Best practice per la conservazione dei backup: guida completa

Che cos'è la conservazione dei backup?

La conservazione dei backup è la pratica di mantenere copie dei dati critici per periodi di tempo definiti, regolata da requisiti normativi, legali e di cybersecurity. Determina per quanto tempo conservare i punti di ripristino, dove archiviarli e come proteggerli dagli attacchi che compromettono l'ambiente di produzione.

Le conseguenze sono concrete. Nell'incidente ransomware del 2023 che ha colpito MGM Resorts, l'azienda ha dichiarato un impatto di circa 100 milioni di dollari sull'EBITDA rettificato in una comunicazione alla SEC. Quando gli aggressori raggiungono o corrompono i backup, l'impatto aziendale va oltre il semplice downtime IT e diventa un evento finanziario a livello enterprise.

Molte aziende trattano ancora la conservazione dei backup come un problema di logistica dello storage. La differenza tra le organizzazioni che si riprendono e quelle che pagano riscatti dipende da come progettano, implementano e applicano le proprie policy di conservazione dei backup.

La guida CISA #StopRansomware designa la conservazione dei backup come Obiettivo di Prestazione di Cybersecurity Trasversale 2.R: mantenere backup offline, crittografati dei dati critici e testarne regolarmente disponibilità e integrità. Questo rappresenta una baseline federale di cybersecurity.

I gruppi ransomware ora prendono di mira l'infrastruttura di backup come obiettivo primario. La tua policy di conservazione dei backup è il progetto che determina se quei backup sopravvivranno.

Come la policy di conservazione dei backup si collega alla cybersecurity

La policy di conservazione dei backup è un controllo difensivo. Il NIST Cybersecurity Framework 2.0 la codifica nella Sottocategoria PR.DS-11, richiedendo che i backup siano creati, protetti, mantenuti e testati. Questo colloca la conservazione dei backup all'interno dell'architettura dei controlli protettivi insieme a protezione degli endpoint, gestione degli accessi e segmentazione della rete.

La rilevanza per la cybersecurity diventa evidente esaminando il comportamento degli aggressori. Secondo NIST SP 800-209, gli attaccanti possono interferire con il processo di backup stesso, avvelenando gradualmente le copie future fino a quando gli unici backup disponibili risultano già corrotti. La durata della conservazione determina direttamente se si mantiene un punto di ripristino pulito precedente alla compromissione.

Durante l'incidente ransomware del Colonial Pipeline nel 2021, il Dipartimento di Giustizia degli Stati Uniti ha descritto un pagamento di riscatto di 4,4 milioni di dollari nel suo comunicato DOJ. La conservazione dei backup da sola non ferma il ransomware, ma determina se è possibile ripristinare e riprendere le attività senza negoziare.

La tua policy di conservazione dei backup definisce quanto indietro puoi ripristinare, quanto velocemente puoi recuperare e se gli aggressori possono eliminare la tua capacità di rifiutare una richiesta di riscatto.

Come funzionano le policy di conservazione dei backup

Una policy di conservazione dei backup governa il ciclo di vita di ogni copia di backup creata dall'organizzazione. Specifica la frequenza di creazione, le posizioni di archiviazione, i meccanismi di protezione, la durata della conservazione e le procedure di eliminazione per ciascun livello di classificazione dei dati.

Il framework 3-2-1-1-0

Lo standard di settore si è evoluto dalla regola 3-2-1 verso il framework 3-2-1-1-0 per rispondere alle attuali tattiche ransomware.

Il framework prevede:

• 3 copie di backup oltre ai dati di produzione
• 2 diversi tipi di supporto per proteggersi da differenti classi di rischio
• 1 copia archiviata offsite per separazione geografica
• 1 copia immutabile o air-gapped, più 0 errori nei test di verifica dei backup

Applicare tutti questi requisiti riduce la possibilità che una singola compromissione elimini ogni opzione di ripristino.

Livelli e durata della conservazione

La policy di conservazione dei backup dovrebbe definire i periodi di conservazione in base alla classificazione dei dati, ai requisiti normativi e agli obiettivi di ripristino. Secondo Gartner's Peer Community, i professionisti enterprise distinguono tipicamente tra copie di backup per disaster recovery (da 30 a 90 giorni) e dati archiviati per conformità (regolati da normative di settore).

