Un leader nel Magic Quadrant™ Gartner® 2025 per la Protezione di Endpoints. Cinque anni di fila.Leader nel Magic Quadrant™ di Gartner®Leggi il report
La tua azienda è stata compromessa?Blog
IniziareContattaci
Header Navigation - IT
  • Piattaforma
    Panoramica della piattaforma
    • Singularity Platform
      Benvenuti nella Sicurezza Aziendale Integrata
    • IA per la sicurezza
      Leader nelle Soluzioni di Sicurezza basate su AI
    • Sicurezza dell’IA
      Accelera l’adozione dell’IA con strumenti, applicazioni e agenti di IA sicuri.
    • Come funziona
      La Differenza di Singularity XDR
    • Marketplace di Singularity
      Integrazioni con un solo clic per sbloccare la potenza di XDR
    • Prezzi e Pacchetti
      Confronti e indicazioni in sintesi
    Data & AI
    • Purple AI
      Accelerare la SecOps con l'IA generativa
    • Singularity Hyperautomation
      Automatizzare facilmente i processi di sicurezza
    • AI-SIEM
      Il SIEM AI per il SOC autonomo
    • AI Data Pipelines
      Pipeline di dati di sicurezza per AI SIEM e ottimizzazione dei dati
    • Singularity Data Lake
      Alimentato dall'IA, unificato dal lago di dati
    • Singularity Data Lake for Log Analytics
      Ingestione dei dati da ambienti on-premise, cloud o ibridi senza soluzione di continuità
    Endpoint Security
    • Singularity Endpoint
      Prevenzione, rilevamento e risposta autonoma
    • Singularity XDR
      Protezione, rilevamento e risposta nativa e aperta
    • Singularity RemoteOps Forensics
      Orchestrare l'analisi forense su larga scala
    • Singularity Threat Intelligence
      Intelligence avversaria completa
    • Singularity Vulnerability Management
      Scoperta di risorse illecite
    • Singularity Identity
      Rilevamento e risposta alle minacce per l'identità
    Cloud Security
    • Singularity Cloud Security
      Bloccare gli attacchi con una CNAPP basata sull'IA
    • Singularity Cloud Native Security
      Proteggere il cloud e le risorse di sviluppo
    • Singularity Cloud Workload Security
      Piattaforma di protezione del carico di lavoro del cloud in tempo reale
    • Singularity Cloud Data Security
      Rilevamento delle minacce potenziato dall'intelligenza artificiale
    • Singularity Cloud Security Posture Management
      Rilevare e correggere le configurazioni errate del cloud
    Protezione dell’IA
    • Prompt Security
      Proteggere gli strumenti di IA in tutta l’azienda
  • Perché SentinelOne?
    Perché SentinelOne?
    • Perché SentinelOne?
      Cybersecurity per il futuro
    • I nostri Clienti
      Scelta dalle aziende leader nel mondo
    • Riconoscimenti dal mercato
      Testato e comprovato dagli esperti
    • Chi siamo
      Il leader del settore nella sicurezza informatica autonoma
    SentinelOne a confronto
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Settori Verticali
    • Energia
    • Governo Federale
    • Servizi Finanziari
    • Sanitario
    • Scuola Superiore
    • Istruzione Primaria e Secondaria
    • Manifatturiero
    • Retail
    • Settore pubblico statale e locale
  • Servizi
    Managed Services
    • Panoramica dei Managed Services
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Competenza di livello mondiale e Threat Intelligence.
    • Managed Detection & Response
      MDR esperto 24/7/365 per tutto il tuo ambiente.
    • Incident Readiness & Response
      DFIR, preparazione alle violazioni & valutazioni di compromissione.
    Supporto, implementazione e igiene
    • Gestione tecnica dei clienti
      Customer Success con un servizio personalizzato
    • SentinelOne GO
      Consulenza per l'onboarding e l'implementazione
    • SentinelOne University
      Formazione live e on-demand
    • Panoramica dei Servizi
      Soluzioni complete per operazioni di sicurezza senza interruzioni
    • SentinelOne Community
      Community Login
  • Partner
    La Nostra Rete
    • Partner MSSP
      Successo più veloce con SentinelOne
    • Marketplace di Singularity
      Amplia la potenza della tecnologia SentinelOne
    • Partner specializzati nel Cyber Risk
      Ingaggiare i team per gestire le risposte agli incidenti
    • Alleanze Tecnologiche
      Soluzione aziendale integrata su larga scala
    • SentinelOne per AWS
      Ospitato nelle regioni AWS di tutto il mondo
    • Partner di canale
      Offriamo le soluzioni giuste, insieme
    • SentinelOne for Google Cloud
      Sicurezza unificata e autonoma che offre ai difensori un vantaggio su scala globale.
    Per saperne di più sul Programma→
  • Risorse
    Centro Risorse
    • Schede tecniche
    • eBook
    • Video
    • Whitepaper
    • Events
    Accedi a tutte le risorse→
    Blog
    • Riflettori puntati sulle funzionalità
    • Per CISO/CIO
    • Direttamente dalla prima linea
    • Identità
    • Cloud
    • macOS
    • Blog di SentinelOne
    Blog→
    Risorse Tecniche
    • SentinelLABS
    • Glossario del Ransomware
    • Cybersecurity 101
  • Chi siamo
    Informazioni su SentinelOne
    • Informazioni su SentinelOne
      Il leader di mercato nella sicurezza cyber
    • SentinelLABS
      Ricerche sulle minacce per il moderno Threat Hunter
    • Carriere
      Opportunità di lavoro
    • Stampa e notizie
      Annunci dell’azienda
    • Blog
      Tutto sulle minacce alla cyber security, le ultime notizie e molto altro
    • FAQ
      Ottieni risposte alle domande più frequenti
    • DataSet
      La Piattaforma dal vivo
    • S Foundation
      Garantire un futuro più sicuro per tutti
    • S Ventures
      Investire nella sicurezza e nei dati di prossima generazione
IniziareContattaci
Background image for Cosa sono i backup air gapped? Esempi e best practice
Cybersecurity 101/Sicurezza informatica/Backup Air Gapped

