuro per tutti
    • S Ventures
      Investire nella sicurezza e nei dati di prossima generazione
IniziareContattaci
Background image for Cos'è la strategia di backup 3-2-1? Esempi e best practice
Cybersecurity 101/Sicurezza informatica/3-2-1 Backup Strategy

Cos'è la strategia di backup 3-2-1? Esempi e best practice

La strategia di backup 3-2-1 richiede tre copie dei dati su due tipi di supporti, con una copia conservata offsite. Scopri le varianti moderne e le best practice per la difesa dal ransomware.

CS-101_Cybersecurity.svg
Indice dei contenuti
Cos'è la strategia di backup 3-2-1?
Come la strategia di backup 3-2-1 si collega alla cybersecurity
Componenti principali della strategia di backup 3-2-1
Varianti moderne: perché il solo 3-2-1 non basta
Architettura della strategia di backup 3-2-1
Come implementare una strategia di backup 3-2-1
Passaggio 1: Identificare e classificare i dati critici
Passaggio 2: Selezionare due supporti di storage distinti
Passaggio 3: Stabilire la copia offsite
Passaggio 4: Automatizzare e monitorare
Passaggio 5: Testare i ripristini e documentare i risultati
Vantaggi chiave della strategia di backup 3-2-1
Sfide e limiti della strategia di backup 3-2-1
Errori comuni nella strategia di backup 3-2-1
Best practice per la strategia di backup 3-2-1
Come il ransomware prende di mira l'infrastruttura di backup
Punti chiave

Articoli correlati

  • Cos'è il Purdue Model? Definizione, livelli e best practice
  • Che cos'è un Secure Web Gateway (SWG)? Difesa della rete spiegata
  • Che cos'è l'OS Command Injection? Sfruttamento, impatto e difesa
  • Statistiche Malware
Autore: SentinelOne | Recensore: Arijeet Ghatak
Aggiornato: May 25, 2026

Cos'è la strategia di backup 3-2-1?

La strategia di backup 3-2-1, nota anche come regola di backup 3-2-1, è un framework di protezione dei dati basato su tre regole: mantenere 3 copie dei dati, conservarle su 2 diversi tipi di supporti e tenere 1 copia offsite. Peter Krogh ha formalizzato il concetto in The DAM Book: Digital Asset Management for Photographers (O'Reilly Media, 2009), sintetizzando le migliori pratiche esistenti in un framework memorabile e applicabile. La guida ai backup di CISA la cita come standard canonico di backup, e il NIST CSF ne rafforza i principi tramite il controllo PR.DS-11: "I backup dei dati sono creati, protetti, mantenuti e testati."

Il framework ha origine nella fotografia, non nell'IT, il che sottolinea la sua universalità indipendente dalla tecnologia. Ma l'universalità ha dei limiti. Il 3-2-1 tradizionale è stato progettato per guasti hardware e disastri fisici, non per attacchi avversari contro l'infrastruttura di backup. Gli operatori ransomware ora cercano prima i backup, distruggendo le opzioni di ripristino prima di richiedere un riscatto. Questo cambiamento ha prodotto varianti moderne che è importante comprendere prima di scegliere un percorso di implementazione.

Come la strategia di backup 3-2-1 si collega alla cybersecurity

La strategia di backup era una responsabilità delle operazioni IT. Il ransomware l'ha spostata sulla scrivania del team di sicurezza.

NIST SP 800-209 avverte esplicitamente che il ransomware si è evoluto includendo anche altri componenti di storage, come NAS e appliance di backup, consentendo il furto di credenziali, l'escalation dei privilegi, la corruzione, la perdita o l'alterazione dei dati, la compromissione dei backup futuri. Quando gli attaccanti compromettono la tua infrastruttura di backup, la strategia 3-2-1 diventa la differenza tra un incidente recuperabile e un'interruzione prolungata.

Un report su ransomware Beast ha descritto le tecniche di distruzione dei backup come tradecraft deliberata condivisa all'interno dell'ecosistema ransomware. I tuoi backup non sono più una rete di sicurezza. Sono un obiettivo primario, e la tua strategia di backup è un controllo di sicurezza. Comprendere ogni componente del framework è il primo passo per difenderlo.

