• BitMAT
  • BitMATv
  • Top Trade
  • Linea EDP
  • Itis Magazine
  • Industry 5.0
  • Sanità Digitale
  • ReStart in Green
  • Contattaci
Close Menu
    Facebook X (Twitter) Vimeo Instagram LinkedIn RSS
    Trending
    • Attacchi web a +33% e API obiettivo numero uno. L’analisi di Akamai
    • Infrastrutture critiche: la sicurezza è un imperativo
    • IA e Cybersecurity governano le strategie di investimento aziendali
    • Twin4Cyber e Maticmind alla Camera per parlare di cybercrime
    • Cybersecurity: ecco perché affidarsi a operatori italiani
    • Secure Workload Access di CyberArk protegge le identità a 360°
    • NIS2 e infrastrutture critiche: 4 passaggi da fare per essere pronti
    • Attacchi informatici: un 2024 all’insegna di ransomware e IA
    Facebook X (Twitter) Vimeo Instagram LinkedIn RSS
    BitMAT | Speciale Sicurezza 360×365
    • Attualità
    • Opinioni
    • Ricerche
    • Soluzioni
    BitMAT | Speciale Sicurezza 360×365
    Sei qui:Home»Speciale Sicurezza»Opinioni»Il data management come CSI: ecco come può aiutare a ricostruire un attacco
    Opinioni

    Il data management come CSI: ecco come può aiutare a ricostruire un attacco

    By Redazione BitMAT5 Aprile 2023Updated:5 Aprile 20236 Mins Read
    Facebook Twitter LinkedIn Tumblr Reddit Telegram WhatsApp Email

    Durante un attacco è essenziale capire rapidamente come gli aggressori o il malware siano riusciti a penetrare nella rete: il data management può svolgere un ruolo essenziale nell’aiutare il security operation team

    Durante un attacco è essenziale capire rapidamente come gli aggressori o il malware siano riusciti a penetrare nella rete. Quali vulnerabilità sono state sfruttate? Quali controlli aggirati? Come sono riusciti a scalare i privilegi? Come mantengono la persistenza dell’attacco? Quali dati sensibili o regolamentati sono stati toccati Spesso viene trascurato, ma il data management può svolgere un ruolo essenziale nell’aiutare i CISO e il security operation team a rispondere a queste domande, senza toccare dati primari e potenzialmente senza allertare l’attaccante o creare ulteriori rischi.

    Un primo esempio è la scansione delle vulnerabilità; un approccio tipico è quello di scansionare attivamente i sistemi di produzione attraverso una rete. Ciò incide sulle prestazioni della produzione, richiede di superare i firewall per consentire l’accesso e spesso fa sì che le credenziali di accesso restino su un altro sistema. Le parti periferiche della rete, quelle che spesso rappresentano il “paziente zero” in qualsiasi attacco, potrebbero non essere mai scansionate. Allo stesso modo, nei penetration test, le organizzazioni spesso esitano a lasciare che i tester vadano a fondo nei loro ambienti di produzione, per timore che causino un’interruzione o una riduzione delle prestazioni. Le piattaforme di simulazione delle violazioni e degli attacchi e di convalida continua dei controlli sono molto utili, ma possono anche avere un impatto sugli ambienti di produzione.

    Un altro esempio è la data discovery, simile alla scansione delle vulnerabilità, in cui è necessario superare i firewall e le credenziali di sistema memorizzate in un sistema di terze parti, o distribuire agenti per scoprire dove risiedono i dati sensibili e regolamentati.

    Le organizzazioni sanno già dove si trovano i propri dati sensibili e regolamentati

    Piuttosto che distribuire un altro agente che aumenta la potenziale superficie di attacco e l’impatto sulle prestazioni dei sistemi di produzione, perché non scansionare i backup alla ricerca di dati sensibili? Le moderne piattaforme di backup sono già ottimizzate per la ricerca e il recupero dei dati all’interno dei backup. È semplice estendere questa funzionalità in modo da scoprire i dati su tutta l’organizzazione, indipendentemente dal workload.

    Sfruttare meglio i digital twin

    Esiste un’alternativa migliore alla scansione delle vulnerabilità e ai penetration test sulla rete e consiste nel concentrare il lavoro su un digital twin, un gemello digitale del backup degli ambienti di produzione. Ciò può aiutare le organizzazioni a svolgere un lavoro più approfondito, ridurre le spese generali sui sistemi in funzione, ottenere un rilevamento migliore e più rapido e ripristinare un backup pulito e non compromesso nel caso in cui un attacco vada a segno.

    Ogni organizzazione può creare il numero di digital twin che le occorrono, ottenendo notevoli vantaggi. Ad esempio, utilizzando un singolo clone di backup in esecuzione su una macchina virtuale, molti penetration

    tester possono attaccare su diverse istanze in parallelo senza influenzarsi a vicenda. Le piattaforme di simulazione di violazioni e attacchi e di convalida continua dei controlli sono libere di colpire più copie della produzione, per identificare i punti deboli e i punti di forza dei controlli implementati. Con molti test simultaneamente in esecuzione. I risultati si ottengono più rapidamente, si conosce prima il potenziale di intrusione e le correzioni possono essere applicate velocemente ai sistemi in funzione.

    Concentrarsi sui file eseguibili

    C’è un altro motivo per cui lavorare nell’ambiente di backup ha un grande vantaggio. I file eseguibili sono i preferiti dai cyber criminali. Possono rimanere su un sistema per settimane o anche più a lungo, senza essere rilevati, e qui possono replicarsi, crittografare file, inviare dati a terzi e altro ancora.

