Durante un attacco è essenziale capire rapidamente come gli aggressori o il malware siano riusciti a penetrare nella rete. Quali vulnerabilità sono state sfruttate? Quali controlli aggirati? Come sono riusciti a scalare i privilegi? Come mantengono la persistenza dell’attacco? Quali dati sensibili o regolamentati sono stati toccati Spesso viene trascurato, ma il data management può svolgere un ruolo essenziale nell’aiutare i CISO e il security operation team a rispondere a queste domande, senza toccare dati primari e potenzialmente senza allertare l’attaccante o creare ulteriori rischi.
Un primo esempio è la scansione delle vulnerabilità; un approccio tipico è quello di scansionare attivamente i sistemi di produzione attraverso una rete. Ciò incide sulle prestazioni della produzione, richiede di superare i firewall per consentire l’accesso e spesso fa sì che le credenziali di accesso restino su un altro sistema. Le parti periferiche della rete, quelle che spesso rappresentano il “paziente zero” in qualsiasi attacco, potrebbero non essere mai scansionate. Allo stesso modo, nei penetration test, le organizzazioni spesso esitano a lasciare che i tester vadano a fondo nei loro ambienti di produzione, per timore che causino un’interruzione o una riduzione delle prestazioni. Le piattaforme di simulazione delle violazioni e degli attacchi e di convalida continua dei controlli sono molto utili, ma possono anche avere un impatto sugli ambienti di produzione.
Un altro esempio è la data discovery, simile alla scansione delle vulnerabilità, in cui è necessario superare i firewall e le credenziali di sistema memorizzate in un sistema di terze parti, o distribuire agenti per scoprire dove risiedono i dati sensibili e regolamentati.
Le organizzazioni sanno già dove si trovano i propri dati sensibili e regolamentati
Piuttosto che distribuire un altro agente che aumenta la potenziale superficie di attacco e l’impatto sulle prestazioni dei sistemi di produzione, perché non scansionare i backup alla ricerca di dati sensibili? Le moderne piattaforme di backup sono già ottimizzate per la ricerca e il recupero dei dati all’interno dei backup. È semplice estendere questa funzionalità in modo da scoprire i dati su tutta l’organizzazione, indipendentemente dal workload.
Sfruttare meglio i digital twin
Esiste un’alternativa migliore alla scansione delle vulnerabilità e ai penetration test sulla rete e consiste nel concentrare il lavoro su un digital twin, un gemello digitale del backup degli ambienti di produzione. Ciò può aiutare le organizzazioni a svolgere un lavoro più approfondito, ridurre le spese generali sui sistemi in funzione, ottenere un rilevamento migliore e più rapido e ripristinare un backup pulito e non compromesso nel caso in cui un attacco vada a segno.
Ogni organizzazione può creare il numero di digital twin che le occorrono, ottenendo notevoli vantaggi. Ad esempio, utilizzando un singolo clone di backup in esecuzione su una macchina virtuale, molti penetration
tester possono attaccare su diverse istanze in parallelo senza influenzarsi a vicenda. Le piattaforme di simulazione di violazioni e attacchi e di convalida continua dei controlli sono libere di colpire più copie della produzione, per identificare i punti deboli e i punti di forza dei controlli implementati. Con molti test simultaneamente in esecuzione. I risultati si ottengono più rapidamente, si conosce prima il potenziale di intrusione e le correzioni possono essere applicate velocemente ai sistemi in funzione.
Concentrarsi sui file eseguibili
C’è un altro motivo per cui lavorare nell’ambiente di backup ha un grande vantaggio. I file eseguibili sono i preferiti dai cyber criminali. Possono rimanere su un sistema per settimane o anche più a lungo, senza essere rilevati, e qui possono replicarsi, crittografare file, inviare dati a terzi e altro ancora.
Nel momento in cui si viene a conoscenza di un attacco ransomware, gli attaccanti potrebbero già essere in possesso di informazioni cruciali che possono minacciare di pubblicare se la vittima non paga.
Se si lavora con dati primari, è molto probabile che qualsiasi operazione di rimozione dei file eseguibili metta in allarme l’attaccante, che si precipiterà a bloccare o eliminare i dati. Inoltre, i file eseguibili sono stati sottoposti a backup insieme a tutto il resto, quindi qualsiasi ripristino riporta semplicemente a uno stato in cui il file eseguibile o la vulnerabilità sono ancora presenti, il che significa che l’attacco può ripartire.
Lavorare con i backup significa poter guardare indietro nel tempo, vedere quando il file eseguibile è apparso per la prima volta, individuarlo e rimuoverlo. Se l’eseguibile ha iniziato a svolgere il suo lavoro e si sta replicando ma è nascosto, è possibile identificare la relativa attività e adottare misure correttive. Con un backup privo del payload dell’autore del ransomware, il CISO può autorizzare il ripristino sapendo che l’attacco non potrà semplicemente ripartire.
I backup come serie temporale
Questo ci rimanda un’altra ragione fondamentale per cui è meglio affrontare la sicurezza del sistema tramite i backup, ovvero perché forniscono una serie temporale di grande valore. L’organizzazione dispone di una sola versione dei suoi dati in tempo reale, ma i suoi backup possono risalire indietro nel tempo fino alla settimana, al mese o addirittura all’anno precedente.
Senza gli snapshot di backup nel tempo, le organizzazioni hanno accesso solo al file system così come risulta dopo un attacco, nel momento in cui si crea “l’immagine forense”. Ciò significa che gli sforzi per ripristinare il sistema allo stato precedente all’attacco sono gravemente ostacolati, perché l’organizzazione si affida a supposizioni e congetture per capire come è stato attaccato il sistema, quando sono stati inseriti gli eseguibili, come sono stati scalati i privilegi, come viene mantenuta la persistenza dell’attacco e quali parti del sistema sono state colpite. Con le serie temporali, questo tipo di informazioni può essere conosciuto e compreso. I dati compromessi possono essere ripristinati chirurgicamente a uno stato precedente, non compromesso.
Un tempo le organizzazioni consideravano i backup come una polizza assicurativa contro la perdita, il furto o il danneggiamento dei dati. Gli attacchi informatici hanno cambiato questo concetto per sempre e i backup sono ora la polizza assicurativa definitiva contro gli attacchi informatici, ma sono anche molto di
più. Sono la postazione più logica in cui collocare la scansione delle vulnerabilità e i penetration test, dato il tributo che questi richiedono ai sistemi in funzione. I CISO possono utilizzare i backup per contribuire a soddisfare i due compiti cruciali propri del loro lavoro: proteggere i dati e i sistemi dell’organizzazione e ripristinare i sistemi dopo un attacco. Sono anche una fonte di informazioni che aiuta la governance dei dati e le operazioni di sicurezza.
A cura di James Blake, CISO per l’area EMEA di Cohesity