Cosa sono i backup air gapped? Esempi e best practice

I backup air gapped mantengono almeno una copia di ripristino fuori dalla portata degli attaccanti. Scopri come funzionano, tipologie, esempi e best practice per il ripristino da ransomware.

CS-101_Cybersecurity.svg
Indice dei contenuti
Cosa sono i backup air gapped?
I backup air gapped come controllo di cybersecurity
Componenti fondamentali dei backup air gapped
Come funzionano i backup air gapped
Tipi di architetture di backup air gapped
Esempi pratici di backup air gapped
Air gap fisico basato su nastro
Air gap logico segmentato in rete
Air gap logico tramite vault cloud
Vantaggi chiave dei backup air gapped
Chi ha bisogno dei backup air gapped
Sfide e limitazioni dei backup air gapped
Errori comuni nei backup air gapped
Best practice per i backup air gapped
Incidenti ransomware reali e lezioni sui backup
Key Takeaways

Articoli correlati

  • Sicurezza IT vs OT: principali differenze e best practice
  • Che cos'è la sicurezza OT? Definizione, sfide e best practice
  • Che cos'è la Software Composition Analysis (SCA)?
  • Che cos'è un attacco Golden Ticket?
Autore: SentinelOne
Aggiornato: April 21, 2026

Cosa sono i backup air gapped?

Gli operatori ransomware ora prendono di mira l'infrastruttura di backup prima di criptare i dati di produzione. Secondo lo studio di CISA sui costi degli incidenti informatici, il costo medio per incidente di violazione raggiunge i 5,9 milioni di dollari, motivo per cui la tua ultima linea di difesa è utile solo se gli attaccanti non possono raggiungerla.

I backup air gapped sono copie isolate di dati critici che sono separate fisicamente o logicamente dalle reti di produzione. Creano una barriera protettiva stabilendo ambienti con accesso controllato che gli attacchi basati su rete non possono raggiungere. Che si tratti di supporti a nastro fisicamente disconnessi, storage segmentato in rete con controlli di accesso rigorosi o vault cloud logicamente isolati, i backup air gapped aiutano a garantire che almeno una copia di ripristino rimanga più difficile da raggiungere per gli attaccanti quando si muovono lateralmente nell’ambiente.

La NIST SP 800-209 stabilisce che le operazioni di backup possono includere dispositivi di storage offline, mentre la guida CISA sul ransomware indirizza le organizzazioni a mantenere backup offline perché il ransomware spesso tenta di eliminare o criptare i dati di backup accessibili.

I backup air gapped come controllo di cybersecurity

I backup air gapped si collocano all’intersezione tra protezione dei dati e resilienza al ransomware. Le famiglie di ransomware moderne effettuano ricognizione specifica per individuare i server di backup, eliminare le copie shadow e criptare i repository di backup prima di avviare la criptazione in produzione. La guida CISA ransomware indirizza le organizzazioni a "mantenere backup offline e criptati dei dati critici" perché le varianti moderne di ransomware "tentano di trovare e successivamente eliminare o criptare i backup accessibili".

Quando la tua protezione endpoint rileva e blocca un tentativo di ransomware tramite Behavioral AI, la minaccia si ferma lì. Ma quando le difese vengono superate o aggirate, i backup air gapped possono fornire un percorso di ripristino al di fuori del raggio d’azione immediato di un attacco basato su rete. Per comprendere come funziona questa protezione nella pratica, è necessario suddividere l’architettura nei suoi componenti fondamentali.

Componenti fondamentali dei backup air gapped

Ogni architettura di backup air gapped, indipendentemente dal tipo, è costruita sugli stessi sei livelli. Ognuno deve essere rispettato affinché l’isolamento sia significativo.