Componenti principali della strategia di backup 3-2-1

Ogni componente del framework 3-2-1 affronta una specifica modalità di guasto. La guida alle opzioni di backup di CISA e gli standard di backup NCCoE definiscono formalmente tutti e tre:

  • Tre copie dei dati (1 primaria + 2 backup) Si eliminano i single point of failure in tutti gli scenari. Se un backup viene corrotto o eliminato, una seconda copia indipendente sopravvive. Questa è la tua ridondanza di base.
  • Due diversi tipi di supporto Si conservano le copie su tecnologie di storage sottostanti differenti, come un array di dischi e uno storage a oggetti cloud, oppure SSD e nastro. Un guasto all'array RAID non influirà sulla libreria a nastro. Un'interruzione del provider cloud non toccherà lo storage on-premises. La diversità dei supporti protegge da guasti catastrofici specifici della tecnologia.
  • Una copia offsite Almeno una copia risiede in una posizione geograficamente separata dal sito primario. Incendi, alluvioni, furti fisici o ransomware che si propaga lateralmente sulla rete possono distruggere tutto in un unico sito. La separazione geografica interrompe questo raggio d'azione.

Questi tre componenti costituiscono la base, ma i modelli di attacco moderni hanno evidenziato lacune che il framework originale non era stato progettato per affrontare.

Varianti moderne: perché il solo 3-2-1 non basta

La regola di backup 3-2-1 tradizionale presume che i guasti siano accidentali, non avversari. Gli operatori ransomware moderni prendono di mira attivamente i repository di backup, eliminano le copie shadow e compromettono le credenziali degli amministratori di backup. Tre varianti affrontano questa lacuna:

  • 3-2-1-1-0 (Standard Enterprise) Aggiunge una copia immutabile o air-gapped e zero errori tramite test di ripristino verificati. Questa variante è ampiamente presentata nelle linee guida moderne come approccio enterprise più robusto. Lo "0" richiede monitoraggio dei backup e test di ripristino regolari, garantendo che non si scopra mai un backup corrotto durante un incidente attivo.
  • 3-2-1-1 (Approccio Intermedio) Aggiunge una copia offline o immutabile senza la verifica obbligatoria dei test di 3-2-1-1-0. È un passo pratico per i team che necessitano di maggiore resilienza al ransomware senza la piena complessità operativa.
  • 4-3-2 (Focus sulla resilienza geografica) Mantiene quattro copie totali in tre sedi con due copie conservate offsite su reti separate. Questa variante dà priorità alla distribuzione geografica e a percorsi di ripristino multipli per la continuità operativa, distinguendosi dal focus sull'immutabilità di 3-2-1-1-0.
VariantePunto di forza principaleCompromesso chiave
3-2-1Semplicità, approvazione NIST/CISAInsufficiente contro ransomware che prendono di mira i backup
3-2-1-1Aggiunge protezione offlineNessuna garanzia di ripristino verificato
3-2-1-1-0Immutabilità + verificaMassimo costo di implementazione e complessità operativa
4-3-2Massima resilienza a disastri a livello di sitoComplessità logistica geografica

La scelta di una variante dipende dal profilo di rischio e dalla maturità operativa. La sezione successiva illustra come implementare la strategia nella pratica.

Architettura della strategia di backup 3-2-1

L'implementazione si articola su tre livelli: architettura dello storage, controlli di protezione e processi di verifica.

  • Livello 1: Architettura dello storage Si distribuiscono i dati primari in produzione, un primo backup su storage locale o collegato in rete per un ripristino rapido e un secondo backup in una posizione geograficamente separata. Ogni livello serve uno scenario di ripristino diverso: i backup locali ripristinano rapidamente singoli file, quelli offsite consentono il recupero da disastri a livello di sito.
  • Livello 2: Controlli di protezione Ogni copia richiede controlli di accesso indipendenti. Secondo la guida ransomware di CISA, gli operatori ransomware moderni "tentano di eliminare snapshot di backup, criptare repository di backup, disabilitare software di backup, [e] accedere ai sistemi di backup cloud usando credenziali compromesse." Credenziali condivise tra tutte le sedi di backup significano che un singolo account compromesso concede agli attaccanti l'accesso a ogni copia.