Due obiettivi temporali guidano ogni decisione di conservazione:

1. Recovery Point Objective (RPO): L'età massima accettabile dei dati per il ripristino. Un RPO di quattro ore significa che non puoi perdere più di quattro ore di dati.
2. Recovery Time Objective (RTO): Il downtime massimo accettabile. Questo determina quanto rapidamente l'infrastruttura di conservazione deve fornire punti di ripristino utilizzabili.

Insieme, RPO e RTO determinano la frequenza di creazione dei backup e la rapidità con cui l'infrastruttura di conservazione deve renderli disponibili durante un incidente.

Immutabilità e controlli di accesso

I backup immutabili utilizzano la tecnologia WORM (Write Once Read Many) per impedire modifiche o eliminazioni, anche da parte di amministratori con privilegi completi. NIST SP 1800-25 stabilisce che i sistemi di backup dovrebbero limitare l'accesso a un solo account di servizio su macchine note, applicando il controllo degli accessi basato sui ruoli, MFA e separando i framework di autenticazione dalla produzione.

Questi meccanismi costituiscono la base, ma il modo in cui strutturi i backup determina quanto efficacemente la policy di conservazione protegge ciascun livello di dati.

Tipi di backup e strategie di conservazione

La policy di conservazione dei backup deve tenere conto dei diversi metodi di backup utilizzati dall'organizzazione. Ogni tipo crea una diversa catena di ripristino con differenti compromessi tra storage, velocità e rischio.

• Backup completi: Un backup completo copia tutti i dati selezionati in un'unica operazione. NIST SP 800-34 raccomanda che le policy specifichino la frequenza dei backup in base alla criticità dei dati e al tasso di introduzione di nuove informazioni. I backup completi consentono il ripristino più rapido perché serve solo un set di backup, ma consumano più spazio e richiedono più tempo per essere completati.
• Backup incrementali: Un backup incrementale acquisisce solo i dati modificati dall'ultimo backup di qualsiasi tipo. Ogni incrementale è piccolo e veloce, ma il ripristino richiede l'ultimo backup completo più tutti gli incrementali in sequenza. Se un anello della catena è corrotto, si perde l'accesso a tutti i punti di ripristino successivi.
• Backup differenziali: Un backup differenziale acquisisce tutte le modifiche dall'ultimo backup completo, indipendentemente da quanti differenziali siano stati eseguiti nel frattempo. I differenziali crescono ogni giorno ma consentono un ripristino più rapido degli incrementali perché servono solo due set di backup: l'ultimo completo e l'ultimo differenziale.
• Combinazione dei metodi con rotazione GFS: La maggior parte delle aziende combina questi metodi utilizzando una rotazione Grandfather-Father-Son (GFS): backup completi settimanali conservati per mesi, differenziali o incrementali giornalieri conservati per settimane e copie di archivio mensili o annuali conservate per la conformità. Il piano di conservazione dovrebbe specificare durate diverse per ciascun livello. Ad esempio, gli incrementali giornalieri possono scadere dopo 14 giorni, i completi settimanali dopo 90 giorni e le copie di archivio mensili dopo uno-sette anni a seconda dei requisiti normativi.

Il tipo di backup scelto influisce anche sul RPO. Gli incrementali orari offrono un RPO più stretto rispetto ai differenziali giornalieri, ma creano catene di ripristino più lunghe che aumentano il RTO. Associa ogni livello di classificazione dei dati al metodo di backup e alla durata di conservazione che bilancia questi obiettivi.

Best practice per la policy di conservazione dei backup

Una policy di conservazione dei backup sulla carta è valida solo quanto la sua implementazione. Ogni best practice di seguito affronta una specifica modalità di fallimento osservata in incidenti reali, dall'avvelenamento dei backup e compromissione delle identità a ripristini non testati e monitoraggio insufficiente.

1. Applicare storage di backup immutabile per almeno 30-90 giorni

Configura periodi di conservazione immutabili in base al tempo medio di permanenza della minaccia nella tua organizzazione. L' avviso CISA LockBit richiede che tutti i dati di backup siano crittografati, immutabili e coprano l'intera infrastruttura dati dell'organizzazione.

