Un tempo le organizzazioni consideravano i backup come una polizza assicurativa contro la perdita, il furto o il danneggiamento dei dati. Gli attacchi informatici hanno cambiato questo concetto e ora i backup sono la polizza assicurativa definitiva contro gli attacchi informatici, ma sono anche molto di più. Sono la postazione più logica in cui collocare la scansione delle vulnerabilità e i penetration test, dato il tributo che questi richiedono ai sistemi in funzione. A spiegare i motivi di questo ruolo inusuale dei backup è James Blake, CISO per l’area EMEA di Cohesity, che consiglia ai CISO di utilizzare i backup per contribuire a soddisfare i due compiti cruciali propri del loro lavoro: proteggere i dati e i sistemi dell’organizzazione e ripristinare i sistemi dopo un attacco. Sono anche una fonte di informazioni che aiuta la governance dei dati e le operazioni di sicurezza.

Pentest e scansione delle vulnerabilità

Un approccio tipico nella scansione delle vulnerabilità è quello di scansionare attivamente i sistemi di produzione attraverso una rete. Ciò incide sulle prestazioni della produzione, richiede di superare i firewall per consentire l’accesso e spesso fa sì che le credenziali di accesso restino su un altro sistema. Le parti periferiche della rete, quelle che spesso rappresentano il “paziente zero” in qualsiasi attacco, potrebbero non essere mai scansionate.

Allo stesso modo, nei penetration test, le organizzazioni spesso esitano a lasciare che i tester vadano a fondo nei loro ambienti di produzione, per timore che causino un’interruzione o una riduzione delle prestazioni. Le piattaforme di simulazione delle violazioni e degli attacchi e di convalida continua dei controlli sono molto utili, ma possono anche avere un impatto sugli ambienti di produzione. Un altro esempio è la data discovery, simile alla scansione delle vulnerabilità, in cui è necessario superare i firewall e le credenziali di sistema memorizzate in un sistema di terze parti, o distribuire agent per scoprire dove risiedono i dati sensibili e regolamentati.

James Blake, CISO per l’area EMEA di Cohesity

Un cambio di paradigma

Esiste un’alternativa migliore alla scansione delle vulnerabilità e ai penetration test sulla rete e consiste nel concentrare il lavoro su un digital twin, un gemello digitale del backup degli ambienti di produzione. Ciò può aiutare le organizzazioni a svolgere un lavoro più approfondito, ridurre le spese generali sui sistemi in funzione, ottenere una detection migliore e più rapida e ripristinare un backup pulito e non compromesso nel caso in cui un attacco vada a segno.

Ogni organizzazione può creare il numero di digital twin che gli occorrono, ottenendo notevoli vantaggi. Per esempio, utilizzando un singolo clone di backup in esecuzione su una macchina virtuale, molti penetration tester possono attaccare su diverse istanze in parallelo senza influenzarsi a vicenda. Le piattaforme di simulazione di violazioni e attacchi e di convalida continua dei controlli sono libere di colpire più copie della produzione, per identificare i punti deboli e i punti di forza dei controlli implementati. Con molti test simultaneamente in esecuzione i risultati si ottengono più rapidamente, si conosce prima il potenziale di intrusione e le correzioni possono essere applicate velocemente ai sistemi in funzione.

Focus sui file eseguibili

C’è un altro motivo per cui lavorare nell’ambiente di backup ha un grande vantaggio. I file eseguibili sono i preferiti dai cyber criminali: possono rimanere su un sistema per settimane o anche più a lungo, senza essere rilevati, e qui possono replicarsi, crittografare file, inviare dati a terzi e altro ancora. Nel momento in cui si viene a conoscenza di un attacco ransomware, gli attaccanti potrebbero già essere in possesso di informazioni cruciali che possono minacciare di pubblicare se la vittima non paga.

Se si lavora con dati primari, è molto probabile che qualsiasi operazione di rimozione dei file eseguibili metta in allarme l’attaccante, che si precipiterà a bloccare o eliminare i dati. Inoltre, i file eseguibili sono stati sottoposti a backup insieme a tutto il resto, quindi qualsiasi ripristino riporta semplicemente a uno stato in cui il file eseguibile o la vulnerabilità sono ancora presenti, il che significa che l’attacco può ripartire.

Lavorare con i backup significa poter guardare indietro nel tempo, vedere quando il file eseguibile è apparso per la prima volta, individuarlo e rimuoverlo. Se l’eseguibile ha iniziato a svolgere il suo lavoro e si sta replicando ma è nascosto, è possibile identificare la relativa attività e adottare misure correttive. Con un backup privo del payload dell’autore del ransomware, il CISO può autorizzare il ripristino con la certezza che l’attacco non potrà ripartire.