Per le implementazioni 3-2-1-1-0, la copia immutabile utilizza retention lock che impediscono la modifica o l'eliminazione per periodi di conservazione definiti. Le copie air-gapped richiedono isolamento fisico o logico di rete con controlli di processo rigorosi che regolano quando il gap viene colmato per il trasferimento dei dati.

  • Livello 3: Verifica La guida difensiva di CISA raccomanda di verificare che il team sia in grado di ripristinare dati che coprano almeno sette giorni di operatività. La verifica mensile del ripristino di file, i test trimestrali di ripristino a livello applicativo e le esercitazioni annuali di failover dell'intero ambiente costituiscono una cadenza di test pratica. Lo "0" in 3-2-1-1-0 esiste perché backup non testati non forniscono un recupero affidabile durante una crisi.

La Singularity Platform di SentinelOne aggiunge qui un livello di difesa complementare. La sua AI comportamentale monitora continuamente le operazioni sugli endpoint protetti, abilitando il  ripristino rollback da ransomware a stati pre-infezione. L'agente protegge l'infrastruttura Windows Volume Shadow Copy Service (VSS), che molte varianti ransomware tentano di eliminare prima di iniziare la cifratura.

Con i livelli di implementazione in atto, il passo successivo è mettere in pratica la strategia.

Come implementare una strategia di backup 3-2-1

Passare dal concetto alla produzione richiede un rollout strutturato. I seguenti passaggi illustrano una sequenza di implementazione pratica, dalla definizione dell'ambito alla validazione.

Passaggio 1: Identificare e classificare i dati critici

Inizia inventariando i dati senza i quali l'organizzazione non può operare. Questo include database di produzione, configurazioni applicative, credenziali di autenticazione, chiavi di cifratura e documentazione di ripristino. Classifica i dati in base alla criticità aziendale così da assegnare frequenza di backup e periodi di conservazione appropriati a ciascun livello. Non tutto richiede snapshot orarie; allineare la cadenza dei backup ai reali RTO e RPO evita sia l'overprovisioning sia le lacune.

Passaggio 2: Selezionare due supporti di storage distinti

Scegli due tecnologie di storage con modalità di guasto indipendenti. Accoppiamenti comuni includono:

  • Disco locale o NAS + storage a oggetti cloud: Ripristino locale rapido con separazione geografica tramite cloud
  • SSD + nastro (WORM): Backup primario ad alta velocità con copia secondaria fisicamente offline
  • Array on-premises + secondo provider cloud: Ridondanza multi-cloud contro la compromissione di un singolo fornitore

L'obiettivo è garantire che un guasto che colpisce un supporto, sia esso hardware, software o basato su credenziali, non possa raggiungere l'altro.

Passaggio 3: Stabilire la copia offsite

La copia offsite deve essere separata geograficamente e logicamente dal sito primario. Il backup cloud in una regione o provider separato soddisfa questo requisito se configurato come vero backup pianificato, non come sincronizzazione in tempo reale. Per le organizzazioni che adottano 3-2-1-1-0, qui si configura anche lo  storage immutabile con retention lock e credenziali di accesso indipendenti.

Passaggio 4: Automatizzare e monitorare

I processi di backup manuali falliscono sotto pressione operativa. Automatizza la pianificazione dei backup, l'applicazione delle retention e gli alert per i job falliti. Monitora le anomalie sui volumi di backup: attività di cifratura inattese, modifiche massive di file o accessi da account non di backup indicano potenziali compromissioni. La guida ransomware di CISA avverte specificamente che gli attaccanti prendono di mira software e credenziali di backup, quindi monitorare l'infrastruttura di backup è importante quanto monitorare i sistemi di produzione.

Passaggio 5: Testare i ripristini e documentare i risultati

Un backup mai ripristinato è un'ipotesi, non un controllo. Esegui ripristini mensili a livello di file, test trimestrali di ripristino applicativo e failover annuali dell'intero ambiente. Documenta i tempi di ripristino effettivi di ogni test affinché i target RTO riflettano la realtà, non le stime.

