Indice dei contenuti
La resilienza informatica è qualcosa che le aziende danno per scontata, spesso sbagliando. Se molte hanno investito in modo significativo in misure di difesa tese a tenere lontani i malintenzionati, hanno speso molto meno tempo e denaro per prepararsi a ciò che accade se i criminali riusciranno ad accedervi. E ce la faranno.
Con l’uso sempre più diffuso dell’intelligenza artificiale, gli hacker stanno migliorando la loro capacità di infiltrarsi nelle reti aziendali, con violazioni che hanno conseguenze sempre più gravi. Per questo, le aziende devono modificare le loro strategie mettendo in primo piano come ripristinare rapidamente e in modo sicuro dopo un incidente informatico.
Per decenni le imprese hanno potuto gestire con fiducia ambienti IT resilienti. In linea di massima, erano in grado di proteggere a sufficienza le loro preziose risorse tecnologiche di cyber criminali, semplicemente bloccando i pochi punti di accesso disponibili. Inoltre, se l’azienda disponeva di un sistema di ripristino, in caso di interruzione, – una catastrofe naturale o altri eventi che mettevano offline i servizi – solitamente non aveva problemi a tornare in funzione.
Ma il panorama è cambiato radicalmente. L’ascesa del cloud ha reso obsoleto il concetto di perimetro di sicurezza. Con la continua esplosione del numero di applicazioni digitali, gli ambienti IT diventano più complessi e di vasta portata, con i dipendenti che in media si trovano a utilizzare più di 35 strumenti software in una tipica giornata lavorativa. L’intelligenza artificiale sta dando agli hacker un ulteriore grande vantaggio rispetto ai loro obiettivi aziendali, molti dei quali non sanno ancora come impiegarla per difendersi.
Con la velocità e la portata degli attacchi che superano la capacità delle aziende di tenere il passo, le ricadute stanno diventando molto più gravi. Il costo medio di una violazione è stimato in circa 5 milioni di dollari, senza dimenticare il potenziale danno alla reputazione. Nel frattempo, le società quotate devono fare i conti con i nuovi regolamenti di divulgazione delle violazioni emessi da agenzie federali, come la SEC, che stanno portando la questione della sicurezza informatica a livello di consiglio di amministrazione.
A fronte di queste sfide, le aziende devono gestire operazioni IT più resilienti e assicurarsi di essere effettivamente preparate a un attacco informatico. Ma il requisito più importante è la creazione di una strategia di difesa più solida, incentrata sulla protezione dei dati di backup. Quando si verifica l’inevitabile violazione, un’azienda deve essere in grado di rispondere con un ripristino dei dati rapido, completo e pulito.
Il backup non garantisce automaticamente il ripristino
Complessivamente, il mercato della cybersecurity è cresciuto fino a superare i 200 miliardi di dollari l’anno, ma solo un piccolo segmento si concentra attualmente sul cosiddetto cyber recovery.
In passato, il recupero dei dati dopo un’interruzione di rete o un disastro naturale era semplice: le aziende andavano a ricercare il backup più recente dei dati e lo utilizzavano come punto di partenza per ripristinare le operazioni. Ma cosa succede quando gli hacker si infiltrano nei dati di backup, come accade sempre più spesso? E come fanno le aziende a sapere se nei loro backup vengono replicati dati infetti? Questi fattori rendono molto più difficile il ripristino.
Sebbene i cyberattacchi sembrino accadere all’improvviso, la maggior parte è in corso da mesi. In media, secondo uno studio IBM, i malintenzionati si muovono all’interno dei sistemi per ben 277 giorni prima di essere individuati. E mentre sono in silenzio, installano ransomware o altre minacce cyber in ambienti critici, compresi i dati di recovery.
In effetti, ora il 93% degli attacchi ransomware è rivolto agli archivi di backup. Se oggi, la maggior parte delle aziende conserva i dati per una media di soli 45 giorni, questo comporta spesso un grande divario temporale tra dati puliti e quelli potenzialmente infetti.
Quando gli hacker sono pronti a colpire, generalmente fanno sentire la loro presenza. Naturalmente, l’azienda si affretta a recuperare le informazioni, ma così facendo può scatenare il ransomware in agguato e infettare l’ambiente di produzione in modo ancor più esteso. Ora i malintenzionati sono ovunque e le loro attività sono appena peggiorate.
Ecco perché investire in strumenti migliori di ripristino e assicurarsi che i dati di backup siano sicuri è un aspetto importante, almeno quanto la prima linea di difesa.
Investire nel cyber recovery, integrandolo
Quali sono quindi gli strumenti e i processi necessari per rispondere e riprendersi efficacemente da un attacco?
Storicamente, le aziende che desiderano un luogo sicuro in cui ripristinare i dati dopo un attacco hanno costruito un proprio dark site, un’iniziativa costosa anche per le organizzazioni più avanzate dal punto di vista tecnico. L’alternativa più tradizionale era quella di nascondere i dati di backup in qualche luogo nel proprio ambiente cloud e sperare in bene. Oggi, invece, le aziende possono investire in piattaforme sottostanti che rendono più facile ed economico creare e testare ambienti di backup sicuri. In questo modo, in caso di incidente, le aziende possono tornare rapidamente online.
Nel frattempo, chi intende proteggere i propri dati di backup dovrebbe adottare la cosiddetta strategia “3, 2, 1”, che prevede che le aziende conservino tre copie dei loro dati. Almeno due di questi repository dovrebbero essere conservati in luoghi separati di cui uno “air gapped”, cioè separato e sicuro nel cloud, in un centro offline a cui possono accedere solo pochi dipendenti accreditati.
In questo modo, quando il CISO stabilisce che è in corso un incidente cyber e lancia l’allarme, i team responsabili del ripristino dispongono di un ambiente sicuro su cui eseguire il backup. Questo archivio pulito è prezioso anche a scopo di convalida, in particolare quando il team effettua un audit di tutti i sistemi IT, in genere due volte all’anno, per rilevare eventuali anomalie e garantire che l’azienda sia conforme alle normative sulla sicurezza informatica.
Troppo spesso, però, chi è responsabile del ripristino lo scopre solo molto tempo dopo il rilevamento di una violazione. Questo perché le aziende tendono ancora a considerare la sicurezza di competenza del CISO, mentre backup e ripristino dei dati sono affidati ai team IT che riportano al CIO. Pertanto, la notizia di una violazione potrebbe non arrivare abbastanza velocemente al team di recovery.
Oggi, i team di sicurezza e ripristino non possono operare in silos separati. Oltre ad apportare modifiche organizzative per garantire comunicazione e collaborazione, le aziende possono adottare moderni strumenti di ripristino che si integrano con importanti tecnologie attigue, come i sistemi di Security Information Management (SIM) e Security Orchestration, Automation and Response (SOAR), consentendo di avvisare i team di ripristino nel momento in cui viene rilevata un’attività sospetta nell’ambiente di produzione.
L’intelligenza artificiale sta cambiando la situazione. Mentre le aziende studiano la tecnologia, gli hacker ne fanno già uso per amplificare le loro tattiche di successo. Il panorama delle minacce è semplicemente troppo grave per adottare la stessa strategia di backup che poteva essere sufficiente un decennio fa. Il ripristino deve diventare una considerazione di sicurezza importante per le aziende, tanto quanto la protezione e il rilevamento delle violazioni.
Collegando il team e la tecnologia di recovery con il resto della sicurezza, le aziende saranno operative molto più rapidamente dopo gli incidenti, con la garanzia che gli ambienti di backup rimangano protetti dall’assalto continuo degli attacchi digitali. E questa è la vera resilienza.
