Autore: Redazione SecurityOpenLab
Il contesto tecnologico, economico e politico attuale hanno portato allo sviluppo di una forte evoluzione degli incidenti informatici sia per numero che per complessità e gravità, rendendo sempre più impellente la necessità di una strategia evoluta di protezione del dato. Strategia che richiede ovviamente di affinare gli strumenti per bloccare gli attacchi, mantenendo però la consapevolezza che per quanto ci si possa attrezzare, qualche attacco cyber andrà comunque a segno. In quel caso sarà vitale poter ripartire nel più breve tempo possibile, affidandosi al backup o meglio della strategia di data recovery.
La prima questione da affrontare è che cosa proteggere e come. Oggi individuare come procedere in una strategia di data recovery è tutt’altro che banale. La trasformazione digitale e l’ampia adozione di cloud, multi cloud e cloud ibrido hanno portato a una frammentazione elevata dei dati, che nella stragrande maggioranza dei casi sono ormai archiviati in repository differenti, con policy di sicurezza, di accesso e di gestione molto diverse. Prima di procedere bisogna avere le idee chiare su dove si trovano i dati e su quale tipo di dato è archiviato in un determinato repository. Tenere le fila e avere visibilità completa su una infrastruttura moderna complessa è la prima sfida che le aziende di qualsiasi dimensione e settore devono vincere. Esistono svariate tecniche e tecnologie di inventario digitale, e consulenti altamente specializzati che possono supportare in questa fase tutt’altro che scontata.
Una volta sbrogliata questa matassa bisogna individuare che cosa coinvolgere nella strategia di data recovery. Ogni azienda produce e maneggia quantità smisurate di dati, pensare di proteggere tutto è controproducente: la maggior parte dei dati non è strutturata, molte informazioni spesso diventano irraggiungibili a seguito di un incidente, pur essendo ancora intatte, quindi copiare tutto ha poco senso. Si deve quindi ricorrere a personale specializzato per capire come muoversi: Paolo Ghignatti, Security & Resiliency Sales Leader di Kyndryl, ci aveva indicato a suo tempo che gli elementi da mettere in salvo sono principalmente le identità e il sistema di gestione degli accessi, il server di backup, i dati immutabili e il sistema di restore. Attenzione al termine immutabile: soprattutto negli attacchi ransomware, spesso i cyber criminali cercano di cancellare o cifrare le copie di backup per costringere le vittime a pagare il riscatto. Disporre di una copia immutabile – quindi non modificabile, cancellabile o crittografabile – è il primo requisito per una strategia vincente di data recovery.
Il backup resta la soluzione principe per problemi che in origine era destinato a risolvere: disastri naturali, guasti hardware, errate configurazioni software, cancellazioni accidentali dei dati. Tuttavia negli ultimi anni è diventato anche un importante presidio di cybersecurity, soprattutto con l’avvento e la diffusione degli attacchi ransomware.
Ricorrendo sempre alle indicazioni di Ghignatti, è importante ricordare che fra i due approcci c’è una differenza sostanziale: “quando si verificano un errore umano o un'alluvione che mette fuori uso un data center è possibile identificare con grande precisione il momento nel quale il problema si è verificato. Con un attacco cyber questo non è possibile, perché spesso l’attacco diventa evidente molto tempo dopo che si è verificata la violazione della rete. Non solo: con un disastro ambientale il danno è localizzato a una sola sede, basta disporre di data center o infrastrutture che non condividano lo stesso scenario di rischio (per esempio uno a Milano e uno a New York). Un cyber attacco si muove orizzontalmente e può interessare tutte le infrastrutture, a prescindere dalla loro collocazione fisica”. Questo significa che disporre genericamente di una soluzione di data restore non significa essere protetti da un attacco cyber, e che una sola soluzione non copre tutte le potenziali evenienze.