    Nel momento in cui si viene a conoscenza di un attacco ransomware, gli attaccanti potrebbero già essere in possesso di informazioni cruciali che possono minacciare di pubblicare se la vittima non paga.

    Se si lavora con dati primari, è molto probabile che qualsiasi operazione di rimozione dei file eseguibili metta in allarme l’attaccante, che si precipiterà a bloccare o eliminare i dati. Inoltre, i file eseguibili sono stati sottoposti a backup insieme a tutto il resto, quindi qualsiasi ripristino riporta semplicemente a uno stato in cui il file eseguibile o la vulnerabilità sono ancora presenti, il che significa che l’attacco può ripartire.

    Lavorare con i backup significa poter guardare indietro nel tempo, vedere quando il file eseguibile è apparso per la prima volta, individuarlo e rimuoverlo. Se l’eseguibile ha iniziato a svolgere il suo lavoro e si sta replicando ma è nascosto, è possibile identificare la relativa attività e adottare misure correttive. Con un backup privo del payload dell’autore del ransomware, il CISO può autorizzare il ripristino sapendo che l’attacco non potrà semplicemente ripartire.

    I backup come serie temporale

    Questo ci rimanda un’altra ragione fondamentale per cui è meglio affrontare la sicurezza del sistema tramite i backup, ovvero perché forniscono una serie temporale di grande valore. L’organizzazione dispone di una sola versione dei suoi dati in tempo reale, ma i suoi backup possono risalire indietro nel tempo fino alla settimana, al mese o addirittura all’anno precedente.

    Senza gli snapshot di backup nel tempo, le organizzazioni hanno accesso solo al file system così come risulta dopo un attacco, nel momento in cui si crea “l’immagine forense”. Ciò significa che gli sforzi per ripristinare il sistema allo stato precedente all’attacco sono gravemente ostacolati, perché l’organizzazione si affida a supposizioni e congetture per capire come è stato attaccato il sistema, quando sono stati inseriti gli eseguibili, come sono stati scalati i privilegi, come viene mantenuta la persistenza dell’attacco e quali parti del sistema sono state colpite. Con le serie temporali, questo tipo di informazioni può essere conosciuto e compreso. I dati compromessi possono essere ripristinati chirurgicamente a uno stato precedente, non compromesso.

    Un tempo le organizzazioni consideravano i backup come una polizza assicurativa contro la perdita, il furto o il danneggiamento dei dati. Gli attacchi informatici hanno cambiato questo concetto per sempre e i backup sono ora la polizza assicurativa definitiva contro gli attacchi informatici, ma sono anche molto di

    più. Sono la postazione più logica in cui collocare la scansione delle vulnerabilità e i penetration test, dato il tributo che questi richiedono ai sistemi in funzione. I CISO possono utilizzare i backup per contribuire a soddisfare i due compiti cruciali propri del loro lavoro: proteggere i dati e i sistemi dell’organizzazione e ripristinare i sistemi dopo un attacco. Sono anche una fonte di informazioni che aiuta la governance dei dati e le operazioni di sicurezza.

    A cura di James Blake, CISO per l’area EMEA di Cohesity

     

     

    Cohesity Cybersecurity data management
    Share. Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email
    Redazione BitMAT
    • Website
    • Facebook
    • X (Twitter)

    BitMAT Edizioni è una casa editrice che ha sede a Milano con una copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.

    Correlati

    Attacchi web a +33% e API obiettivo numero uno. L’analisi di Akamai

    23 Aprile 2025

    Infrastrutture critiche: la sicurezza è un imperativo

    18 Aprile 2025

    IA e Cybersecurity governano le strategie di investimento aziendali

    18 Aprile 2025
    Newsletter

    Iscriviti alla Newsletter per ricevere gli aggiornamenti dai portali di BitMAT Edizioni.

    BitMATv – I video di BitMAT
    Transizione 5.0: vuoi il 45% sui software?
    Stormshield: Zero Trust pilastro della security aziendale
    RENTRI: regole pratiche per uscirne vivi
    Vertiv: come evolve il mondo dei data center
    2VS1 incontra GCI: focus sulle competenze
    Tag Cloud
    Acronis Akamai attacchi informatici Axitea Barracuda Networks Bitdefender Check Point Research Check Point Software Technologies CISO cloud Commvault CyberArk cybercrime Cybersecurity cyber security DDoS ESET F-Secure F5 Networks FireEye Fortinet Hacker Identity Security infrastrutture critiche intelligenza artificiale (AI) Iot Kaspersky malware minacce informatiche palo alto networks phishing Proofpoint ransomware Security SentinelOne sicurezza sicurezza informatica Sicurezza It SOC Stormshield Trend Micro Vectra AI WatchGuard Technologies Zero Trust Zscaler
    Chi Siamo
    Chi Siamo

    BitMAT Edizioni è una casa editrice che ha sede a Milano con una copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.

    Facebook X (Twitter) Instagram Vimeo LinkedIn RSS
    Navigazione
    • Attualità
    • Opinioni
    • Ricerche
    • Soluzioni
    Ultime

    Attacchi web a +33% e API obiettivo numero uno. L’analisi di Akamai

    23 Aprile 2025

    Infrastrutture critiche: la sicurezza è un imperativo

    18 Aprile 2025

    IA e Cybersecurity governano le strategie di investimento aziendali

    18 Aprile 2025
    • Contattaci
    • Cookies Policy
    • Privacy Policy
    • Redazione
    © 2012 - 2025 - BitMAT Edizioni - P.Iva 09091900960 - tutti i diritti riservati - Iscrizione al tribunale di Milano n° 295 del 28-11-2018 - Testata giornalistica iscritta al ROC

    Type above and press Enter to search. Press Esc to cancel.