  • Livello di storage isolato. L’ambiente fisico o logico in cui risiedono le copie di backup, incluse librerie a nastro, array di dischi rimovibili, sistemi segmentati in rete o domini di sicurezza cloud isolati con autenticazione separata.
  • Meccanismi di trasferimento. I dati si spostano dalla produzione al livello di storage isolato tramite percorsi controllati, sia tramite trasporto manuale o robotizzato dei supporti, sia tramite replica programmata con flussi di dati unidirezionali che impediscono la contaminazione inversa.
  • Livello di immutabilità. Una volta che i dati raggiungono l’ambiente air gapped, devono resistere a modifiche o eliminazioni tramite supporti a nastro hardware write-once, blocchi di conservazione software o modalità di compliance dello storage a oggetti.
  • Controlli di accesso. Le implementazioni fisiche dipendono da chiavi o combinazioni con registrazione degli accessi. Le implementazioni logiche richiedono controllo degli accessi basato sui ruoli, autenticazione a più fattori, enforcement del principio del minimo privilegio e audit logging. La guida CISA alla protezione dei dati richiede MFA per l’accesso amministrativo e accesso basato sui ruoli con principi di minimo privilegio su tutti i sistemi protetti.
  • Crittografia. I dati di backup devono essere criptati a riposo e in transito. La guida CISA agli standard di crittografia specifica FIPS 140-2 per i dati in transito e a riposo, o meccanismi di crittografia avanzati. I sistemi di gestione delle chiavi di crittografia devono rimanere isolati dai dati di backup per evitare che una singola compromissione esponga entrambi.
  • Infrastruttura di verifica. È necessario poter confermare l’integrità dei backup tramite controlli regolari, checksum, routine di verifica dei backup e test di ripristino.

Una debolezza in uno qualsiasi di questi livelli può compromettere l’intera architettura. Il passo successivo è comprendere come questi livelli operano tra backup, isolamento, storage e ripristino.

Come funzionano i backup air gapped

I backup air gapped seguono un ciclo in quattro fasi: acquisizione, isolamento, storage sicuro e ripristino controllato. Ogni fase ha requisiti specifici che determinano quanto l’architettura regge quando un attaccante raggiunge il tuo ambiente.

  • Fase 1: Backup e acquisizione. I dati di produzione vengono copiati sul target di backup tramite i processi standard. Prima che i dati entrino nell’ambiente air gapped, una scansione antimalware ne valida l’integrità. La scansione pre-gap è essenziale perché il backup di dati compromessi in un ambiente air gapped e immutabile crea una copia contaminata che potrebbe causare una reinfezione durante il ripristino.
  • Fase 2: Isolamento. Per gli air gap fisici, ciò significa rimuovere le cartucce a nastro o disconnettere gli array di dischi rimovibili da tutti i sistemi e reti. Per gli air gap logici, la connettività di rete viene disabilitata tra i cicli di backup, con finestre di replica programmate che richiedono autenticazione esplicita per ogni trasferimento. I vault cloud applicano l’isolamento tramite domini di sicurezza separati con accesso solo API e autenticazione indipendente.
  • Fase 3: Storage sicuro. Le copie isolate rimangono protette, con supporti fisici conservati in vault sicuri fuori sede e copie logiche mantenute dietro segmentazione di rete, controlli di accesso e blocchi di immutabilità. Questo isolamento dei backup è ciò che mantiene almeno un percorso di ripristino meno esposto quando gli attaccanti si muovono tra i sistemi connessi.
  • Fase 4: Ripristino. Quando hai bisogno dei dati, il processo si inverte. I supporti fisici vengono recuperati dallo storage sicuro e collegati manualmente. Le copie logiche sono accessibili tramite percorsi autenticati e controllati. Il ripristino avviene in un ambiente di staging isolato per la verifica prima della riconnessione alla produzione.

Una volta compreso il workflow, puoi valutare quale modello di implementazione si adatta meglio al tuo ambiente.

Tipi di architetture di backup air gapped

Hai tre scelte architetturali principali, ciascuna con compromessi distinti.

  1. Air gap fisici utilizzano supporti di storage rimovibili con completa disconnessione dalla rete. Le cartucce a nastro vengono copiate, rimosse fisicamente e conservate fuori sede. Questo approccio offre un basso costo di storage per gigabyte e il massimo isolamento dal ransomware. Il compromesso è l’accesso ai dati lento e l’inadeguatezza per organizzazioni che richiedono ripristini rapidi e frequenti.
  2. Air gap logici utilizzano segmentazione di rete, restrizioni di protocollo e controlli di accesso per creare isolamento senza rimuovere fisicamente i supporti. I componenti includono VLAN separate con controlli firewall, eliminazione di protocolli comunemente presi di mira come CIFS, NFS e SMB, e flussi di dati unidirezionali. Gli air gap logici sono adatti ad ambienti enterprise dove la disconnessione fisica è impraticabile. Questo modello dipende da una forte gestione delle identità, segmentazione e enforcement delle policy.
  3. Vault cloud air gapped creano domini di sicurezza logicamente isolati all’interno dell’infrastruttura cloud. Utilizzano autenticazione separata, immutabilità a livello di oggetto come S3 Object Lock, accesso solo API e MFA. Il solo storage cloud non costituisce un air gap; sono necessari controlli di isolamento aggiuntivi. Se il tuo ambiente comprende infrastruttura cloud e backup di applicazioni cloud, i tuoi controlli di sicurezza cloud determinano quanto sia forte quella separazione logica.

