Strategia backup 3-2-1-1-0 per PMI italiane: ransomware-proof nel 2021

Il 2021 ha cambiato per sempre la percezione del rischio cyber nelle PMI italiane. A maggio, Colonial Pipeline e’ rimasta paralizzata per cinque giorni dopo un attacco DarkSide, costringendo la societa’ a pagare 4,4 milioni di dollari di riscatto (poi parzialmente recuperati dall’FBI). A giugno, JBS Foods ha versato 11 milioni di dollari a REvil. A luglio, l’attacco a Kaseya VSA si e’ propagato in cascata a oltre 1.500 aziende clienti dei suoi MSP. A maggio l’Health Service Executive irlandese e’ stato messo in ginocchio da Conti, con un riscatto richiesto di 20 milioni di dollari. E mentre scriviamo, a dicembre 2021, il mondo IT sta correndo per mitigare Log4Shell (CVE-2021-44228), che gruppi come Khonsari hanno gia’ iniziato a sfruttare.

In questo scenario, il backup smette di essere una checkbox di compliance e diventa l’ultima linea di difesa. Ma non un backup qualsiasi: deve essere immutabile, perche’ i moderni operatori ransomware — Conti, REvil, BlackCat (ALPHV, emergente in queste settimane) — cercano sistematicamente i backup prima di crittografare i dati di produzione. La vecchia regola 3-2-1 non e’ piu’ sufficiente. Serve l’evoluzione: 3-2-1-1-0, codificata da Veeam e adottata come standard de facto da Acronis, Veritas, Commvault. In questo articolo ti porto dentro l’architettura, i tool, gli script e la roadmap concreta per applicarla in una PMI italiana media — quella con 20-200 dipendenti, ERP gestionale, qualche VM, un NAS Synology o QNAP e un budget IT realistico.

La regola 3-2-1 classica: cosa significa (e perche’ oggi non basta)

La regola 3-2-1 nasce nei primi anni 2000, codificata dal fotografo Peter Krogh nel libro The DAM Book (2005). Significa:

• 3 copie dei dati: l’originale piu’ due backup;
• 2 supporti diversi: ad esempio disco interno + nastro, oppure SSD locale + cloud object storage;
• 1 copia off-site: fisicamente fuori dalla sede principale, per resistere a incendi, allagamenti, furti.

Per vent’anni questa regola e’ stata la base della disaster recovery enterprise. Funzionava perche’ i sinistri tipici erano guasti hardware, errori umani, eventi catastrofici: tutti scenari in cui il backup off-site era sicuro per definizione, perche’ nessuno aveva interesse a corromperlo deliberatamente.

Il ransomware moderno ha cambiato le regole. I gruppi piu’ organizzati — Conti, REvil, DarkSide, LockBit (rilasciato a giugno 2021), Hive — adottano una metodologia in tre fasi: persistenza e ricognizione (dwell time medio 24 giorni secondo Mandiant M-Trends 2021, durante i quali mappano l’infrastruttura e localizzano i backup); esfiltrazione (modello double extortion, anche se ripristini l’attaccante minaccia di pubblicare i dati); distruzione dei backup. Conti e’ nota per usare PowerShell per disabilitare Volume Shadow Copy (vssadmin delete shadows /all) ed eliminare snapshot Veeam, Backup Exec, Acronis prima del payload finale. Risultato: una copia off-site su NAS o cloud “normale” (con credenziali raggiungibili dalla rete compromessa) non e’ piu’ un backup, e’ solo un’altra vittima.

Evoluzione 3-2-1-1-0: il nuovo standard ransomware-proof

La formula estesa, popolarizzata da Veeam e dal suo CTO Anton Gostev, aggiunge due cifre alla 3-2-1 storica:

• +1 = una copia immutabile o offline: un repository dove i dati una volta scritti non possono essere modificati ne’ cancellati per un periodo definito (retention lock), neanche da un amministratore con credenziali root. Tipicamente realizzata con S3 Object Lock in modalita’ Compliance, Veeam Hardened Repository su Linux con flag immutable (chattr +i), tape WORM, o Azure Blob con immutable policy.
• +0 = zero errori di ripristino: i backup vengono verificati periodicamente, sia a livello di integrita’ (checksum, SureBackup di Veeam, Active Restore di Acronis) sia con test di ripristino reali in ambiente sandbox. Un backup che non si e’ mai ripristinato e’ una promessa, non un’assicurazione.

