L’ultima difesa per garantire una buona resilienza informatica

In un mondo ideale, il ruolo dei professionisti dell’IT dovrebbe essere molto semplice. In seguito a un attacco ransomware che cripta i sistemi di produzione, i team IT reagiscono e ripristinano applicazioni e dati dai backup, mentre gli esperti forensi indagano sull'attacco e identificano il punto debole e la vulnerabilità. In questo scenario ideale, il tentativo di estorsione si vanifica. Ma la realtà è che i malintenzionati informatici, in media, esaminano la struttura della rete e il sistema di backup nei primi giorni dopo essere riusciti a introdursi nella rete della vittima. Il loro obiettivo è trovare punti deboli e minare l'ultima linea di difesa. Il risultato? La società di analisi delle criptovalute Chainanalysis ha riferito che negli ultimi due anni sono stati pagati circa 1,3 miliardi di dollari in pagamenti di ransomware a livello globale. Pertanto, ogni azienda dovrebbe implementare le migliori misure tecniche e organizzative per proteggersi dagli eventuali punti vulnerabili.

Parole banali, ma essenziali: password e privilegi

L'amministratore primario dell'infrastruttura di backup possiede spesso il maggior numero di privilegi di accesso all'interno di un'organizzazione, perché, per definizione, chi gestisce il backup deve poter accedere a tutti i sistemi di produzione e accedere ai dati. Se i malintenzionati riescono a compromettere questo account chiave, tutti i dati di processo diventano a rischio. Per motivi di praticità, spesso è possibile gestire questo account, i suoi privilegi e le sue password tramite directory degli utenti centrali, come Active Directory. È importante separare i due mondi, in modo che gli utenti siano presenti solo nel rispettivo ambiente di backup e disaster recovery. I cosiddetti "power user" dovrebbero ricevere profili utente che rispettino il principio del "minimo privilegio": il numero di diritti di accesso necessario e il minor numero possibile. L'accesso a questi account deve essere ovviamente protetto dall'autenticazione a più fattori.

Inoltre, molti dei sistemi hardware sono utilizzati per registrare i dati di backup, soprattutto in ambienti di grandi dimensioni. Solo il personale autorizzato dovrebbe avere accesso fisico a questi sistemi, altrimenti un eventuale malintenzionato potrebbe danneggiare l'hardware e quindi i dati. I più avanzati provider utilizzano strumenti di manutenzione remota per accedere ai sistemi in modo sicuro e, ad esempio, installare una nuova interfaccia di avvio o accedere direttamente agli hard disk. Dovrebbe essere possibile creare un nuovo pannello di login al volo durante le operazioni, compreso il rollback, con un semplice clic del mouse per attivare rapidamente nuove funzioni o installare correzioni di bug.

 Proteggere il flusso di comunicazione e rilevare tempestivamente le anomalie

Per effettuare il backup dei dati, i relativi sistemi devono essere in grado di comunicare tra loro e anche con le relative sorgenti di dati. Per questo è necessario che vengano aperte alcune finestre sui firewall. Per aumentare il livello di sicurezza, questo tipo di traffico deve essere veicolato su reti fisiche o logiche isolate.

I team IT devono capire esattamente quali protocolli e servizi vengono utilizzati in rete per questo scopo. Ad esempio, alcuni provider utilizzano varianti meno sicure di protocolli come SNMPv2 per le attività operative, che dovrebbero essere sostituite da SNMPv3. Se si utilizza una nuova versione, è necessario utilizzare gli algoritmi SHA e AES per l'autenticazione, in quanto più sicuri di MD5.

 I dati che collegano le sorgenti dati e il backup devono essere crittografati, sia durante il trasferimento che a livello finale. Se si vuole ottenere una ottima resilienza informatica, è necessario adottare anche il principio dell'immutabilità (backup immutabili), che deve essere integrato. Questo è fondamentale per garantire che i dati non possano essere modificati, crittografati o cancellati. I backup immutabili sono una soluzione per combattere il ransomware, perché il backup originale rimane in gran parte inaccessibile.

 Superare i problemi legati ai conflitti organizzativi e agli strumenti legacy isolati

I team che si occupano delle operazioni di sicurezza e dell'infrastruttura IT vivono in due mondi spesso separati per scelta. Mentre i team SecOps vogliono regolare tutti gli accessi in modalità rigorosa, i team IT dovrebbero poter accedere a tutti i sistemi importanti per il backup.  Non sorprende che molti team non collaborino nel modo più efficace possibile per affrontare le crescenti minacce informatiche, come rilevato da alcune indagini di mercato. Per una vera resilienza informatica, questi team devono lavorare a stretto contatto, poiché il numero di attacchi riusciti dimostra che i vettori di attacco stanno cambiando e non si tratta solo di difesa, ma anche di backup e ripristino. 

Diventa chiaro quindi che i difetti di base nella progettazione del backup non possono essere risolti fino a quando i team non saranno disposti a rinnovare l'infrastruttura su larga scala. Dati di mercato indicano che una grande percentuale di aziende a livello globale (quasi il 50%) si affida a infrastrutture di backup e ripristino progettate nel 2010 o addirittura precedenti, molto prima dell'attuale era multicloud e dell'ondata di sofisticati attacchi informatici che affliggono le aziende.

Conclusioni 

Se le organizzazioni vogliono ottenere una vera resilienza informatica e ripristinare con successo i dati critici anche durante un attacco, dovranno modernizzare la loro infrastruttura di backup e disaster recovery e migrare verso approcci moderni offerti da una piattaforma di gestione dei dati di nuova generazione.

I dati stessi devono essere aggregati per portare il modello Zero Trust a un livello ancora più avanzato: in una piattaforma di gestione dei dati centralizzata basata su un file system iperconvergente e scalabile. Oltre a regole di accesso rigorose e all'autenticazione a più fattori, la piattaforma dovrebbe generare snapshot immutabili che non possono essere modificati da alcuna applicazione esterna o utente non autorizzato.

La gestione dei dati di nuova generazione, come quella offerta da Cohesity, si avvale anche di analisi supportate dall'intelligenza artificiale delle snapshot di backup per identificare indicazioni di possibili anomalie. Queste possono essere trasmesse a strumenti di sicurezza di livello superiore di vendor come Cisco o Palo Alto Networks, per esaminare il potenziale incidente in modo più dettagliato.

Qualsiasi ritardo nella risposta e nel ripristino del ransomware può portare a un aumento dei tempi di inattività e a una maggiore perdita di dati. L'integrazione dei due mondi SecOps e IT può aiutare a collegare in modo più efficace i processi di gestione e sicurezza dei dati. È la chiave per essere all'avanguardia negli attacchi ransomware e per rafforzare la resilienza informatica di un'organizzazione.

Articolo di Manlio De Benedetto, Senior Director Sales Engineering EMEA di Cohesity