La scelta architetturale determina i vincoli di ripristino. Gli esempi seguenti mostrano come si presentano in un ambiente reale.

Esempi pratici di backup air gapped

Comprendere l’architettura in astratto è una cosa. Vederla in pratica rende più chiare le decisioni di implementazione. Ecco tre scenari che mostrano come appaiono i backup air gapped in diversi ambienti.

Air gap fisico basato su nastro

Un produttore che gestisce sistemi di controllo industriale esegue il backup ogni notte delle configurazioni OT critiche e dei dati storici di produzione su nastro LTO. Dopo ogni job, un tecnico rimuove la cartuccia, la registra in un registro di catena di custodia e la conserva in una cassaforte ignifuga chiusa a chiave fuori dall’area di produzione. Il nastro non mantiene mai alcuna connessione di rete. Quando è necessario il ripristino, il nastro viene recuperato, collegato a una workstation isolata, sottoposto a scansione di integrità e poi utilizzato per il ripristino. La guida CISA ICS alla sicurezza identifica lo storage offline dei supporti come controllo di base per gli ambienti OT.

Air gap logico segmentato in rete

Un’azienda esegue software di backup su un server hardenizzato situato su una VLAN di backup dedicata, separata da tutti i segmenti di produzione tramite policy firewall. SMB, NFS e CIFS sono disabilitati su quel segmento. Durante le finestre di replica programmate, un flusso di dati unidirezionale copia i dati di backup: ogni job richiede autenticazione protetta da MFA con un account di servizio senza altri privilegi di rete. Nessun endpoint di produzione joinato al dominio può raggiungere direttamente il server di backup, interrompendo i percorsi di movimento laterale che il ransomware utilizza per individuare e distruggere l’infrastruttura di backup.

Air gap logico tramite vault cloud

Un’azienda cloud-native archivia i backup in un bucket AWS S3 con Object Lock abilitato in modalità compliance, all’interno di un account AWS separato isolato dall’account di produzione. Nessun ruolo IAM nell’ambiente di produzione ha permessi di scrittura o eliminazione sul bucket di backup. I job di backup vengono eseguiti tramite una chiamata API unidirezionale autenticata con un set di credenziali dedicato che esiste solo nell’account di backup. Anche con una compromissione completa dell’account di produzione, un attaccante non può eliminare o sovrascrivere i contenuti del vault durante il periodo di conservazione. Questo modello è in linea con la guida CISA sul ransomware sul mantenimento dei backup dietro credenziali e controlli di accesso separati.

Ognuna di queste implementazioni soddisfa il requisito della copia offline nella moderna regola di backup 3-2-1-1-0: una copia che sia offline, immutabile o air gapped, con zero errori confermati tramite test di ripristino e non solo tramite checksum. Questo framework evidenzia direttamente i principali vantaggi offerti dai backup air gapped.

Vantaggi chiave dei backup air gapped

Se implementati correttamente, i backup air gapped offrono quattro vantaggi di sicurezza e operativi che nessuna architettura di backup sempre connessa può eguagliare.

  • Isolamento dal ransomware. Questo è il valore principale. I backup air gapped eliminano i percorsi accessibili in rete che consentono la distruzione dei backup. L’isolamento fisico o logico significa che il  ransomware in esecuzione sui sistemi di produzione non può facilmente raggiungere la copia di backup.
  • Affidabilità del ripristino. I backup air gapped possono preservare punti di ripristino meno esposti ad attacchi attivi. Le organizzazioni con backup compromessi devono condurre analisi forensi per determinare quali generazioni di backup siano affidabili, un processo che può prolungare notevolmente il ripristino. Le architetture air gapped aiutano a ridurre questa pressione limitando l’accesso diretto dell’attaccante ad almeno un percorso di ripristino.
  • Allineamento normativo. Le strategie di backup air gapped sono allineate con la NIST SP 800-209, supportano le aspettative di pianificazione di contingenza negli ambienti federali e sanitari e generalmente supportano gli obiettivi di backup, disponibilità e controllo degli accessi presenti nei principali framework di controllo. Per i settori regolamentati, le architetture air gapped possono fornire prove difendibili di controlli di cybersecurity ragionevoli.
  • Riduzione della minaccia interna. Le architetture air gapped riducono la superficie di accesso per progettazione. Anche gli utenti privilegiati non possono accedere ai repository di backup tramite i percorsi di rete standard, richiedendo accesso fisico o workflow a doppia approvazione per qualsiasi interazione con le copie isolate. Questo è il controllo lato ripristino che impedisce a una singola compromissione di diventare un evento critico per l’azienda.