L’aggiunta di “1” e “0” risponde direttamente al modello di attacco ransomware: l’immutabilita’ rende impossibile la cancellazione preventiva, e il test periodico smaschera quei backup silenziosamente corrotti che, sotto pressione, si rivelano inutilizzabili (lo studio Veeam Data Protection Trends 2021 mostra che il 14% dei ripristini fallisce alla prova dei fatti).

Immutabile non significa solo “protetto da password” o “sola lettura per gli utenti”. Significa che il sistema operativo del repository stesso, anche con privilegi root o accesso alla console di gestione del cloud provider, non e’ in grado di cancellare il dato prima della scadenza della retention lock. Questa proprieta’, se ben configurata, sopravvive anche al compromesso totale del dominio Active Directory.

RPO e RTO: numeri realistici per una PMI

Prima di scegliere qualsiasi tool, due domande di business:

• RPO (Recovery Point Objective): quanto dato sei disposto a perdere? E’ la distanza temporale tra ultimo backup utile e incidente. RPO 24h: nel caso peggiore ti riporti indietro di un giorno.
• RTO (Recovery Time Objective): in quanto tempo devi tornare operativo? RTO 4h: entro 4 ore dal disastro i sistemi critici sono di nuovo accessibili.

Sono parametri economici, non tecnici. Una PMI manifatturiera con MES e linea ferma costa migliaia di euro/ora: un RTO di 24h puo’ essere insostenibile. Calcola il costo orario di downtime e confrontalo col costo dell’infrastruttura DR.

Valori tipici PMI italiana 2021:

• File condivisi: RPO 4h, RTO 8h;
• Email (Exchange/M365): RPO 1h, RTO 4h;
• ERP (TeamSystem, Zucchetti, SAP Business One): RPO 1h, RTO 4-8h;
• DB transazionali (SQL Server, PostgreSQL, MySQL): RPO 15 min con log shipping, RTO 2-4h;
• Workstation: RPO 24h, RTO 24h.

Tipologie di backup: full, incrementale, differenziale, synthetic full

Per dimensionare storage e finestre di backup, padroneggia le quattro modalita’:

• Full backup: copia integrale del dataset. Massima velocita’ di ripristino, massima occupazione. Tipicamente settimanale o mensile.
• Incrementale: copia solo i blocchi modificati dall’ultimo backup. Minima occupazione ma ripristino richiede l’ultimo full piu’ la catena completa.
• Differenziale: copia tutto cio’ cambiato dall’ultimo full. Ripristino richiede due elementi (ultimo full + ultimo differenziale).
• Synthetic full: il sistema combina l’ultimo full con gli incrementali per generare un nuovo full senza rileggere i dati di produzione. Supportato da Veeam, Commvault, Veritas NetBackup.

Lo schema piu’ diffuso e’ forever incremental con synthetic full settimanale: ogni notte un incrementale block-level, ogni domenica il sistema sintetizza un nuovo full ricombinando i blocchi sul repository. Veeam lo chiama “Forever Forward Incremental”; Acronis “Always Incremental”. La finestra notturna si riduce a minuti anche su VM da centinaia di GB.

I tre tier di storage: SSD locale, NAS, cloud cold

Per RPO bassi e retention lunghe con costi sostenibili, l’architettura standard nel 2021 e’ a tre livelli:

1. Tier 1 — SSD/NVMe locale: server fisico dedicato o volume SAN All-Flash. 2-4 settimane di restore point. Throughput > 1 GB/s. Permette Instant VM Recovery (Veeam) o Active Restore (Acronis): la VM ripartisce dal backup mentre i blocchi migrano in background. RTO: minuti.
2. Tier 2 — NAS: Synology RS-series, QNAP TS-h-series, o Linux con HDD enterprise in RAID-6/ZFS RAID-Z2. 3-6 mesi di retention. Costo per TB un decimo del Tier 1. Alimentato via Veeam Backup Copy Job.
3. Tier 3 — cloud cold/archive: AWS S3 Glacier Deep Archive, Azure Blob Archive, Wasabi, Backblaze B2. Retention 1-7 anni. Costo: 1-4 USD/TB/mese per Glacier Deep Archive, 5-6 USD/TB/mese per Wasabi.