Una finestra di 90 giorni tiene conto delle compromissioni lente e persistenti che NIST SP 800-209 descrive come avvelenamento dei backup, dove gli aggressori corrompono le copie gradualmente per settimane prima di attivare la cifratura sui sistemi di produzione. Finestre più brevi di 30 giorni proteggono dagli attacchi rilevati rapidamente ma potrebbero non coprire tempi di permanenza estesi.

2. Implementare storage air-gapped o logicamente isolato

I backup immutabili perdono valore se gli aggressori possono raggiungerli tramite gli stessi percorsi di rete utilizzati per compromettere la produzione. Le linee guida NIST NCCoE enfatizzano l'isolamento completo tramite air-gapping fisico (nastri offline o supporti rimovibili senza connettività di rete) o air-gapping logico (storage online con policy di conservazione a livello di oggetto e forte separazione delle identità). In ogni caso, gli aggressori non devono poter passare dal piano identità di produzione al piano di controllo dei backup.

3. Testare il ripristino con tolleranza zero agli errori

Lo "0" nel 3-2-1-1-0 significa tolleranza zero per procedure di ripristino non testate. Il NIST Cybersecurity Framework 2.0 richiede esplicitamente che i backup siano testati, elevando questa pratica da raccomandazione a requisito formale di cybersecurity.

Stabilisci una cadenza di test che corrisponda al tuo profilo di rischio:

• Valida mensilmente il ripristino dei sistemi critici
• Esegui test di ripristino completi simulando scenari ransomware ogni trimestre
• Effettua esercitazioni di ripristino complete semestralmente o annualmente per la preparazione agli audit ISO 27001

Ogni test deve misurare il tempo effettivo di ripristino rispetto al RTO e verificare l'integrità dei dati tramite checksum. Considera ogni test fallito come un incidente P1 e risolvi prima del ciclo successivo.

4. Implementare ambienti di ripristino isolati

Le linee guida NIST NCCoE raccomandano ambienti di ripristino isolati (IRE) con Immutable Data Vaults (IDV). Si tratta di ambienti sicuri e isolati in cui ripristinare e analizzare i dati di backup senza reintrodurre malware. L'IRE deve disporre di framework di autenticazione separati, segmenti di rete dedicati e percorsi di accesso amministrativo indipendenti.

5. Crittografare i backup e separare la gestione delle chiavi

Applica la crittografia AES-256  a riposo e TLS 1.3 in transito secondo le linee guida ISO 27001. Conserva le chiavi di crittografia separatamente dai dati di backup con assegnazioni di ruoli distinte. Richiedi MFA per le operazioni di eliminazione delle chiavi. Se un aggressore compromette sia i dati di backup sia le chiavi di crittografia tramite lo stesso percorso di accesso, la crittografia non offre alcuna protezione.

6. Integrare la telemetria dei backup con le operazioni di sicurezza

L'infrastruttura di backup genera segnali che il tuo SOC dovrebbe monitorare. NIST SP 800-61 stabilisce che i sistemi di backup dovrebbero integrarsi con le capacità di incident response. Invia la telemetria dei backup al tuo SIEM o XDR e monitora:

• Cambiamenti improvvisi nelle dimensioni o nella durata dei backup
• Job di backup saltati o falliti
• Pattern di login insoliti sull'infrastruttura di backup
• Tentativi imprevisti di modifica o eliminazione

Queste anomalie spesso emergono prima che il ransomware attivi la cifratura. La Singularity Platform di SentinelOne può correlare questa telemetria insieme ai segnali di endpoint e cloud, offrendo agli analisti il contesto sull'intera catena d'attacco.

7. Mantenere golden image e backup di Infrastructure-as-code

La  guida CISA #StopRansomware indica alle organizzazioni di mantenere golden image dei sistemi critici e utilizzare Infrastructure-as-code (IaC) per distribuire risorse cloud, mantenendo i backup dei template offline. Versiona i template IaC e verifica le modifiche per consentire la ricostruzione completa dell'ambiente.