Questi vantaggi sono reali, ma sollevano una domanda altrettanto importante: quali organizzazioni hanno effettivamente bisogno di backup air gapped, e a quale livello?

Chi ha bisogno dei backup air gapped

La domanda non è se la tua organizzazione sia abbastanza grande; è se puoi permetterti di perdere l’accesso ai dati di produzione senza una copia di ripristino verificata e resistente agli attaccanti. La tabella seguente mappa il tipo di organizzazione all’approccio air gap più pratico e al suo driver principale.

Tipo di organizzazioneApproccio raccomandatoDriver principale
Infrastrutture critiche (energia, utility, OT)Air gap fisico su nastroEsposizione a minacce statali, obbligo normativo
Reti sanitarieAir gap logico o vault cloudPianificazione di contingenza HIPAA, ripristino dati pazienti
Servizi finanziariAir gap logico con immutabilitàConformità FFIEC, PCI DSS, requisiti RTO stringenti
Imprese mid-marketVault cloud con Object LockEfficienza dei costi, capacità di storage on-site limitata
Aziende cloud-native e SaaSVault cloud in account separatoNessuna infrastruttura on-premise, rischio di raggiungibilità della produzione
Enti governativiNastro fisico (crittografia conforme FIPS)Pianificazione di contingenza FISMA, NIST SP 800-53

Le organizzazioni più piccole spesso presumono che i backup air gapped siano fuori portata operativa. In pratica, un vault cloud con Object Lock in un account separato non richiede hardware on-premise e può essere configurato in poche ore. Uno studio medico di dieci persone ha lo stesso interesse a proteggere il ripristino di una grande impresa; l’aritmetica del ransomware è la stessa indipendentemente dal numero di dipendenti.

Sapere quale approccio si adatta al tuo ambiente è essenziale, ma i backup air gapped comportano anche compromessi reali. Comprenderli prima della distribuzione evita decisioni architetturali che dovrai invertire sotto pressione.

Sfide e limitazioni dei backup air gapped

I backup air gapped non sono una soluzione pronta all’uso. Quattro sfide portano costantemente i team a configurare male l’architettura o a sovrastimare la protezione effettivamente fornita.

  • Ambiguità definitoria crea falsa sicurezza. La maggior parte delle implementazioni di backup "air gapped" non sono realmente air gapped. Un vero air gap richiede sistemi non connessi fisicamente e dove ogni connessione logica non sia autonoma ma controllata manualmente. Devi sapere esattamente quale tipo hai implementato.
  • Il paradosso automazione vs. vero isolamento. Gli ambienti enterprise affrontano una tensione fondamentale: il vero air gap richiede intervento manuale, ma i processi manuali su larga scala creano costi proibitivi. Qualsiasi percorso autonomo, che sia job rsync programmati, chiamate API o agenti di backup, crea opportunità di sfruttamento. Questa tensione non può essere completamente risolta, solo gestita tramite decisioni architetturali deliberate.
  • Complessità operativa e tempi di ripristino estesi. Le implementazioni air gapped creano attrito operativo che impatta direttamente gli obiettivi di ripristino. L’aumentata complessità dei processi di backup e ripristino può portare a tempi di ripristino più lunghi rispetto alle soluzioni sempre connesse, un paradosso in cui la maggiore sicurezza rallenta il ripristino proprio durante gli incidenti per cui l’architettura è stata progettata.
  • L’immutabilità non è air gapping. Le organizzazioni spesso confondono questi due controlli distinti. Un backup immutabile che contiene ransomware o malware è inutile durante il ripristino e potrebbe causare reinfezione. Un backup air gapped mai sottoposto a scansione può contenere dati corrotti. Servono entrambi i controlli, con chiara comprensione di cosa affronta ciascuno. Gli errori di implementazione più comuni si verificano quando i team confondono queste distinzioni nelle operazioni quotidiane.

Per questo è utile rivedere gli errori che indeboliscono ripetutamente progetti altrimenti validi.

Errori comuni nei backup air gapped

Anche architetture air gap ben progettate falliscono nella pratica quando gli stessi errori operativi non vengono corretti. Questi sei errori rappresentano la maggior parte degli ambienti di backup che sembrano isolati ma restano raggiungibili.