Veeam Scale-Out Backup Repository (SOBR) automatizza il movimento tra tier: i backup recenti restano su SSD, dopo N giorni vengono offload sul NAS, dopo M giorni replicati sul Capacity/Archive Tier cloud.

Immutabilita’: S3 Object Lock, Veeam Hardened Repository, tape WORM

Cuore tecnico della 3-2-1-1-0. Le quattro implementazioni principali, tutte mature a fine 2021:

• S3 Object Lock Compliance: introdotta da AWS nel 2018, supportata da Wasabi, MinIO, Backblaze B2, Cloudflare R2. La modalita’ Compliance blocca il dato fino alla scadenza persino contro l’account root del tenant. Veeam B&R v11 (feb 2021) supporta S3 Object Lock come “Hardened Object Storage” e ne fa il default per i Capacity Tier.
• Veeam Hardened Repository (Linux): server Linux dedicato dove Veeam crea i file con flag chattr +i (immutable, ext4/XFS). Anche root non puo’ modificare prima della scadenza. Requisiti: account Veeam senza sudo, SSH disabilitato durante l’operativita’. Soluzione preferita per chi non vuole dipendere dal cloud.
• Tape LTO con WORM: LTO-7/8/9 (LTO-9 rilasciato a settembre 2021, 18 TB nativi) supportano WORM a livello hardware. Restano lo standard per archivi legali e PA. Costo: circa 80 EUR a nastro LTO-8.
• Azure Blob immutable policy: equivalente Microsoft con Time-Based o Legal Hold.

Configurazione tipica: backup giornalieri su SSD locale, Backup Copy Job verso Hardened Repository on-prem con immutability 14 giorni, capacity tier su Wasabi con S3 Object Lock 90 giorni. Anche compromettendo server Veeam e NAS, le copie su Wasabi e Hardened Repository restano intoccabili.

Test di ripristino: come si raggiunge lo “0 errori”

Il quinto pilastro della 3-2-1-1-0 e’ spesso il piu’ trascurato. Veeam Data Protection Trends 2021: il 58% delle organizzazioni testa i backup, ma solo il 33% lo fa almeno trimestralmente, di queste solo il 16% testa l’intero DR end-to-end. Il 14% scopre problemi solo al momento dell’incidente.

Le tecniche da implementare:

• Verifica automatica del job: a fine job il software calcola checksum di ogni blocco e lo confronta col sorgente. Veeam “Storage-level corruption guard”, Acronis “Backup validation”.
• Verifica application-aware: per SQL Server, Oracle, MySQL ed Exchange/M365 esegue VSS quiescing e transazioni di test (DBCC CHECKDB su SQL). Garantisce consistenza applicativa.
• Sandbox restore: Veeam SureBackup avvia in network isolato le VM ripristinate, heartbeat ping, login application, query test contro DB. Schedulabile settimanalmente.
• DR test reale: una volta a trimestre, ripristinare una VM in ambiente alternativo (cluster secondario, lab on-prem, AWS EC2 via Veeam Direct Restore to AWS) e validare end-to-end. Cronometrare RTO effettivo.

Esperienza: la prima volta che un cliente PMI esegue un DR drill scopre quasi sempre due-tre problemi non banali (driver di rete mancanti, password scadute, dipendenze AD che non risolvono in sandbox). Meglio a freddo che durante un incidente reale.

Backup VM, file-level e application-aware

Una PMI tipica ha tre categorie di workload:

• Image-level di VM: l’intero virtual disk (VMDK/VHDX/qcow2) letto a livello hypervisor (VADP per vSphere, RCT per Hyper-V, dirty block tracking per Proxmox/KVM). Veeam, Acronis, Nakivo, Altaro VM Backup operano cosi’. Ripristino bare-metal in minuti.
• File-level di workstation e file server: agent installato sull’OS, scansione di un percorso, invio dei soli file modificati. BorgBackup, Restic, Bacula, o agent commerciali (Veeam Agent for Windows/Linux, Acronis Cyber Protect agent).
• Application-aware: integrazione nativa con SQL Server, Exchange, Oracle RMAN, M365 via Graph API. Senza application-awareness il backup di un DB attivo e’ crash-consistent ma puo’ richiedere recovery procedures manuali.

