La domanda sulle violazioni di sicurezza che ci poniamo non è più “se” avverranno, ma “quando”: il parere di James Hughes, Enterprise CTO EMEA, Rubrik.
La pandemia di Covid-19 ha visto emergere minacce alla sicurezza sempre più sofisticate, opera di cyber criminali sempre più sicuri di sé. Le loro vittime sono state colte di sorpresa a causa di carenze nella gestione complessiva della sicurezza dovute al lavoro a distanza, all’ampliamento dei perimetri, al panico e all’incertezza. Abbiamo un ambiente in cui non solo ransomware, phishing e altri attacchi di social engineering possono prosperare. Ma dove i fallimenti delle soluzioni di sicurezza sono diventati inevitabili al pari delle violazioni, indipendentemente da quanto tempo, energia o denaro ci si investa, una dura realtà la cui certezza è comparabile alla morte e alle tasse.
Le violazioni della sicurezza
Questo però non significa che, di fronte a queste evenienze, non si possano proteggere i propri dati. Anzi, avere la capacità di farlo in modo efficace potrebbe decidere come, e se, un’azienda si riprenderà da un security breach. Il destino delle organizzazioni moderne dipende proprio dalle modalità con cui sapranno mettere al sicuro i loro dati in una crisi di questo tipo. All’indomani di un attacco ransomware, le vittime o affondano o nuotano; la differenza fondamentale tra i due risultati è tipicamente una forte strategia di business continuity costruita intorno al concetto di Zero Trust.
La nascita dello Zero Trust
Il mondo odierno ha bisogno di un nuovo modo di guardare alla sicurezza: lo Zero Trust, un concetto riassumibile nell’esempio seguente. Quando si vive soli e si torna a casa alla fine della giornata, aprendo la porta d’ingresso ci si aspetta che non ci sia nessuno ad attenderci, ma cosa succederebbe se non fosse così? E se un giorno un intruso ci cogliesse di sorpresa? Se questo succedesse, ogni volta che si tornerà a casa e si aprirà la porta, si sarà in stato di massima allerta. Partendo dall’idea che qualcuno possa essersi introdotto in casa. Come comportarsi diversamente e quali misure adottare per assicurarsi di essere al sicuro? Pensando alla rete come se fosse una casa, è dunque facile capire il nocciolo della questione.
Come difendersi dagli intrusi?
Supponendo che gli intrusi siano già presenti nella rete, il primo passo ovvio sarebbe quello di valutare il rischio percepito e capire chi può aver violato il perimetro. Da qui, ci si rivolge ai backup, assicurandosi che tutti i dati critici rimangano salvati, puliti e recuperabili in caso di sottrazione e ricatto. Infine, quando si è sicuri di essere in grado di superare queste falle nella sicurezza con dei backup intatti, si agisce. Poterlo fare in modo efficace costituirà la differenza tra un processo di recovery rapido e senza grossi problemi e un costoso e dannoso downtime.
Cinque passaggi per assicurarsi di essere pronti alle violazioni di sicurezza
Naturalmente, non serve a nulla pensare a tutto ciò a posteriori. Le aziende più avvedute avranno preventivamente seguito i seguenti step per assicurarsi di essere pronte ad agire nel momento in cui le loro soluzioni di sicurezza falliscono:
- Essere preparati: prima di qualsiasi avvenimento reale, assicurarsi di aver anticipato lo scenario peggiore e di aver lavorato a ritroso da lì.
- Iniziare con la prevenzione: utilizzando soluzioni di terze parti, appurare che l’azienda sia pronta a fermare le minacce prima che possano fare seri danni.
- Concentrarsi sulla visibilità: come per la prevenzione, strumenti personalizzati progettati per rilevare il ransomware e altri attacchi nel momento in cui fanno breccia nel proprio perimetro sono fondamentali se si intende identificare e rimuovere rapidamente la minaccia.
- Valutare, valutare, valutare: di fronte a una violazione dovuta al fallimento delle soluzioni di sicurezza, essere decisi nell’identificare e dare priorità ai dati mission-critical che devono essere ripristinati.
- Ripartire: una volta che la minaccia è stata effettivamente rimossa, ripristinare i dati e continuare con il business as usual, assicurandosi di avere una soluzione di backup immutabile, tale che i dati non possano essere riscritti o modificati dagli aggressori.
Essere pronti per respingere le violazioni della sicurezza
Questi passi, insieme a una moderna soluzione di disaster recovery abbastanza sofisticata da iniziare a orchestrare il recupero nel momento in cui le proprie soluzioni di sicurezza falliscono, assicurano la ripresa, qualsiasi cosa succeda. Ma come si fa a trovare la soluzione giusta?
La battaglia del data recovery
Se gli attacchi ransomware si sono evoluti e la loro capacità di causare autentici disastri IT è stata dimostrata, le tradizionali soluzioni di data recovery non hanno tenuto completamente il passo. Perciò ora si trovano di fronte alla necessità di estendere il loro raggio d’azione per includere elementi di resilienza informatica. Perché questo accada, c’è bisogno di una più stretta integrazione tra le soluzioni di disaster recovery e le capacità di rilevamento del ransomware. In modo che, al momento della sua identificazione, venga immediatamente attivato il failover verso un data center secondario o nel cloud.
Mettere i dati al sicuro è una priorità
Questa risposta automatizzata al ransomware garantisce che i dati siano al sicuro e pronti all’uso quando un sistema di sicurezza fallisce grazie all’immutabilità. Caratteristica inesistente nelle soluzioni tradizionali di recupero dati. Questo significa che tutti i dati che passano attraverso la piattaforma vengono memorizzati in modo immutabile, impedendo alle operazioni esterne o interne di modificare quei dati in qualsiasi modo. I dati immutabili non possono essere infettati, non possono essere crittografati a posteriori. Sono quindi immuni da ransomware e altre attività malevole o errori amministrativi. Fornendo una terza copia sicura e sempre aggiornata dei dati che è diventata sempre più importante per molte organizzazioni.
La maggior parte delle soluzioni tradizionali di recupero dati, di solito applicazioni standalone, tuttavia non sono in grado di gestire eventi ransomware e richiedono un’infrastruttura separata, un software complesso e un set di competenze specializzate per dimostrarsi utili. Di conseguenza, questi sistemi finiscono per costituire un ulteriore aggravio su risorse, energia e costi.
Le violazioni della sicurezza
Al contrario, le moderne piattaforme di protezione dei dati si integrano perfettamente con gli scenari tecnologici preesistenti. Migliorando continuamente con la crescita e l’espansione dei workload, ed eliminando quindi la necessità di hardware aggiuntivo, software costosi e operazioni IT articolate e complesse. Il risultato è una soluzione di disaster recovery e risposta al ransomware, che porta con sé una riduzione dei tempi di inattività e dello stress per tutti, oltre che una sensibile diminuzione delle perdite per l’organizzazione.