  • Chiamare "air gapped" l’isolamento logico senza documentare il rischio accettato. Quando implementi sistemi di backup segmentati in rete con trasferimenti programmati, hai isolamento logico, non un vero air gap. Documenta il rischio accettato e compensa con ulteriori livelli: MFA, RBAC, storage immutabile con retention superiore ai tempi medi di permanenza degli attaccanti e monitoraggio delle anomalie.
  • Lasciare l’infrastruttura di backup sulla rete di produzione. Consentire ai sistemi di backup di rimanere accessibili dagli stessi segmenti di rete dei sistemi di produzione è un errore architetturale significativo. Segrega l’infrastruttura di backup su segmenti dedicati. Le interfacce di gestione non dovrebbero mai essere accessibili dalle reti aziendali generali.
  • Ignorare le credenziali di default sul software di backup. Alcuni software di backup vengono ancora forniti con login e password utente di default. In assenza di MFA, questo offre agli attaccanti un punto di ingresso diretto. Elimina i default, applica MFA per tutti gli accessi ai backup e implementa workflow a doppia approvazione per operazioni distruttive come l’eliminazione dei dati di backup prima della scadenza programmata.
  • Non testare mai i ripristini. Questo è il gap più comune. La guida CISA sul ransomware sottolinea l’importanza di testare regolarmente le procedure di backup. Devi testare il ripristino completo del sistema da supporti air gapped, non solo verificare l’integrità dei file. Pianifica regolarmente test di ripristino completi in ambienti isolati e misura i tempi effettivi rispetto ai tuoi requisiti di Recovery Time Objective (RTO).
  • Saltare la scansione antimalware pre-gap. Eseguire il backup di dati compromessi in un ambiente air gapped e immutabile crea una copia contaminata che non puoi modificare. La NIST SP 800-209 richiede la registrazione dei risultati delle scansioni antimalware per le copie di backup utilizzate per il ripristino da eventi cyber. La scansione antimalware dedicata pre-backup valida l’integrità dei dati prima che entrino nell’ambiente isolato.
  • Trattare l’air gap come difesa a singolo livello. I backup air gapped come unica strategia di backup creano un singolo punto di fallimento. Segui la regola 3-2-1-1-0 in modo che la compromissione di un solo livello non elimini tutte le capacità di ripristino.

Una volta evitati questi errori, puoi passare alle pratiche operative che rendono sostenibile il design.

Best practice per i backup air gapped

Scegliere il tipo di architettura giusto è solo l’inizio, ma la disciplina operativa è ciò che mantiene efficace l’isolamento dei backup nel tempo. Queste otto pratiche affrontano le aree in cui i progetti di backup air gapped più spesso si degradano dopo la distribuzione iniziale.

  1. Classifica i dati prima di progettare l’architettura. Non tutti i dati richiedono lo stesso approccio air gap. Organizza i requisiti di backup per obbligo normativo, criticità aziendale, Recovery Point Objective (RPO) e policy di retention.
  2. Definisci RPO/RTO e testa rispetto a essi. Se il tuo RPO è di un’ora, i backup devono essere eseguiti ogni ora o più spesso. Se il tuo RTO è di quattro ore, il processo di ripristino air gapped deve concludersi entro quella finestra, incluso il recupero dei supporti fisici. Documenta questi numeri e validali tramite esercitazioni programmate.
  3. Implementa l’immutabilità su tutti i repository di backup. Abilita configurazioni write-once o bloccate che non possono essere modificate durante i periodi di retention. Questo completa l’air gap impedendo modifiche anche se un attaccante accede all’ambiente isolato. Usati insieme, backup immutabili e air gapped offrono opzioni di ripristino dal ransomware più solide.
  4. Applica MFA e doppia approvazione per tutte le operazioni di backup. Ogni percorso di accesso all’infrastruttura di backup richiede MFA, incluso l’accesso amministrativo. Le operazioni distruttive come eliminazione, modifica delle policy di retention e disabilitazione dell’immutabilità devono richiedere doppia approvazione da amministratori separati. Controlli di  identity security forti sono particolarmente importanti quando l’isolamento dei backup dipende da workflow privilegiati.
  5. Scansiona i backup con strumenti aggiornati prima e dopo lo storage. Riesegui periodicamente la scansione delle copie storiche di backup con strumenti antimalware aggiornati. Questo identifica copie contaminate contenenti malware non rilevabile al momento del backup. La Behavioral AI della tua piattaforma di protezione endpoint fornisce un ulteriore livello di validazione.
  6. Monitora i comportamenti che prendono di mira i backup. CISA raccomanda specificamente di monitorare l’uso anomalo di vssadmin.exe, bcdedit.exe, wbadmin.exe, fsutil.exe con deletejournal e wmic.exe con i comandi shadowcopy o shadowstorage nella sua guida CISA al monitoraggio del ransomware. La tua piattaforma XDR dovrebbe segnalare questi eventi come segnali ad alta priorità.
  7. Testa regolarmente i ripristini, simula disastri annualmente. Esegui test di ripristino completi in ambienti isolati con cadenza regolare. Conduci simulazioni annuali di disastro che imitano reali eventi di perdita dati, non solo controlli a livello di file. La NIST IR 8576 specifica test annuali per il ripristino da procedure di backup.
  8. Ripristina in staging isolato, non in produzione. Le copie di ripristino air gapped devono essere ripristinate in un ambiente isolato dedicato dove verifichi che i sistemi siano puliti prima di riportarli in produzione. Esegui strumenti di rilevamento anomalie comportamentali nell’ambiente di staging per confermare che non si verifichino reinfezioni prima della riconnessione.