Per M365 Microsoft applica il modello di responsabilita’ condivisa: garantisce l’infrastruttura, ma il backup dei dati e’ del cliente. Veeam Backup for Microsoft 365 (v6 a fine 2021), AvePoint, Spanning, Dropsuite sono i player principali. Senza backup terzo, un ransomware che cifra OneDrive supera la retention di Microsoft (90 giorni in cestino, poi nulla).

Confronto pratico: Veeam B&R v11a vs Acronis Cyber Protect vs Synology Active Backup

I tre tool che vale la pena valutare per una PMI italiana, tutti compatibili con la 3-2-1-1-0:

• Veeam Backup & Replication v11a (v11 feb 2021, v11a lug 2021 con Linux Hardened Repository migliorato e connettori AWS Outposts, GCS). Backup VM (vSphere, Hyper-V, Nutanix AHV, AWS, Azure, GCP) image-level con CBT/RCT, dedup globale, SOBR multi-tier, immutability Linux e S3, SureBackup, repliche VM. Listino: circa 750 EUR per 10 VM (Universal License). Adatto a PMI virtualizzate.
• Acronis Cyber Protect: piattaforma unificata backup + anti-malware (Active Protection con behavior detection) + patch management + URL filtering. Single agent backup + endpoint protection, ideale per MSP. Supporto M365 nativo. Licenza per posto. Adatto a flotte miste fisico+virtuale.
• Synology Active Backup for Business: gratuito (licenza inclusa col NAS), backup PC Windows, server fisici, VM vSphere e Hyper-V, M365, Google Workspace. Limite: repository solo NAS Synology. Vantaggio: zero costi di licenza, dedup eccellente (Btrfs con compressione), Hyper Backup come tier verso cloud (S3, Glacier, Azure, Wasabi, B2). Adatto a PMI piccole (5-30 utenti).

Menzione per Veritas NetBackup e Commvault in fascia enterprise, QNAP HBS3, Rubrik e Cohesity come appliance data management all-in-one. Open source: Bacula Enterprise (standard de facto nella PA italiana), BorgBackup + Ansible, Restic verso B2/Wasabi.

Cifratura at-rest e in-transit

Un backup immutabile ma in chiaro espone all’esfiltrazione: l’attaccante che non puo’ cancellare puo’ comunque leggere e pubblicare. Due livelli:

• In-transit: TLS 1.2 o superiore. Veeam, Acronis, Bacula nativi. Per repliche via WAN tra siti, tunnel IPsec o WireGuard sopra TLS come difesa in profondita’.
• At-rest: AES-256. Chiave master custodita separatamente dal repository — password manager enterprise (Bitwarden self-hosted, 1Password Business), HSM, AWS KMS o Azure Key Vault. Mai sul server di backup stesso.

Rotazione chiavi: policy almeno annuale, procedura di re-encryption documentata e testata in lab. La perdita della chiave master e’ equivalente alla perdita totale del backup.

Ransomware playbook: cosa fare nelle prime 4 ore

Avere la 3-2-1-1-0 e non sapere cosa fare nei primi minuti dell’incidente equivale a non averla. Un playbook minimo:

1. Isolare (T+0 a T+30 min): scollegare segmenti compromessi via ACL switch. Disabilitare sincronizzazione cloud (M365, OneDrive) per evitare propagazione dei file cifrati. Spegnere VM compromesse via console hypervisor. Mai pagare come prima mossa.
2. Contenere (T+30 min a T+2h): rotazione di tutte le credenziali privilegiate. Audit log di accesso al repository — l’immutability protegge i dati ma l’audit serve a capire se l’attaccante ha tentato la cancellazione.
3. Identificare (T+1h a T+4h): vettore d’attacco (phishing? RDP esposto? Log4Shell? supply chain via MSP come Kaseya?). MITRE ATT&CK, IOC da CISA e CERT-Nazionale italiano sono il punto di partenza. Notificare il Garante Privacy entro 72h se ci sono dati personali (GDPR art. 33).
4. Ripristinare (T+2h a T+24h): ambiente pulito — VLAN nuova, AD rigenerato se compromesso, AppLocker e MFA obbligatorio. Mai ripristinare nella stessa rete senza bonificarla. Restore prioritario: DC, servizi core (DNS, DHCP, AD CS), ERP, file server, workstation. Scansioni multi-engine a ogni step.
5. Lessons learned: post-mortem entro 30 giorni, retrospettiva, aggiornamento del playbook.

