Nell’articolo che vi proponiamo oggi, Manlio De Benedetto, Senior Director Sales Engineering EMEA di Cohesity, spiega perchè i tempi di reazione sono sempre più centrali nell’adozione delle strategie vincenti e indica un nuovo modello di sicurezza informatica.
Buona lettura!
Cybersecurity: perché il modello tradizionale e transazionale non funziona più?
Secondo recenti stime, si contano circa 1,3 milioni di attacchi ransomware al giorno in tutto il mondo e le organizzazioni impiegano in media oltre 270 giorni per identificare e riprendersi totalmente da un incidente. Dato ulteriormente allarmante è che il costo medio di una violazione dei dati globale nel 2023 è salito a quasi 4,5 milioni di dollari.
Questa è una breve sintesi della portata delle conseguenze negative che le organizzazioni devono affrontare con questo tipo di minacce. Non si tratta quindi solo di gestire le ricadute conseguenti all’essere colpiti, situazione già di per sé grave, ma di quelle legate anche al tempo impiegato dall’organizzazione per identificare il problema, scoprire la causa principale, ripristinare i sistemi completamente e garantire che quella violazione non si ripeta.
Questi ultimi aspetti sono altrettanto centrali del primo ma meno interiorizzati dalle aziende, anche dalle grandi organizzazioni. Alcune di esse hanno speso milioni di dollari in sicurezza informatica, tuttavia sono state attaccate negli ultimi anni e hanno impiegato anche mesi a tornare alla normalità. Come evidenziamo spesso: non è più sufficiente alzare barriere sempre più alte, perché i criminali informatici troveranno purtroppo il modo di penetrarle.
Un’evidenza confermata anche dal rapporto del World Economic Forum (WEF) “Prospettive globali sulla sicurezza informatica 2023” curato da Accenture, da cui emerge che le minacce stanno peggiorando, e “l’86% delle aziende leader e il 93% dei responsabili informatici, affermano che l’instabilità geopolitica globale porterà probabilmente a un evento informatico catastrofico nei prossimi due anni”.
Inoltre una recente ricerca dell’Università di Stanford sostiene che circa l’88% di tutte le violazioni dei dati sono causate dal clic di un dipendente su un collegamento contenuto in un’e-mail o dal download di un allegato. Le imprese e gli enti investono molto nella formazione dei team sulla centralità della sicurezza informatica, però migrano grande parte dei flussi di lavoro su cloud e utilizzano tuttora lavoro da remoto; migrazioni su cui gli hacker fanno molto affidamento per intercettare i clic degli utenti e violarne le identità.
A ciò si aggiunge che fra i peggiori centri operativi di sicurezza (SOC), si contano soprattutto quelli che devono fare fronte a organizzazioni con un grande numero di persone e con tantissimi prodotti. Quelli che paradossalmente hanno investito anche molto per ridurre la probabilità, e soprattutto l’impatto, di un attacco.
Sicurezza Informatica: dalla difesa alla resilienza
Tutto ciò conferma che il modello tradizionale e transazionale che prevede l’acquisto di prodotti aggiuntivi anno dopo anno porta sempre di più solo a un sovraffollamento di alert, a più infrastrutture da gestire, a più attriti tra gli utenti, a una maggiore e più articolata superficie di attacco, etc. Quindi a una minore gestibilità, agilità e reattività.
Per contrastare questi rischi è necessario passare da un approccio classico di sicurezza informatica a uno di resilienza informatica. Ciò significa riconsiderare le aspettative sulla possibilità che l’organizzazione subisca o meno un attacco per accettare che ormai si tratta di una alta probabilità, non di una possibilità. Estremizzando non si tratta più di “se avverrà” ma di “quando avverrà”.
Acquisito questo cambio di prospettiva, bisogna definire una nuova serie di priorità partendo da una premessa: l’attenzione dei team di sicurezza deve concentrarsi sulla risposta e sul recupero con l’obiettivo di arrivare a un Recovery Time Objective (RTO) pari a zero, rispetto alla media di oltre 270 giorni.
Oltre il backup dei file
Certamente i backup sono fondamentali quando i sistemi su cui è necessario fare ricerche per individuare la causa principale della violazione, vengono crittografati o cancellati. In particolare, lo è creare una “clean room” che permetta di adottare un approccio più chirurgico al ripristino e quindi di identificare, isolare e indagare i sistemi compromessi in un ambiente sicuro, dando ai SOC il prezioso vantaggio di tempo attraverso l’intera sequenza temporale dell’incidente.
Aggiungo che gli innovativi software di gestione dei dati, come DataProtect di Cohesity, supportano l’istanza quasi istantanea di questi snapshot point-in-time e l’orchestrazione tramite API che consentono di gestire flussi complessi di operazioni di risposta e ripristino. Queste soluzioni sono dotate anche di alcune funzionalità operative di sicurezza per classificare i dati, cercare indicatori di compromissione e identificare le vulnerabilità nella stessa piattaforma di gestione dei dati.
Ecco che quindi è evidente che non è più sufficiente semplicemente eseguire il backup dei file, le organizzazioni devono a monte pensare a come ripristinare le comunicazioni, i sistemi di sicurezza informatica e i sistemi di gestione delle identità e degli accessi, ovvero devono definire una strategia di continuità aziendale. Di pari passo devono indagare a fondo l’attacco, per sapere se anche il backup è compromesso o meno. Nel caso in cui lo sia, premere il tasto “backup” porta con sé solo il pericolo di subire un altro attacco e di conseguenza di ritardare ulteriormente i tempi di ritorno alla normalità dei servizi critici.
In altre parole, le imprese devono iniziare a pensare alla sicurezza informatica anche in termini di strategia di backup, a quanto il backup è necessario per il processo di risposta dopo un attacco ransomware e a come utilizzare il cloud per isolare i sistemi, creare “white room” e utilizzare l’automazione dei dati del flusso di lavoro per consentire un ripristino più rapido.
di Manlio De Benedetto, Senior Director Sales Engineering EMEA di Cohesity