Con un'implementazione funzionante, la strategia offre diversi vantaggi concreti per le organizzazioni che affrontano scenari di perdita dati sia accidentali che avversari.

Vantaggi chiave della strategia di backup 3-2-1

Una strategia di backup 3-2-1 implementata correttamente offre vantaggi misurabili in termini di ripristino, conformità e resilienza operativa.

  • Recupero da ransomware senza pagamento del riscatto: Le organizzazioni con architetture di backup adeguate sono meglio posizionate per recuperare dati cifrati senza dover pagare un riscatto. Backup validati offrono ai responder un percorso di ripristino che non dipende dalla collaborazione degli attaccanti.
  • Difesa in profondità contro la compromissione dell'infrastruttura: Architetture di backup ibride che combinano storage on-premises e cloud mantengono la capacità di ripristino anche quando un ambiente è completamente compromesso. I backup on-premises consentono ripristini rapidi per incidenti comuni, mentre quelli cloud offrono separazione geografica per scenari di disastro.
  • Allineamento a conformità e audit: La struttura 3-2-1 si mappa direttamente su NIST CSF, supportando i requisiti di protezione dati di base. Questo allineamento può semplificare la preparazione agli audit e la reportistica di conformità.
  • Riduzione del lock-in del fornitore cloud: Architetture di backup multi-cloud riducono l'esposizione a incidenti di sicurezza di un singolo provider. La guida ai backup di CISA raccomanda soluzioni multi-cloud per proteggersi da scenari in cui tutti gli account presso un fornitore siano impattati.
  • Gestione RTO/RPO su operazioni distribuite: Mantenere copie locali consente ripristini rapidi per incidenti di routine, mentre le copie offsite preservano la capacità di recupero per eventi catastrofici. Questo approccio a livelli permette di allineare RTO e RPO alla reale criticità aziendale invece di applicare uno standard unico a tutti i carichi di lavoro.

Questi vantaggi si amplificano se abbinati a varianti moderne come 3-2-1-1-0, che aggiungono immutabilità e ripristino verificato al framework di base.

Sfide e limiti della strategia di backup 3-2-1

Il framework 3-2-1 offre una protezione di base solida, ma presenta limiti che gli ambienti moderni mettono in evidenza.

  • Il ransomware distrugge attivamente i backup Il limite più significativo è il targeting avversario. Gli attaccanti tentano regolarmente di corrompere o eliminare i backup per eliminare le opzioni di ripristino. Il 3-2-1 tradizionale non offre una difesa specifica contro questo modello. Se i backup restano collegati ai sistemi di produzione, gli attaccanti possono comprometterli prima che inizi la risposta agli incidenti.
  • L'infrastruttura di backup è una superficie d'attacco Gli strumenti di backup hanno proprie vulnerabilità. Un bollettino di vulnerabilità CISA documenta CVE-2025-68435, una vulnerabilità di bypass dell'autenticazione in software di backup dove il middleware di autenticazione non è applicato correttamente agli endpoint API. È necessario applicare la stessa disciplina di gestione delle vulnerabilità al software di backup come a qualsiasi altro sistema enterprise.
  • La sincronizzazione cloud non è un backup I servizi di sincronizzazione cloud non soddisfano il requisito della copia offsite. La sincronizzazione costante significa che se il ransomware cifra i dati primari, entrambi i set di dati vengono cifrati. Questa errata convinzione crea una falsa sicurezza senza alcuna protezione reale.
  • Immutabilità e conflitti di conformità I requisiti di conservazione ed eliminazione dei dati possono entrare in conflitto con le configurazioni di immutabilità. Prima di implementare lo  storage immutabile basato su cloud in ambienti regolamentati, potrebbe essere necessaria una revisione legale per conciliare gli obblighi di protezione dei dati con i retention lock.

Questi limiti sono gestibili, ma ignorarli crea lacune che gli attaccanti sfruttano. Oltre ai vincoli intrinseci della strategia, gli errori di implementazione introducono ulteriore rischio.

Errori comuni nella strategia di backup 3-2-1

Anche implementazioni di backup ben intenzionate falliscono quando i team ripetono alcuni errori comuni. Evitare questi errori chiude le lacune su cui fanno affidamento gli operatori ransomware.