Queste pratiche rendono il design dei backup più resiliente negli incidenti reali. Preparano anche gli esempi di incidenti che mostrano cosa succede quando i percorsi di ripristino sono raggiungibili o non verificati.

Incidenti ransomware reali e lezioni sui backup

Gli incidenti reali rendono concreto il rischio backup.

  1. Norsk Hydro, 2019, ransomware LockerGoga. Quando LockerGoga colpì nel marzo 2019, Norsk Hydro dichiarò una crisi aziendale e passò a operazioni manuali in 40 paesi mentre il ransomware bloccava file su migliaia di server e PC. L’azienda ha poi riportato perdite tra 550 e 650 milioni di NOK nel primo semestre 2019. L’incidente ha mostrato come la disruption operativa possa diffondersi in tutta l’organizzazione anche quando la produzione continua in modalità degradata — e come la resilienza dei backup abbia permesso a Norsk Hydro di ripristinare i sistemi senza pagare il riscatto.
  2. Colonial Pipeline, 2021, ransomware DarkSide. L’azienda ha interrotto le operazioni del gasdotto dopo l’attacco, e il DOJ ha poi recuperato 2,3 milioni di dollari dei 75 Bitcoin pagati come riscatto. L’avviso CISA su DarkSide ha documentato come l’attacco ai sistemi business abbia causato una disruption operativa significativa nelle infrastrutture critiche.
  3. MGM Resorts, 2023, ingegneria sociale e disruption legata a ransomware. Dopo che gli attaccanti hanno utilizzato l’ingegneria sociale per compromettere l’infrastruttura di identità di MGM, l’azienda ha interrotto le operazioni in hotel e casinò per contenere la violazione. MGM ha poi riportato un impatto EBITDAR di 100 milioni di dollari per settembre 2023. L’evento ha mostrato come la compromissione dell’identità possa causare blackout diffusi, motivo per cui il solo isolamento dei backup non basta senza controlli sulle identità.

Questi incidenti portano direttamente all’ultima domanda: come abbinare la resilienza del ripristino a controlli che fermino gli attaccanti prima che possano contaminare, eliminare o raggiungere i percorsi di backup?

Cybersicurezza alimentata dall'intelligenza artificiale

Elevate la vostra posizione di sicurezza con il rilevamento in tempo reale, la risposta automatica e la visibilità totale dell'intero ambiente digitale.

Richiedi una demo

Key Takeaways

I backup air gapped forniscono un modo architetturale per mantenere almeno una copia di ripristino fuori dalla portata degli attacchi di rete comuni. L’isolamento è una parte essenziale di qualsiasi piano di ripristino dal ransomware difendibile. 

Implementa i backup air gapped seguendo la regola 3-2-1-1-0, testa regolarmente i ripristini, esegui la scansione prima e dopo lo storage e abbina l’isolamento dei backup alla prevenzione tramite Behavioral AI per fermare le minacce prima che raggiungano l’infrastruttura di backup. Se ti affidi a backup offline e backup immutabili come parte del tuo piano di cyber resilienza, hai comunque bisogno di una validazione regolare per supportare un ripristino affidabile dal ransomware.

FAQ

I backup air gapped sono copie isolate dei dati critici che sono fisicamente o logicamente separate dalle reti di produzione. Gli air gap fisici utilizzano supporti offline come i nastri che vengono rimossi e conservati fuori sede. Gli air gap logici utilizzano la segmentazione della rete, controlli di accesso rigorosi e l’immutabilità per ridurre la portata degli attaccanti. 

Entrambi gli approcci mirano a mantenere almeno una copia di ripristino fuori dalla portata degli attacchi basati sulla rete, incluso il ransomware che prende di mira specificamente l’infrastruttura di backup prima di avviare la cifratura in produzione.

I backup immutabili impediscono la modifica o l'eliminazione dopo che i dati sono stati scritti, ma possono comunque rimanere accessibili tramite la rete. I backup air gapped isolano i dati dall'accesso di rete ordinario, ma non garantiscono che la copia fosse pulita al momento della creazione. 

Per una resilienza più solida sono necessari entrambi i controlli: l'immutabilità aiuta a bloccare le manomissioni, mentre l'air gapping riduce la portata degli attaccanti. Il tuo piano di recupero da ransomware dovrebbe includere anche la scansione malware, i controlli di accesso e i test di ripristino.

Il NIST SP 800-209 raccomanda test regolari di integrità per i dati critici, e il NIST IR 8576 specifica test annuali per le procedure di ripristino da backup. 

In pratica, è necessario validare regolarmente l'integrità dei backup critici, eseguire esercitazioni di ripristino complete in ambienti di staging isolati almeno una volta all'anno e misurare il tempo effettivo di recupero rispetto agli obiettivi RTO e RPO documentati durante ogni esercitazione. Test più frequenti sono consigliabili per i sistemi più critici.

