È come nel film”Ricomincio da capo”. Ogni 31 marzo la musica suona e nel World Backup Day ci viene ricordata la promessa:”Giuro solennemente di eseguire il backup dei miei documenti e applicazioni importanti”. Un obiettivo nobile che ogni azienda e ogni utente accetta immediatamente.
Ma nelle settimane che circondano il World Backup Day, abbiamo sentito dai media che le aziende sono state attaccate e i loro dati sono stati dirottati dal ransomware. La grande promessa di ripristinare i dati dal backup e quindi resistere a qualsiasi tentativo di ricatto viene quindi nuovamente infranta.
I numeri parlano da soli, e l’ultimo rapporto di settore dell’ENISA sul settore dei trasporti fornisce i fatti. L’anno scorso, il ransomware è stata la minaccia dominante, rappresentando il 38% di tutti gli attacchi registrati, con la cancellazione dei dati al 30% e il malware al 17%, rispettivamente al secondo e terzo posto. Il rapporto sottolinea chiaramente che a causa della guerra tra Russia e Ucraina, attori e attivisti informatici sostenuti dallo stato hanno effettuato attacchi mirati contro il settore dei trasporti in Europa. Chiara prova che la motivazione si sta spostando verso”l’interruzione e la distruzione delle operazioni”.
Le aziende non dovrebbero limitarsi a considerare solo il ransomware. Non deve sempre trattarsi di un atto ostile che renda utile il backup e il relativo processo di ripristino di emergenza. Quando un escavatore ha tagliato importanti fibre ottiche durante i lavori di costruzione all’aeroporto di Francoforte all’inizio di febbraio, le operazioni sono passate senza soluzione di continuità a sistemi e linee ridondanti. Tuttavia, durante il tentativo di ripristinare il normale funzionamento, il sistema principale ha oscillato e ha dovuto essere spento per diverse ore. Diverse migliaia di voli sono stati cancellati e la reputazione di Lufthansa ne ha risentito.
La collaborazione è fondamentale
Perché le aziende hanno difficoltà a svolgere questo compito? Uno dei motivi è la complessità dei loro ambienti e la crescente dipendenza da software e dati, che stanno diventando sempre più distribuiti. Hanno tentato di tenere sotto controllo l’espansione incontrollata e si sono ritrovati con dozzine di soluzioni di backup e ripristino di emergenza isolate. Il risultato: alcune applicazioni vengono trascurate, cadono nelle fessure e nella rete di sicurezza. In caso di emergenza, i processi devono essere eseguiti manualmente da persone molto stressate. Gli errori accadono e questo aumenta i tempi di recupero. È qui che le aziende dovrebbero iniziare a modernizzarsi sostituendo la crescita incontrollata con una piattaforma centrale per la sicurezza e la gestione dei dati, accompagnata da un solido piano di resilienza operativa digitale.
Oltre alla risposta tecnica, è fondamentale per le aziende garantire che il proprio i team di sicurezza lavorano a stretto contatto con i team dell’infrastruttura che sono i responsabili ultimi del ripristino dei dati. Entrambe le squadre devono collaborare per contenere le conseguenze di un attacco riuscito e allo stesso tempo mantenere le operazioni fondamentali. E devono coordinarsi strettamente per ripristinare i sistemi in modo pulito e sicuro, per evitare che vengano nuovamente compromessi dallo stesso attacco.
Entrambi i team dovrebbero concordare su queste quattro cose:
ITOps e SecOps dovrebbero essere comproprietari dei risultati della resilienza informatica
I risultati della resilienza informatica dovrebbero essere definiti in modo oggettivo e misurabile, idealmente gestiti da un ruolo combinato CISO/CIO.
Questi risultati di resilienza informatica devono includere RPO e RTO aggressivi che definiscono obiettivi specifici per l’obiettivo generale: i team ITOps e SecOPs devono essere in grado di ripristinare servizi e dati critici anche durante un incidente informatico come un attacco ransomware e fornire i risultati aziendali.
L’RPO e l’RTO guideranno anche entrambi i team quali controlli e KPI sono necessari per fornire la posizione di sicurezza desiderata. Questi faranno parte del loro piano di resilienza operativa digitale, che è una fase oltre gli approcci DR/BCP adottati oggi da molte aziende.
2. Pianificazione congiunta di ITOps/SecOps allineata con gli obiettivi della posizione di sicurezza
Una volta che entrambi i team, SecOps e ITOps, hanno concordato gli obiettivi comuni, possono avviare una discussione basata sui fatti su come bilanciare gli investimenti in controlli di protezione e controlli che riducono al minimo l’impatto in caso di violazione. Seguendo questo approccio, questa conversazione congiunta sul budget rimane allineata con la posizione di sicurezza e definisce le giuste priorità per raggiungere la resilienza operativa digitale.
3. Comprensione completa tra i team ITOps/SecOps della superficie di attacco
Entrambi i team devono condividere la stessa comprensione della potenziale superficie di attacco.
Per ottenere queste informazioni dettagliate , entrambi i team devono sapere quali dati l’organizzazione sta archiviando e dove si trova tutto (on-premise, cloud privato, pubblico/multi cloud)
Entrambi i team dovrebbero anche avere la stessa comprensione del livello di maturità che la loro organizzazione ha con la loro visibilità dei dati. Ciò consentirà loro di comprendere meglio il potenziale rischio di attacchi informatici e perdita di dati.
4. Coordinamento tra ITOps/SecOps con risposta agli incidenti
Infine, sia i team ITops che SecOps devono aumentare la collaborazione per interagire meglio durante una risposta agli incidenti. Per raggiungere questo obiettivo, i team di ITOP devono essere coinvolti nel processo di risposta agli incidenti. Per valutare la qualità della loro interazione e identificare potenziali problemi, entrambi i team dovrebbero eseguire esercitazioni e simulazioni regolari come esercizi da tavolo, incluso il recupero testato attraverso camere bianche per dimostrare l’RTO, che è spesso diverso dai loro tempi BCP tradizionali.
Credito immagine: Wayne Williams
Mark Molyneux è EMEA CTO per Cohesity.