  • Condivisione delle credenziali tra tutte le sedi di backup: Una singola credenziale compromessa concede accesso a ogni copia, annullando completamente la diversificazione geografica. Le credenziali dei sistemi di backup devono essere gestite separatamente dagli archivi di credenziali di produzione.
  • Trattare lo storage collegato in rete come "offsite": Un server di backup sulla stessa rete non è offsite. Il ransomware che si propaga lateralmente raggiunge lo storage adiacente in rete. Serve vera separazione di rete e geografica, ovvero strutture separate, non server separati nello stesso data center.
  • Non testare mai i ripristini: Una critica esperta in una newsletter SANS ha osservato che la strategia di copia 3-2-1 tradizionale non facilita il ripristino in ore o giorni per applicazioni mission-critical. Se non hai mai testato un ripristino completo, non hai una strategia di backup. Hai una strategia di speranza.
  • Eseguire solo catene di backup incrementali: La corruzione o l'eliminazione di un singolo backup incrementale interrompe l'intera catena di ripristino. Sono necessari backup completi regolari per prevenire il fallimento totale della catena.
  • Concessione eccessiva di privilegi agli account di backup: Secondo la guida ai backup di CISA, gli account di backup con accesso domain admin diventano obiettivi di alto valore. Gli account con accesso root non devono essere usati per le operazioni di backup quotidiane. Applica i principi zero-trust: solo i privilegi strettamente necessari.
  • Ignorare le patch del software di backup: L'infrastruttura di backup presenta CVE come qualsiasi altro software. Tratta le console di gestione dei backup con la stessa urgenza di patching della tua endpoint security.
  • Escludere le dipendenze di ripristino dall'ambito di backup: Le linee guida NIST sui backup specificano che i piani di backup devono includere password, certificati digitali, chiavi di cifratura e altre informazioni necessarie per riprendere rapidamente le operazioni. Eseguire il backup dei dati senza eseguire il backup delle chiavi per decifrarli produce lo stesso risultato che non avere alcun backup.

Ognuno di questi errori riduce la protezione effettiva fornita dalla tua architettura 3-2-1. Le seguenti best practice li affrontano direttamente.

Best practice per la strategia di backup 3-2-1

Queste sei pratiche rafforzano la tua implementazione 3-2-1 contro guasti accidentali e attacchi deliberati all'infrastruttura di backup.

  1. Distribuire storage immutabile con retention lock I repository di backup rafforzati dovrebbero utilizzare credenziali monouso, accesso root disabilitato e rimozione dei protocolli non necessari. L'obiettivo è un repository difficile da modificare anche se un server di gestione viene compromesso.
  2. Stabilire copie air-gapped Le linee guida NIST sui backup indirizzano le organizzazioni a proteggere i file di backup offline con intervalli di aggiornamento che soddisfino i requisiti RPO e RTO. Sia l'air-gap fisico che l'isolamento logico con controlli di accesso rigorosi sono implementazioni valide.
  3. Cifrare tutto, limitare i permessi di ripristino Cifra tutti i dati di backup a riposo e in transito. Fondamentale, limita i permessi di ripristino in modo più restrittivo rispetto a quelli di backup. Se gli attaccanti ottengono accesso in scrittura, controlli di ripristino più stretti possono aiutare a prevenire l'estrazione dei dati.
  4. Implementare il monitoraggio comportamentale sull'infrastruttura di backup La Singularity Platform di SentinelOne rileva anomalie comportamentali sui volumi di backup in tempo reale, bloccando il ransomware in fase di esecuzione prima che raggiunga i file di backup.
  5. Mantenere documentazione di ripristino offline NIST IR 8374 afferma che i piani di risposta devono esistere offline perché l'incidente può eliminare l'accesso alle copie digitali conservate nella rete bersaglio. Runbook di ripristino stampati o su USB cifrata sono un valido controllo di resilienza.
  6. Diversificare supporti e provider Usa una combinazione di disco, storage a oggetti cloud e nastro WORM (write-once-read-many) su più provider. Il nastro WORM resta valido proprio perché è offline per impostazione predefinita. Strategie multi-provider riducono l'esposizione a compromissioni di autenticazione di un singolo fornitore.