I backup cloud possono essere considerati logicamente air gapped quando vengono isolati tramite domini di sicurezza separati, autenticazione indipendente, immutabilità a livello di oggetto e accesso solo tramite API con MFA. Il semplice storage cloud standard non crea un air gap. 

È necessario configurare deliberatamente la separazione, documentare chiaramente i confini di controllo e verificare che le credenziali di produzione non possano accedere, modificare o eliminare direttamente il set di backup protetto durante le normali operazioni.

Il rischio maggiore è presumere di avere un vero air gap quando in realtà si dispone solo di un’isolamento logico con workflow autonomi. Qualsiasi attività di replica programmata, chiamata API o connessione di un agente di backup crea un percorso raggiungibile che attaccanti sofisticati possono sfruttare. 

Dovresti eseguire un audit onesto della tua architettura, classificarla correttamente e aggiungere controlli compensativi come l’immutabilità, MFA, segmentazione, workflow di approvazione e test di ripristino ripetuti affinché il tuo design di recovery corrisponda alla reale esposizione.

I backup air gapped sono in linea con i principi di  zero trust applicando una verifica esplicita a livello dell'infrastruttura di backup. Ogni richiesta di accesso richiede autenticazione, l'autorizzazione segue il principio del minimo privilegio tramite RBAC e tutte le attività vengono registrate e sono verificabili. 

L'air gap introduce una restrizione più rigorosa eliminando l'accesso di rete ordinario tra i cicli di backup. I flussi di lavoro a doppia approvazione per le operazioni distruttive aggiungono un ulteriore controllo, che aiuta a impedire che un singolo account compromesso possa distruggere la capacità di ripristino o indebolire la postura di cyber resilienza.

Scopri di più su Sicurezza informatica

Gestione dei Diritti Digitali: Guida Pratica per i CISOSicurezza informatica

Gestione dei Diritti Digitali: Guida Pratica per i CISO

La gestione dei diritti digitali aziendale applica crittografia persistente e controlli di accesso ai documenti aziendali, proteggendo i dati sensibili anche dopo che i file lasciano la tua rete.

Per saperne di più
Che cos'è la sicurezza di Remote Monitoring and Management (RMM)?Sicurezza informatica

Che cos'è la sicurezza di Remote Monitoring and Management (RMM)?

Scopri come gli attori delle minacce sfruttano gli strumenti RMM per attacchi ransomware e individua strategie di rilevamento e best practice di sicurezza per proteggere il tuo ambiente.

Per saperne di più
Address Resolution Protocol: Funzione, Tipi e SicurezzaSicurezza informatica

Address Resolution Protocol: Funzione, Tipi e Sicurezza

Address Resolution Protocol traduce gli indirizzi IP in indirizzi MAC senza autenticazione, consentendo attacchi di spoofing. Scopri come SentinelOne rileva e blocca i movimenti laterali basati su ARP.

Per saperne di più
Cosa sono i backup immutabili? Protezione autonoma dal ransomwareSicurezza informatica

Cosa sono i backup immutabili? Protezione autonoma dal ransomware

I backup immutabili utilizzano la tecnologia WORM per creare punti di ripristino che il ransomware non può cifrare o eliminare. Scopri le best practice di implementazione e gli errori comuni.

Per saperne di più
Provate la piattaforma di cybersecurity più avanzata

Provate la piattaforma di cybersecurity più avanzata

Scoprite come la piattaforma di cybersecurity più intelligente e autonoma al mondo può proteggere la vostra organizzazione oggi e in futuro.

Richiedi una demo
  • Iniziare
  • Richiedi una demo
  • Presentazione del prodotto
  • Perché SentinelOne
  • Prezzi e Pacchetti
  • Contattaci
  • Contattaci
  • Supporto
  • SentinelOne Status
  • Lingua
  • Piattaforma
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Servizi
  • Wayfinder TDR
  • SentinelOne GO
  • Gestione tecnica dei clienti
  • Servizi di Supporto
  • Settori Verticali
  • Energia
  • Governo Federale
  • Servizi Finanziari
  • Sanitario
  • Scuola Superiore
  • Istruzione Primaria e Secondaria
  • Manifatturiero
  • Retail
  • Settore pubblico statale e locale
  • Cybersecurity for SMB
  • Risorse
  • Blog
  • Labs
  • Video
  • Presentazione del prodotto
  • Events
  • Cybersecurity 101
  • eBooks
  • Stampa
  • Pers
  • Notizie
  • Glossario del Ransomware
  • Azienda
  • Chi siamo
  • I nostri clienti
  • Opportunità di Lavoro
  • Partner
  • Legale e conformità
  • Sicurezza e conformità
  • S Foundation
  • S Ventures

©2026 SentinelOne, Tutti i diritti riservati.

Informativa sulla privacy Condizioni di utilizzo

Italiano