8. Implementare l'approvazione a quorum per operazioni distruttive

Nessun singolo amministratore dovrebbe poter eliminare o modificare backup immutabili. Richiedi l'approvazione a quorum (più persone autorizzate) per qualsiasi operazione che riduca le copie di backup, accorci i periodi di conservazione o disabiliti l'immutabilità. Questo protegge sia dalle minacce interne sia dagli account privilegiati compromessi.

Dopo aver implementato questi controlli, mappa i periodi di conservazione e le evidenze dei test ai tuoi framework di conformità.

Requisiti normativi per la conservazione dei backup

I periodi di conservazione dei backup non sono solo decisioni di sicurezza. Sono obblighi di conformità con conseguenze di audit e legali. La sfida è che diversi framework impongono requisiti differenti e molte organizzazioni ricadono sotto più di uno. Quando i framework normativi sono in conflitto, applica il requisito di conservazione più lungo documentando la giustificazione per ciascun livello di classificazione dei dati.

HIPAA

HIPAA non specifica periodi di conservazione dei dati di backup ma impone procedure per creare e mantenere copie esatte recuperabili delle informazioni sanitarie elettroniche protette (ePHI) ai sensi del 45 CFR § 164.308(a)(7). La serie HHS HIPAA richiede un periodo minimo di conservazione di sei anni per la documentazione di sicurezza.

GDPR

Le Linee guida EDPB 4/2019 richiedono l'eliminazione dei dati personali quando non più necessari. Il GDPR considera i backup come trattamento ai sensi delle Linee guida EDPB 9/2022, sottoponendoli a tutti i requisiti di protezione dei dati. Documenta la giustificazione aziendale per ogni periodo di conservazione.

PCI-DSS

PCI-DSS Requisito 10.7 impone la conservazione di un anno dei log di audit con tre mesi immediatamente disponibili. Il requisito 3.1 richiede la verifica trimestrale che i dati archiviati oltre i periodi di conservazione siano eliminati in modo sicuro.

SOC 2

SOC 2 non prescrive periodi di conservazione. Definisci i tuoi, documentali, seguili in modo coerente e dimostra l'efficacia dei controlli durante gli audit.

L'allineamento alla conformità è necessario ma non sufficiente. È anche necessario pianificare le modalità di fallimento che compromettono la conservazione dei backup nella pratica.

Sfide e limiti delle policy di conservazione dei backup

Anche le policy di conservazione ben progettate incontrano ostacoli di implementazione che emergono durante incidenti reali piuttosto che in fase di pianificazione. I fallimenti più comuni seguono uno schema: le organizzazioni costruiscono correttamente la policy ma sottovalutano come aggressori, lacune infrastrutturali e punti ciechi operativi ne erodano l'efficacia nel tempo.

I gruppi ransomware prendono di mira prima i backup

Gli aggressori cercano credenziali di backup, sfruttano soluzioni di backup non patchate e corrompono deliberatamente l'infrastruttura di ripristino prima di attivare la cifratura sui sistemi di produzione. Se l'infrastruttura di backup condivide lo stesso store di identità della produzione, un singolo account domain admin compromesso può eliminare l'intera capacità di ripristino.

Il punto cieco dell'infrastruttura di identità

Se Active Directory, i sistemi di autenticazione e la gestione degli accessi privilegiati non sono inclusi nell'ambito della conservazione, si crea un paradosso di ripristino: esistono backup immutabili dei dati, ma non è possibile ripristinare l'accesso ad essi. La policy di conservazione dei backup deve includere l'infrastruttura di identità come obiettivo di backup di prima classe.

Conflitti di conformità tra framework

Il principio di minimizzazione dei dati del GDPR può entrare in conflitto con requisiti di conservazione più lunghi previsti da HIPAA o PCI-DSS. Gestire questi conflitti richiede piani di conservazione granulari e specifici per i dati, con base legale documentata e revisione legale continua.

Lacune di monitoraggio e fallimenti silenziosi

Se nessuno controlla i log o gli alert dei backup, i fallimenti possono passare inosservati per mesi. Lo storage si riempie, i job di backup saltano senza notifica e le organizzazioni scoprono la corruzione solo durante i tentativi di ripristino effettivi. Integrare la telemetria dei backup nello stack di monitoraggio della sicurezza colma questa lacuna di visibilità.