Errori comuni nelle PMI italiane

• NAS connesso al dominio AD: NAS joined al dominio e accessibile via SMB con account admin. Un attaccante che compromette il DC cancella tutto. Soluzione: account non-domain dedicato, IP whitelist, snapshot Btrfs/ZFS immutabili (Synology DSM 7+ supporta Snapshot Replication con WORM).
• “Cloud” senza immutability: bucket S3 standard o Dropbox Business. Senza Object Lock e’ un secondo NAS, perche’ le credenziali API sono sul server di backup compromesso.
• Workstation utente non protette: contengono Excel/Word locali, profili Outlook, dati commerciali. Un agent leggero (Veeam Agent free, Synology Active Backup, Acronis Cyber Protect Home) risolve.
• Mancanza di documentazione: il backup funziona finche’ c’e’ il sistemista che lo ha configurato. Investire in documentazione versionata (Wiki, Confluence, GitLab markdown) ha ritorno enorme.

Roadmap 60 giorni: implementazione in PMI

Calare la 3-2-1-1-0 in una PMI da 50 dipendenti (10 VM, due host VMware, NAS Synology) e’ un progetto da due mesi ben strutturato:

• Settimana 1 — Assessment: inventario workload (server, VM, workstation, M365, SaaS). Classificazione Tier 0/1/2, RPO/RTO firmati dal CdA. Audit del backup attuale. Mappa dei flussi GDPR.
• Settimana 2 — Architettura: scelta tool (Veeam B&R v11a + Hardened Repository Linux + Wasabi). VLAN dedicata, firewall rules, account di servizio. Dimensionamento storage Tier 1/2/3 sul FETB (Front-End TB) per restore point e fattore deduplica (2,5x conservativo).
• Settimana 3-4 — Tier 1 e Tier 2: install Veeam, primo full backup di tutte le VM, Linux Hardened Repository (Ubuntu 20.04 LTS, XFS, account veeam senza sudo, SSH disabilitato post-config). Backup Copy verso Hardened Repo con immutability 14 giorni.
• Settimana 5 — Tier 3 cloud: bucket Wasabi con S3 Object Lock Compliance, retention 90 giorni. SOBR Veeam con Capacity Tier offload dopo 14 giorni. Test rehydration su VM di prova.
• Settimana 6 — M365 e workstation: deploy Veeam Backup for Microsoft 365. Veeam Agent for Windows via GPO, repository su NAS.
• Settimana 7 — Cifratura e hardening: AES-256 su tutti i job. Chiavi master su password manager enterprise con 2FA. Hardening Veeam Server, audit log su syslog/SIEM (Wazuh self-hosted e’ una buona scelta).
• Settimana 8 — Test DR e documentazione: SureBackup settimanali. DR drill: ripristino completo DC, ERP, file server in sandbox. Cronometro RTO. Documentazione completa, handover formale.

Budget realistico (50 dipendenti, 10 VM, 5 TB): Veeam Universal 2.000-3.000 EUR primo anno; hardware Hardened Repository 4.000-6.000 EUR; Wasabi 10 TB con Object Lock circa 600 EUR/anno; backup M365 (50 caselle) circa 1.500 EUR/anno; consulenza 8.000-15.000 EUR. CAPEX iniziale: 14.000-25.000 EUR. OPEX annuo: 4.000-6.000 EUR. Confronta col costo medio di un incidente ransomware in PMI — Sophos State of Ransomware 2021 stima 169.000 USD di recovery — e l’investimento si ripaga al primo incidente sventato.

