La minaccia ransomware non è più un problema solo delle grandi imprese. Le PMI sono bersagli frequenti per la loro velocità operativa e, spesso, per difese non allineate al rischio. Costruire un piano anti-ransomware significa orchestrare tecnologia, processi e persone in modo coordinato, così da ridurre l’impatto di un attacco e garantire la continuità del business.
Questa guida operativa propone scelte tecniche e organizzative concrete: dal backup 3-2-1 alla segmentazione di rete, dall’EDR al playbook di incident responsefino alle esercitazioni tabletopalla definizione delle responsabilità e all’onboarding dei fornitori. L’obiettivo è passare da buone intenzioni a procedure verificabili, con tempi di ripristino chiari e una checklist di conformità essenziale.
Backup 3-2-1 e ripristino: RPO/RTO al centro
Il punto di partenza è un’architettura di backup 3-2-1tre copie dei dati, su due tipi di supporto, con una copia offline/immutabile. La variante 3-2-1-1-0 aggiunge una copia air-gapped e verifiche automatiche d’integrità (zero errori nei log). Definire a monte RPO (quanto dato si può perdere) e RTO (tempo massimo per tornare operativi) guida frequenza e strategia. Una PMI tipica può impostare snapshot orarie per i sistemi critici, giornaliere per i server non core e retention settimanale su storage WORM.
Per evitare sorprese, il ripristino va testato. Programmare restore drill trimestrali su campioni di sistemi, documentando tempi effettivi e colli di bottiglia. Integrare backup di configurazioni (firewall, switch, hypervisor) e segreti (con vault dedicati). Automazioni come bare-metal restore o instant recovery riducono il downtime. Ogni ciclo di test aggiorna il catalogo delle dipendenze applicative, così che la sequenza di ripristino rispecchi le priorità di business.
Segmentazione di rete e controllo degli accessi
Il ransomware prospera lateralmente. La segmentazione riduce la superficie di movimento: VLAN per domini funzionali, micro-segmentazione per server critici, e policy zero trust per limitare comunicazioni east-west. Implementare ACL strette, deny by default tra segmenti e regole temporanee solo se approvate e registrate. I sistemi di gestione (RMM, hypervisor, backup) vanno in un segmento amministrativo isolato, accessibile via bastion con MFA.
L’access management segue il principio dei minimi privilegi: RBAC per ruoli, MFA ovunque possibile, rotazione delle credenziali e monitoraggio degli account privilegiati con PAM. Le condivisioni SMB e i server RDP devono essere protetti con gruppi dedicati, logging centralizzato e alert su anomalie (es. creazione massiva di file.lock). Ogni eccezione va tracciata con scadenza automatica per evitarne la permanenza.
EDR e hardening: visibilità e risposta rapida
Un buon EDR fornisce telemetria su processi, file e rete, con capacità di isolation host e rollback quando supportato. Su endpoint e server applicare hardening baselinedisabilitare macro non firmate, bloccare esecuzione da cartelle utente, abilitare ASR (Attack Surface Reduction) e application control. I controller di dominio meritano policy dedicate: limitare PowerShell remota, proteggere LSAdeleghe minime per backup e servizi.
Integrare EDR con SIEM o log management per correlare eventi: tentativi RDP falliti, creazione di utenti sospetti, picchi di I/O su share. Preconfigurare playbook automatici: isolamento macchina al rilevamento di encryption routinesrevoca di token sospetti, blocco hash IOC. Verificare periodicamente che gli agenti EDR siano installati e aggiornati su tutte le macchine, compresi i portatili dei power user e i sistemi remoti.
Playbook di incident response: ruoli, flussi e comunicazione
Il playbook IR deve unire tecnica e governance. Strutturarlo in fasi: triagecontenimento, eradicazione, ripristino, post-mortem. Per ciascuna fase definire azioni, tempi e responsabili. Esempio: entro 15 minuti dal rilevamento, il SOC o referente IT isola gli host coinvolti; entro 60 minuti, il responsabile sicurezza valuta l’attivazione del fornitore esterno; entro 4 ore si completa l’inventario degli asset impattati.
La comunicazione è parte della risposta: template per informare management, team interni e, se necessario, clienti e partner. Stabilire canali out-of-band (chat su piattaforme esterne o telefonia) nel caso la posta sia compromessa. Prevedere un change freeze durante l’incidente, con approvazioni rapide per azioni di contenimento. Al termine, un post-incident review con lessons learned guida aggiornamenti a controlli, processi e contratti.
Esercitazioni tabletop e onboarding dei fornitori
Le tabletop exercise trasformano il piano in pratica. Organizzare sessioni semestrali di 90 minuti con scenari realistici (es. cifratura su file server, compromissione di credenziali, blocco del gestionale). Obiettivi: validare decisioni, verificare tempi e individuare gap organizzativi. Ogni esercitazione produce un verbale con azioni, deadline e owner, che alimenta il miglioramento continuo.
I fornitori sono parte dell’ecosistema. L’onboarding deve includere requisiti minimi: MFA, cifratura dei dati, patching, EDR sui sistemi che accedono alla rete, uso di VPN con split tunneling disabilitato. Contrattualizzare RACI per incidenti, SLA di supporto, obblighi di notifica e diritto di audit. Per i software critici, raccogliere SBOM o dichiarazioni di sicurezza, e testare il ripristino dei servizi in caso di indisponibilità del partner.
Checklist di conformità e tempi di ripristino misurabili
Una checklist aiuta a tenere il passo. Voci essenziali: policy backup 3-2-1 documentata; test di ripristino eseguiti e registrati; asset inventory aggiornato; segmentazione e ACL revisionate; MFA attivo; agenti EDR presenti e monitorati; patching entro finestre definite; vault per credenziali; playbook IR versionato; canali di comunicazione d’emergenza collaudati; contratti fornitori con clausole di sicurezza; formazione anti-phishing completata. Ogni voce deve avere evidenze e data di ultima verifica.
Misurare è chiave: oltre a RPO/RTO per sistema, tracciare MTTD (tempo di rilevamento), MTTR (tempo di risoluzione) e percentuale di ripristini riusciti al primo tentativo. Definire runbook per le applicazioni core con sequenza, prerequisiti e tempi target. Pubblicare un cruscotto mensile al management aiuta a mantenere priorità e budget, legando i risultati a rischi e obiettivi aziendali.