Tempistiche di attacco nei weekend e festivi

Gli aggressori sfruttano finestre di monitoraggio ridotte. I gruppi ransomware pianificano deliberatamente gli attacchi nei periodi di minore copertura del personale IT, aumentando la finestra in cui le compromissioni dei backup passano inosservate. Capacità di monitoraggio e risposta autonome affrontano questa vulnerabilità in modo più efficace rispetto alla sola supervisione manuale.

Queste sfide evidenziano una lacuna comune: le policy di conservazione dei backup richiedono applicazione continua, non solo documentazione. Colmare questa lacuna richiede una piattaforma di sicurezza che operi in modo autonomo e offra visibilità su tutto l'ambiente di ripristino.

Migliora la conservazione dei backup con SentinelOne

La policy di conservazione dei backup definisce le regole. La piattaforma di sicurezza determina se tali regole resistono sotto attacco. La Singularity Platform di SentinelOne rafforza la conservazione dei backup bloccando il ransomware prima che raggiunga l'infrastruttura di backup e offrendo al SOC la visibilità necessaria per individuare in tempo reale comportamenti mirati ai backup.

Rollback ransomware autonomo

SentinelOne utilizza AI comportamentale per identificare e bloccare le attività ransomware in fase di esecuzione, riducendo la possibilità che la cifratura raggiunga sistemi critici inclusi i server di backup. Quando il ransomware cifra file su endpoint Windows, la funzione di rollback della piattaforma utilizza snapshot Volume Shadow Copy per ripristinare i file allo stato precedente all'attacco.

Protezione dell'infrastruttura di backup

Singularity Cloud Workload Security estende la protezione in tempo reale a VM, server, container e cluster Kubernetes che ospitano l'infrastruttura di backup. La piattaforma offre prevenzione delle minacce in runtime e risposta autonoma su cloud pubblici, privati e data center on-premise, isolando i sistemi compromessi e ripristinando uno stato noto sicuro senza intervento dell'analista.

Integrazione con AWS Backup

SentinelOne si integra con AWS Backup per semplificare i flussi di lavoro di ripristino in cloud. Quando Singularity Cloud Workload Security identifica un'istanza EC2 compromessa, interroga AWS Backup per le informazioni di ripristino e presenta un link di ripristino direttamente dalla console SentinelOne.

Purple AI per l'indagine sulle anomalie di backup

Purple AI consente agli analisti di indagare pattern sospetti di accesso ai backup tramite query conversazionali, riducendo il tempo necessario per validare le opzioni di ripristino durante la risposta agli incidenti. I primi utilizzatori riportano che Purple AI rende threat hunting e indagini fino a l'80% più veloci.

Singularity™ AI SIEM

Il Singularity™ AI SIEM di SentinelOne per il SOC autonomo è la piattaforma aperta più veloce del settore per tutti i tuoi dati e flussi di lavoro. È costruito sul nostro data lake e offre protezione AI in tempo reale per l'intera azienda. Hai accesso a scalabilità illimitata e conservazione dei dati senza limiti. Accelera i flussi di lavoro con l'Hyperautomation. Proteggi endpoint, cloud, reti, identità, email e altro ancora. Trasmetti i tuoi dati per rilevamento in tempo reale e attiva la protezione a velocità macchina con AI autonoma. Ottieni anche maggiore visibilità per indagini e rilevamenti con l'unica console unificata del settore. Fai il tour.

Richiedi una demo con SentinelOne per vedere come la protezione autonoma dei backup si integra nel tuo ambiente.

Punti chiave

La conservazione dei backup è un controllo di cybersecurity che determina se l'organizzazione si riprende da un ransomware o paga. Implementa il framework 3-2-1-1-0 con copie immutabili e air-gapped. Testa il ripristino ogni trimestre con tolleranza zero agli errori. 

Allinea i piani di conservazione dei backup a HIPAA, GDPR, PCI-DSS e SOC 2. Integra la telemetria dei backup nel SOC. La Singularity Platform di SentinelOne rafforza queste strategie con risposta autonoma e visibilità in tempo reale su tutto l'ambiente di ripristino.