5 step di implementazione: il metodo Brentasoft

1. Assessment e classificazione workload: censimento di tutti i dati (server, VM, workstation, M365, SaaS), assegnazione RPO/RTO firmati dalla Direzione, identificazione di Tier 0 (mission-critical), Tier 1 (business-critical), Tier 2 (productivity).
2. Architettura a tre tier: SSD locale per ripristino veloce (2-4 settimane), NAS o Hardened Repository per medio termine (3-6 mesi), cloud cold storage con Object Lock per long-term (1-10 anni). Job di Backup Copy automatici tra tier.
3. Immutability + cifratura: almeno una copia immutabile (Veeam Hardened Repository, S3 Object Lock, tape WORM) con retention minima 14 giorni. AES-256 in-transit e at-rest, chiavi master in vault separato dal server di backup.
4. Test ripristino periodici: SureBackup o equivalente settimanale, DR drill completo trimestrale, post-mortem documentato. Validare RTO effettivo vs target.
5. Documentazione e formazione: runbook ransomware, playbook di restore, escalation matrix, password vault references. Almeno due persone in azienda devono conoscere la procedura completa.

FAQ — Domande frequenti sulla strategia 3-2-1-1-0

1. La 3-2-1-1-0 sostituisce la 3-2-1 classica?

Non la sostituisce, la estende. La 3-2-1 resta la base (tre copie, due supporti, una off-site) ma da sola non protegge contro ransomware moderni che cercano e cancellano i backup. Il “+1” immutabile e lo “+0” del test ripristino aggiungono la difesa anti-cancellazione e la prova di funzionamento.

2. Bastano gli snapshot di Synology o VMware al posto del backup?

No. Snapshot e backup sono strumenti complementari. Lo snapshot e’ un puntatore a uno stato precedente del filesystem, vive sullo stesso storage del dato originale. Il backup e’ una copia indipendente, su storage separato, idealmente immutabile. Gli snapshot Synology con immutability (WORM disponibile in DSM 7+) sono una buona prima difesa di prossimita’, ma non sostituiscono il backup off-site.

3. Quanto deve durare la retention dell’immutability?

Almeno il dwell time medio di un’intrusione, piu’ margine. Il dwell time medio 2021 secondo Mandiant M-Trends e’ 24 giorni. Una retention immutabile di 14-30 giorni e’ il minimo difensivo: meno, e l’attaccante potrebbe persistere oltre la scadenza prima di scatenare il payload. Per compliance fiscale italiana si distinguono retention legale (10 anni per registri contabili) e retention immutability tecnica.

4. Cosa significa “Veeam Hardened Repository” e perche’ Linux?

E’ un repository su server Linux dove Veeam scrive i backup con flag chattr +i (immutable). Linux e’ richiesto perche’ la feature usa attributi ext4/XFS che Windows non supporta nativamente. Il server va configurato senza accesso SSH durante l’operativita’, con un account dedicato senza sudo. Anche un attaccante con root non puo’ cancellare i file di backup prima della scadenza.

5. Devo per forza usare il cloud? Posso restare tutto on-prem?

Si’, puoi restare on-prem. La 3-2-1-1-0 non prescrive il cloud, prescrive l’off-site e l’immutabilita’. Configurazione on-prem valida: Tier 1 SSD in sede principale, Tier 2 Hardened Repository in sede secondaria via fibra dedicata, Tape WORM LTO-8 in cassetta di sicurezza fuori sede ruotati settimanalmente.

6. Veeam, Acronis o Synology Active Backup per una PMI da 30 dipendenti?

Dipende dall’infrastruttura. Virtualizzata su vSphere o Hyper-V con 5-15 VM: Veeam B&R, Universal License da 10 VM. Flotta mista fisica+virtuale con esigenza di endpoint protection: Acronis Cyber Protect. Poche VM, prevalentemente file server e workstation, NAS Synology gia’ in casa: Active Backup for Business gratuito copre l’80% dei casi d’uso.

7. Cosa fare se l’attaccante ha gia’ compromesso il server di backup?

L’immutabilita’ fa la differenza. Se hai configurato S3 Object Lock Compliance o Veeam Hardened Repository, le copie li’ sono salve anche se il server Veeam centrale e’ compromesso. Procedura: ricostruisci il Veeam Backup Server in ambiente pulito (nuova VM, nuovo OS, password admin diversa), importi il backup dal repository immutabile (Veeam supporta “Re-scan repository” che ricostruisce il catalogo dalle metadata), e procedi al ripristino. Tipico tempo di recovery del Veeam Server: 2-4 ore. Senza immutabilita’: zero recovery.