L'applicazione di queste pratiche rafforza l'architettura, ma comprendere come operano gli attaccanti mostra perché sono importanti. Incidenti reali confermano che i sistemi di backup sono trattati come obiettivi primari dagli attaccanti.

Come il ransomware prende di mira l'infrastruttura di backup

La distruzione dei backup non è un effetto collaterale delle operazioni ransomware; è una fase deliberata e documentata. I seguenti incidenti illustrano come gli attaccanti affrontano l'infrastruttura di backup nella pratica.

  • Beast Ransomware: distruzione dei backup come tattica documentata Un report su Beast ransomware ha rivelato che il playbook operativo della gang includeva tradecraft mirata ai backup condivisa apertamente nell'ecosistema ransomware, trattando la distruzione dei backup come procedura standard.
  • Negazione del ripristino come fase formale dell'attacco Un report M-Trends 2026 ha descritto attaccanti che trascorrono più tempo a mappare e compromettere i sistemi di backup prima della detonazione. Se i repository di backup sono accessibili in rete e non monitorati in modo indipendente, questa finestra estesa offre agli attaccanti più tempo per compromettere i backup.
  • Disservizi nel settore pubblico e pressione sul ripristino Un sondaggio sulla resilienza di GovTech ha riportato disservizi nel settore pubblico legati al ransomware, inclusi uffici offline e impatti sulla risposta alle emergenze, con un maggiore supporto della leadership alla cybersecurity correlato a un recupero più efficace.

Questi incidenti rafforzano che la sola strategia di backup non basta. Abbinare la resilienza a una difesa attiva degli endpoint colma il divario tra avere backup e poterli utilizzare.

Liberate la cybersicurezza alimentata dall'intelligenza artificiale

Elevate la vostra posizione di sicurezza con il rilevamento in tempo reale, la risposta automatica e la visibilità totale dell'intero ambiente digitale.

Richiedi una demo

Punti chiave

La strategia di backup 3-2-1 resta la base della protezione dei dati, e il ransomware l'ha elevata da operazione IT a controllo di sicurezza. Gli attaccanti moderni prendono di mira i backup come obiettivo primario, rendendo varianti come 3-2-1-1-0 con immutabilità e test di ripristino verificati sempre più importanti per la resilienza aziendale. 

Abbina la tua architettura di backup a AI comportamentale e capacità di rollback autonomo per fermare il ransomware prima che raggiunga i backup e invertire i danni quando ciò accade.

Domande frequenti

La strategia di backup 3-2-1 (nota anche come regola di backup 3-2-1) è un framework di protezione dei dati che richiede tre copie dei dati, conservate su due diversi tipi di supporti, con una copia mantenuta offsite. CISA e NIST la raccomandano come standard di base. 

Il framework protegge da guasti hardware, disastri a livello di sito e corruzione dei dati, garantendo che nessun singolo evento possa distruggere tutte le copie dei dati contemporaneamente.

La strategia 3-2-1 richiede tre copie, due tipi di supporti e una copia offsite. La 3-2-1-1-0 aggiunge due componenti: una copia immutabile o air-gapped che gli attaccanti non possono modificare con credenziali compromesse, e zero errori verificati tramite test di ripristino regolari. 

Queste aggiunte affrontano specificamente la pratica degli operatori ransomware di prendere di mira e distruggere l'infrastruttura di backup prima di criptare i dati di produzione.

L'archiviazione cloud soddisfa il requisito offsite solo se si tratta di un vero backup, non di un servizio di sincronizzazione. La sincronizzazione cloud riflette le modifiche in tempo reale, il che significa che la crittografia ransomware si propaga simultaneamente su entrambe le copie. 

Un backup cloud adeguato utilizza snapshot pianificati con politiche di conservazione indipendenti, credenziali di accesso separate e, idealmente, blocchi di archiviazione immutabili per impedire modifiche.

Segui una cadenza a livelli: verifica mensile del ripristino di file da repository di backup casuali, test trimestrali di ripristino a livello applicativo in ambienti isolati e esercitazioni annuali di failover dell'intero ambiente. 

