James Blake, CISO per l’area EMEA di Cohesity, evidenzia la necessità di ripensare la tradizionale sequenza “protezione – rilevazione – risposta – ripristino”, adottando un approccio data-centric alla resilienza informatica
La maggior parte dei CISO riserva l’80% del budget all’attenuazione della probabilità di un attacco informatico e il 20% alla mitigazione del reale impatto, secondo una recente Cyber security survey di Deloitte. Il rapporto rivela che solo l’11% del budget è destinato alla risposta agli incidenti, al disaster recovery e alla sicurezza delle infrastrutture. Invece di illudersi di poter ottenere una sicurezza informatica totale, l’attenzione dovrebbe spostarsi sulla resilienza informatica operativa, in modo che le organizzazioni possano rispondere efficacemente agli attacchi e resistervi. Le misure preventive sono importanti, ma non sono decisive quando un’organizzazione si trova a dover combattere una minaccia informatica. È, invece, assolutamente necessario guardare in modo nuovo alla tradizionale sequenza “protezione – rilevazione -risposta – ripristino”.
Abbondanza di tecnologia e mancanza di processi
Vale la pena di riflettere per un momento su come le organizzazioni affrontano il recovery dopo un attacco ransomware. È scoraggiante vedere come spesso il pubblico senta parlare di scenari in cui la risposta di un’organizzazione a un immaginario attacco ransomware è il tentativo di utilizzare processi e tecnologie di business continuity e disaster recovery costruiti per scenari di maltempo, perdita di energia o errata configurazione. Questi scenari tradizionali di business continuity e disaster recovery non sono adatti agli scenari informatici in cui gli sforzi di ripristino tecnologico sono attivamente mirati. Al contrario, le organizzazioni devono procedere al recovery per indagare innanzitutto su come si è manifestato l’attacco e su quali vulnerabilità sono state sfruttate, in modo da porvi rimedio rafforzando al contempo la difesa. Infine, tutti le conseguenze dannose dell’attacco devono essere rimosse dall’ambiente sottoposto a recovery. Solo allora i sistemi ripristinati potranno essere rimessi in produzione.
Le tempistiche tradizionali per il Recovery Time Objectives sono molto diverse nel recovery informatico: se si ripristina senza prima capire come si è stati attaccati, come sono state aggirate le difese, chiudendo la superficie di attacco e rimuovendo tutte le tracce dell’attaccante, è probabile che si continui a essere colpiti. Al tempo in cui i CISO dovevano occuparsi solo di tre impatti secondari degli incidenti – danni alla reputazione, controversie legali e multe normative – questo tipo di strategia di risposta poteva essere tollerata.
Molte organizzazioni dispongono di un’abbondante tecnologia di sicurezza protettiva e investigativa, ma mancano di un processo che porti a un basso livello di operatività e integrazione. Questa situazione veniva tollerata quando gli impatti erano perdite secondarie. Ma ora, quando un’organizzazione si trova ad affrontare perdite primarie che crescono esponenzialmente nel tempo, è necessario raggiungere la resilienza potenziando le soluzioni di sicurezza esistenti con un migliore contesto dei dati e dei file e riunendo i tradizionali silos dei team e delle tecnologie IT e di sicurezza.
Un focus data-centric per la resilienza informatica
Per raggiungere questo obiettivo, l’organizzazione dovrebbe adottare un approccio data-centric sulla resilienza informatica, assicurando che i dati provenienti dai diversi ambienti di elaborazione e archiviazione vengano riuniti per fornire le capacità di governance, rilevamento, risposta e ripristino necessarie per raggiungere un livello elevato di resilienza.
Dopo tutto, sono i dati che guidano l’azienda, quelli che i cyber-criminali vogliono rubare, criptare o cancellare e quelli che sono soggetti a obblighi di compliance. Parallelamente, l’infrastruttura tecnologica sta diventando una commodity, con orchestrazione, cloud e virtualizzazione ora facilmente accessibili per aiutare le organizzazioni a gestire e proteggere i dati. Qualsiasi approccio per riunire questi dati e fornire capacità di governance, rilevamento, risposta e ripristino dovrebbe essere in grado di supportare il più ampio ecosistema di sicurezza e IT attraverso l’integrazione e l’orchestrazione.
Essere resilienti significa essere in grado di resistere a tutte le possibili minacce: incendi, inondazioni, uragani, configurazioni errate, ransomware, attacchi wiper e molte altre eventualità. La capacità di ripristinare il normale servizio con impatti e costi minimi è fondamentale.
Vantaggi aggiuntivi – pratici e finanziari
Una volta che un’organizzazione decide di adottare un approccio data-centric alla resilienza informatica, si possono ottenere molti altri vantaggi, oltre a quelli legati al recovery da un attacco informatico o a tempi di inattività causati da altre ragioni.
I silos vengono eliminati, creando condizioni di parità per coloro che devono accedere e utilizzare i dati e supportando la collaborazione remota e l’ottimizzazione dello storage. I dati possono diventare pronti per una ricerca e un utilizzo più solidi e fruttuosi da parte dell’Intelligenza Artificiale e di altri strumenti:
- La compliance è facilitata perché la scoperta può essere semplificata.
- La risposta agli incidenti, la forensics e la protezione sono semplificate: i diversi workload possono essere affrontati con gli stessi team e gli stessi strumenti, indipendentemente dal fatto che si tratti di cloud, virtual, on-premise o ibrido; il triage e le indagini possono essere prioritizzati in base ai dati sensibili o regolamentati scoperti sui sistemi tramite la scansione all’interno degli snapshot;
- le tempistiche degli incidenti possono essere ricostruite utilizzando gli snapshot scattati nel tempo a partire dai sistemi compromessi e i file system storici possono essere scandagliati alla ricerca di indicatori di compromissione.
Una volta che queste piattaforme incentrate sui dati vengono integrate nelle operazioni di sicurezza, la maggiore efficacia ed efficienza della risposta e del recovery consentono di migliorare la resilienza informatica.
Anche la protezione è resa meno complessa, in quanto è possibile clonare i server di produzione per il ripristino, per la simulazione delle violazioni e degli attacchi, per i test di penetrazione e per la scansione delle vulnerabilità. La possibilità di clonare i dati consente di effettuare test e sviluppi robusti sulla sicurezza delle applicazioni, utilizzando set di dati che si avvicinano il più possibile a quelli reali, senza essere effettivamente tali.
Tutto questo si traduce in un approccio che offre resilienza ai tradizionali scenari di disaster recovery, nonché agli incidenti informatici e alla gestione semplificata dei dati. Per sua natura, questo approccio avvicina i team di Cybersecurity e IT e può portare ulteriori vantaggi all’organizzazione sul piano dei dati. Anche se non eliminerà tutte le minacce di attacco informatico, un approccio basato sulla resilienza dovrebbe aiutare le organizzazioni a rimettersi in piedi molto più rapidamente in caso di attacco.
