Nessuna soluzione di cybersecurity può impedire che si verifichi un attacco. Quelle valide possono minimizzarne l’impatto, che è già un successo. Quando i decision maker delle aziende pianificano i propri investimenti dovrebbero tenere conto di questa dura realtà. Cosa che non fanno, alla luce della recente Cyber security survey di Deloitte, da cui emerge che la maggior parte dei CISO riserva l’80% del budget all’attenuazione della probabilità di un attacco informatico e solo il 20% alla mitigazione del reale impatto.

Il dato tradisce la tendenza a illudersi di poter ottenere una sicurezza informatica totale. Quando invece gli investimenti dovrebbero concentrarsi sulla resilienza informatica operativa, in modo da poter rispondere efficacemente agli attacchi e resistervi. Tuttavia, all’incident response, al disaster recovery e alla sicurezza delle infrastrutture è destinato solo l’11% del budget. Sul tema è intervenuto James Blake, CISO per l’area EMEA di Cohesity, di cui riportiamo il commento.

Abbondanza di tecnologia e mancanza di processi

Vale la pena riflettere per un momento su come le organizzazioni affrontano il recovery dopo un attacco ransomware: spesso facendo uso di processi e tecnologie di business continuity e disaster recovery costruiti per scenari di calamità naturali, mancanza di energia o errata configurazione. Tutte opzioni che non sono adatte agli scenari informatici, che richiedono invece una indagine per comprendere come si è manifestato l’attacco e quali vulnerabilità ha sfruttato, e solo in un secondo momento la bonifica dei sistemi e il ripristino per la ripresa dell’operatività.

James Blake, CISO per l’area EMEA di Cohesity

Pare quindi evidente che le tempistiche tradizionali per il Recovery Time Objectives sono molto diverse nel recovery informatico: se si ripristina senza prima capire come si è stati attaccati, come sono state aggirate le difese, chiudendo la superficie di attacco e rimuovendo tutte le tracce dell’attaccante, è probabile che si continui a essere colpiti. La vecchia strategia di risposta poteva essere tollerata al tempo in cui i CISO dovevano occuparsi solo di tre impatti secondari degli incidenti: danni alla reputazione, controversie legali e multe normative.

Oggi lo scenario è cambiato e molte organizzazioni si trovano ad affrontare perdite primarie che crescono esponenzialmente nel tempo. Per questo è necessario raggiungere la resilienza potenziando le soluzioni di sicurezza esistenti con un migliore contesto dei dati e dei file e attuando una forte collaborazione fra team IT e di sicurezza.

Un focus data-centric per la resilienza informatica

Per raggiungere questo obiettivo, l’organizzazione dovrebbe adottare un approccio data-centric sulla resilienza informatica, assicurando che i dati provenienti dai diversi ambienti di elaborazione e archiviazione vengano riuniti per fornire le capacità di governance, rilevamento, risposta e ripristino necessarie per raggiungere un livello elevato di resilienza.

Dopo tutto, sono i dati che guidano l’azienda, quelli che i cybercriminali vogliono rubare, criptare o cancellare, e che sono soggetti a obblighi di compliance. Parallelamente, l’infrastruttura tecnologica sta diventando una commodity, con orchestrazione, cloud e virtualizzazione ora facilmente accessibili per aiutare le organizzazioni a gestire e proteggere i dati. Qualsiasi approccio per riunire questi dati e fornire capacità di governance, rilevamento, risposta e ripristino dovrebbe essere in grado di supportare il più ampio ecosistema di sicurezza e IT attraverso l’integrazione e l’orchestrazione.

Essere resilienti significa essere in grado di resistere a tutte le possibili minacce: incendi, inondazioni, uragani, configurazioni errate, ransomware, malware wiper e molte altre eventualità. La capacità di ripristinare il normale servizio con impatti e costi minimi è fondamentale.

Vantaggi pratici e finanziari

Una volta che un’organizzazione decide di adottare un approccio data-centric alla resilienza informatica, si possono ottenere molti altri vantaggi, oltre a quelli legati al recovery da un attacco informatico o a tempi di inattività causati da altre ragioni.

I silos vengono eliminati, creando condizioni di parità per coloro che devono accedere e utilizzare i dati e supportando la collaborazione remota e l’ottimizzazione dello storage. I dati possono essere pronti per una ricerca e un utilizzo più solidi e fruttuosi da parte dell’Intelligenza Artificiale e di altri strumenti:

• La compliance è facilitata perché la scoperta può essere semplificata.
• La risposta agli incidenti, le indagini forensi e la protezione sono semplificate: i diversi workload possono essere affrontati con gli stessi team e gli stessi strumenti, indipendentemente dal fatto che si tratti di cloud, virtual, on-premise o ibrido; il triage e le indagini possono essere prioritizzati in base ai dati sensibili o regolamentati scoperti sui sistemi tramite la scansione all’interno degli snapshot;
• le tempistiche degli incidenti possono essere ricostruite utilizzando gli snapshot scattati nel tempo a partire dai sistemi compromessi e i file system storici possono essere scandagliati alla ricerca di indicatori di compromissione.

Una volta che queste piattaforme incentrate sui dati vengono integrate nelle operazioni di sicurezza, la maggiore efficacia ed efficienza della risposta e del recovery consentono di migliorare la resilienza informatica.

Anche la protezione diventa meno complessa, in quanto è possibile clonare i server di produzione per il ripristino, per la simulazione delle violazioni e degli attacchi, per i test di penetrazione e per la scansione delle vulnerabilità. Si possono inoltre effettuare simulazioni più credibili sulla sicurezza delle applicazioni, utilizzando set di dati che si avvicinano il più possibile a quelli reali, senza essere effettivamente tali.

Tutto questo si traduce in un approccio che offre resilienza ai tradizionali scenari di disaster recovery, nonché agli incidenti informatici e alla gestione semplificata dei dati. Per sua natura, questo approccio avvicina i team di Cybersecurity e IT e può portare ulteriori vantaggi all’organizzazione sul piano dei dati. Anche se non eliminerà tutte le minacce di attacco informatico, un approccio basato sulla resilienza dovrebbe aiutare le organizzazioni a rimettersi in piedi molto più rapidamente in caso di attacco.

James Blake è CISO per l’area EMEA di Cohesity