CISA raccomanda di verificare che il team sia in grado di ripristinare almeno sette giorni di operatività. Documenta i tempi effettivi di ripristino durante ogni test per confrontare il RTO reale con quello previsto.

I backup immutabili configurati correttamente non possono essere crittografati, modificati o eliminati durante il periodo di conservazione. Tuttavia, un'immutabilità configurata in modo errato, come i blocchi di conservazione con lacune o account di gestione con privilegi eccessivi, può comunque creare rischi. 

L'air-gapping fornisce un controllo complementare: l'immutabilità protegge dal compromesso delle credenziali, mentre l'air-gapping protegge dal compromesso dell'infrastruttura in senso più ampio.

NIST specifica che i piani di backup devono includere password, certificati digitali, chiavi di cifratura e tutte le informazioni necessarie per riprendere le operazioni. 

Molte organizzazioni eseguono il backup dei dati senza includere le credenziali e le chiavi necessarie per accedervi, ottenendo lo stesso risultato che non avere alcun backup. La documentazione per il ripristino, le configurazioni di rete e le dipendenze applicative dovrebbero anch'esse essere incluse nell'ambito del backup.

Scopri di più su Sicurezza informatica

Statistiche sulle violazioni dei datiSicurezza informatica

Statistiche sulle violazioni dei dati

Consulta le ultime statistiche sulle violazioni dei dati nel 2026 per vedere a cosa devono far fronte le aziende. Scopri come gli attori delle minacce causano le violazioni dei dati, chi stanno prendendo di mira e altri dettagli.

Per saperne di più
Statistiche sugli attacchi DDoSSicurezza informatica

Statistiche sugli attacchi DDoS

Gli attacchi DDoS stanno diventando più frequenti, più brevi e più difficili da ignorare. Il nostro post sulle statistiche degli attacchi DDoS ti guida su chi è preso di mira in questo momento, come si stanno sviluppando le campagne e altro ancora.

Per saperne di più
Statistiche sulle minacce interneSicurezza informatica

Statistiche sulle minacce interne

Ottieni informazioni su tendenze, aggiornamenti e altro sulle ultime statistiche sulle minacce interne per il 2026. Scopri quali pericoli stanno affrontando attualmente le organizzazioni, chi è stato colpito e come rimanere protetti.

Per saperne di più
Che cos'è un Infostealer? Come funziona il malware per il furto di credenzialiSicurezza informatica

Che cos'è un Infostealer? Come funziona il malware per il furto di credenziali

Gli infostealer estraggono silenziosamente password, cookie di sessione e dati del browser dai sistemi infetti. Le credenziali rubate alimentano ransomware, compromissione di account e frodi.

Per saperne di più
Provate la piattaforma di cybersecurity più avanzata

Provate la piattaforma di cybersecurity più avanzata

Scoprite come la piattaforma di cybersecurity più intelligente e autonoma al mondo può proteggere la vostra organizzazione oggi e in futuro.

Richiedi una demo
  • Iniziare
  • Richiedi una demo
  • Presentazione del prodotto
  • Perché SentinelOne
  • Prezzi e Pacchetti
  • Contattaci
  • Contattaci
  • Supporto
  • SentinelOne Status
  • Lingua
  • Piattaforma
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Servizi
  • Wayfinder TDR
  • SentinelOne GO
  • Gestione tecnica dei clienti
  • Servizi di Supporto
  • Settori Verticali
  • Energia
  • Governo Federale
  • Servizi Finanziari
  • Sanitario
  • Scuola Superiore
  • Istruzione Primaria e Secondaria
  • Manifatturiero
  • Retail
  • Settore pubblico statale e locale
  • Cybersecurity for SMB
  • Risorse
  • Blog
  • Labs
  • Video
  • Presentazione del prodotto
  • Events
  • Cybersecurity 101
  • eBooks
  • Stampa
  • Pers
  • Notizie
  • Glossario del Ransomware
  • Azienda
  • Chi siamo
  • I nostri clienti
  • Opportunità di Lavoro
  • Partner
  • Legale e conformità
  • Sicurezza e conformità
  • S Foundation
  • S Ventures

©2026 SentinelOne, Tutti i diritti riservati.

Informativa sulla privacy Condizioni di utilizzo

Italiano