C’è poi da aggiungere il fatto che tutte le aziende interpellate per questo Speciale hanno tenuto a sottolineare che il backup come strategia di cybersecurity deve essere affiancato e supportato da una soluzione di sicurezza informatica, perché quando si procede a un ripristino dei dati a seguito di un incidente è imperativo avere la certezza che la copia di sicurezza che si sta mettendo in produzione sia esente da malware, backdoor e infezioni nascoste di ogni genere. I dati devono quindi essere sottoposti a scansione prima di essere copiati.
La soluzione di prevenzione e backup dovrebbe inoltre sfruttare le analisi dei dati e degli accessi non solo per tenere una storicità degli aggiornamenti, ma anche per permettere di risalire ad accessi o attività anomale che possano segnalare un attacco.
Oggi l’Intelligenza Artificiale e gli automatismi sono una parte fondamentale delle soluzioni di cybersecurity. Lo sono anche per quelle di backup, per diversi motivi. Anche in questo frangente ricorre il tema dello skill gap: il personale IT a disposizione delle aziende non è sufficiente per gestire tutto, il backup non fa eccezione. Le best practice in materia sono piuttosto chiare: bisognerebbe controllare che ciascuna copia di backup sia andata a buon fine; i backup andrebbero testati per sincerarsi che il ripristino andrà a buon fine. E dovrebbe esserci un protocollo scritto, approvato, condiviso e testato che stabilisca passo-passo la procedura di Disaster Recovery e Incident Response qualora si verificasse un attacco informatico. Tutto questo dovrebbe servire a evitare il panico a seguito di un attacco e a ripristinare l’operatività dell’azienda nel minor tempo possibile.
Nella realtà sono poche le situazioni in cui i backup vengono puntualmente verificati e testati e in cui il team IT e/o di security sa perfettamente che cosa fare e come farlo nel panico che puntualmente si presenta quando l’azienda è sotto attacco. Parte della soluzione sta quindi nell’AI e nel machine learning, anche se l’essere umano non può essere del tutto sostituito. Le soluzioni moderne sono dotate di sistemi euristici che gli permettono di “comprendere” se la configurazione di backup è stata applicata correttamente, se tutti i file importanti sono stati sottoposti a copia, e di testare automaticamente e autonomamente se la copia di backup sarà ripristinabile senza errori. Ma resta il fatto che quando si verifica un attacco cyber è fondamentale la competenza umana, che sia essa del SOC interno all’azienda o di un servizio gestito in esterno.
Il buon funzionamento delle automazioni, inoltre, prescinde da una configurazione iniziale ben fatta, che è bene sia affidata a personale esperto in materia. Deve infatti essere chiaro che il backup e il data recovery sono necessariamente parte integrante di una procedura di Disaster Recovery da creare e gestire in funzione di vari fattori, fra cui il settore operativo dell’azienda - da cui dipendono i parametri di RTO (Recovery Time Objective, il tempo richiesto per tornare operativi) e RPO (Recovery Point Objective, la quantità di dati che ci si può permettere di perdere) e le normative da soddisfare. Ciascuna attività è poi soggetta a determinati fattori di rischio e ha una tolleranza al rischio cyber di cui tenere conto.
Sul numero di copie di backup praticamente tutte le aziende che abbiamo interpellato hanno rispolverato la tradizionale regola del 3-2-1: conservare sempre 3 copie dei file importanti su almeno 2 tipi differenti di supporti di archiviazione, di cui 1 conservata offline o fuori dall’azienda o dal data center. La regola è tuttora valida, ma a seguito della trasformazione digitale dev’essere applicata in maniera differente rispetto al passato perché oggi i dati non sono più solo on-premise, anzi, spesso sono più che altro in cloud o frammentati in soluzioni multi cloud, quindi l’opzione che va per la maggiore è proprio quella del backup in cloud. Non è un caso che questa opzione ormai vada per la maggiore, dato che consente una gestione semplificata tramite console software, grande scalabilità e controllo dei costi (sia rispetto ai supporti fisici che ai siti di DR) e maggiore conformità alla compliance.
Oltre tutto, sono molte le soluzioni moderne che dispongono anche di un’opzione per il ripristino istantaneo, di varie tecnologie di replica, snapshot, anteprime e via dicendo.