Resilienza informatica. Come giocare d’anticipo sulle minacce informatiche
Resilienza informatica
Da qualche tempo si sta facendo largo il concetto di “resilienza informatica”.
Le aziende hanno preso sempre più consapevolezza del valore delle proprie risorse informatiche, nonché dei dati gestiti. Il punto non è più chiedersi se si verrà attaccati, ma quando.
Oggi poter rilevare le minacce e neutralizzarle prima che raggiungano i sistemi è strategico. Lo è, però, anche la capacità di reagire tempestivamente ed avere gli strumenti in grado di recuperare informazioni e apparati colpiti.
Rilevamento, protezione e disaster recovery sono le parole chiave per il futuro.
Intelligenza artificiale e protezione dati
Nella partita per la protezione dei dati è scesa in campo anche l’Intelligenza Artificiale.
Anche i cybercriminali, però, sanno farne buon uso, nella progettazione di attacchi informatici.
Esistono, infatti, già da tempo dei malware che, grazie all’uso dell’Intelligenza Artificiale, riescono a comportarsi in modo da non essere intercettati dai sistemi di difesa. Si rendono, cioè, “invisibili” ai sistemi di protezione tradizionali e, quindi, in grado di penetrare nelle reti, diffondendosi molto velocemente.
Non a caso si parla di cyberwar, riferendosi a questa nuova era della sicurezza informatica. Grazie all’Intelligenza Artificiale, i cybercriminali hanno visto nel tempo moltiplicarsi le possibilità e la velocità di attacco, andando ad automatizzare tutti quei processi che normalmente richiedono tempo ed energie.
D’altro lato, grazie alla capacità di monitorare ed elaborare informazioni ad una velocità maggiore, l’intelligenza artificiale è impiegata a supporto degli analisti di cybersecurity, creando insieme a loro una vera e propria task force in difesa dei dati. Gli algoritmi sono in grado di analizzare le reti e scovare possibili minacce con una velocità ed un’efficienza decisamente superiori all’essere umano.
Un esempio del connubio fra esperti di sicurezza e IA è il modello ACE – Adaptive Cybersecurity Ecosystem – elaborato da Sophos, in grado di unire, appunto, esperti, processi e tecnologie per fornire un servizio di protezione completo e di altissimo livello.
In questo scenario, l’Intelligenza Artificiale gioca sia nel ruolo di attaccante che di difensore.
IA contro IA, dunque, basate sull’Autonomous Response – risposta automatica –, che applica la stessa tecnica all’attacco ed alla difesa, in una vera e propria gara alla scoperta delle tecniche più avanzate e degli algoritmi più sofisticati.
Disaster Recovery
Nelle strategie di protezione dati non può mancare il disaster recovery.
Le aziende stanno puntando sempre di più su servizi di Disaster Recovery, che consentano loro di non bloccare i processi in caso di incidenti di varia natura: guasto di apparati fisici, furto o cancellazione accidentale di dati.
Si tratta di un “piano B” strategico, che nessuna organizzazione può ignorare.
Un piano di disaster recovery efficace include, tipicamente, non solo il backup dei dati, ma anche dell’infrastruttura, per preservare la propria business continuity.
Per avere un piano efficace di disaster recovery è necessario effettuare un’analisi del rischio in caso di blocco dell’operatività.
Ogni piano dovrebbe avere:
- una mappatura dei sistemi e dei dati business critical
- la definizione dell’ RPO (Recovery Point Objective), cioè il tempo che può trascorrere tra la generazione di un dato e la sua copia di sicurezza (backup)
- la definizione dell’ RTO (Recovery Time Objective), ossia il tempo necessario per riprendere l’operatività
Definiti questi punti, l’azienda è in grado di scegliere il piano più adatto alle sue esigenze.
Un servizio di disaster recovery, quindi, ha una componente consulenziale ed una tecnologica.
Le aziende, infatti, sono sempre più orientate a scegliere soluzioni “As a Service”, che le liberino dalla complessità di gestione degli aspetti IT.
Backup
Una componente importante in una strategia di protezione dati è certamente il backup.
Dal Sophos 2023 Threat Report estrapoliamo alcuni dati salienti sulla situazione attuale delle minacce informatiche:
- Il 94% delle organizzazioni ha subito un attacco informatico l’anno scorso.
- L’esfiltrazione dei dati è il problema di sicurezza che preoccupa di più per il 2023.
- Il 93% degli intervistati reputa difficile gestire la cybersecurity.
- Il ransomware si conferma una delle principali minacce informatiche, i cui effetti impattano le organizzazioni in termini di perdita di dati sensibili e conseguente violazione privacy, oltre ai danni alla reputazione aziendale.
Implementare politiche di backup efficaci è uno dei passaggi fondamentali per la protezione dei dati e dei sistemi. Occorre, però, testare periodicamente i piani di ripristino, per essere certi che tutto funzioni in caso di attacco informatico, per garantire la continuità delle operazioni.
Ne abbiamo parlato diffusamente in questo ebook.
Il backup dei dati mantiene, quindi, un ruolo centrale nella protezione delle informazioni. Proprio per questo le minacce informatiche prendono di mira direttamente il cuore del sistema.
Siamo ormai (purtroppo) abituati ad attacchi mirati da parte dei ransomware, che sequestrano i dati e si diffondono su tutta la rete, rendendo spesso complicate e lunghe le operazioni di ripristino e costringendo le aziende a blocchi prolungati.
Ma c’è di più.
Gli ultimi attacchi informatici prendono di mira prima di tutto proprio i sistemi di backup, li neutralizzano e poi iniziano ad attaccare il resto dell’infrastruttura. Oppure infettano le copie di backup e le modificano, così da compromettere tutte le macchine che vengono ripristinate.
Per questo è indispensabile cambiare approccio: non basta copiare i dati. Serve una infrastruttura che tenga costantemente sotto controllo i backup, per bloccare tentativi di criptazione non autorizzati, ma anche i tentativi di manomissione.
Si è passati, quindi, dalla “semplice” protezione dei dati tramite backup alla “protezione della protezione”, per così dire, ossia del backup stesso.
L’importanza della formazione
La sicurezza passa anche dalla consapevolezza e formazione delle risorse, che restano l’anello debole della catena.
Chi ne ha bisogno?
Praticamente tutti… tutti quelli che, almeno una volta hanno cliccato, distrattamente, su un link o aperto un allegato e si sono ritrovati “in casa” un virus o un ransomware.
Se, poi, si pensa alle tecniche di social engineering, il quadro si amplia ancora di più. Ad esempio, gli attacchi reverse BEC (Business E-mail Compromise), sono simili al phishing, ma in realtà più evoluti, perché puntano a carpire dati. L’attaccante prende di mira una vittima, ad esempio il dipendente di un’azienda, ne studia le abitudini ed i contatti, poi invia una mail “innocua”, cioè non contenente malware. Lo scopo è quello di intraprendere uno scambio di mail e guadagnarsi la fiducia della vittima, per poi in seguito fare richieste mirate ad ottenere informazioni o documenti.
Un’altra tattica può essere quella di impossessarsi dell’account di un responsabile, per far compiere alla vittima determinate azioni. Si tratta, sostanzialmente, dell’hackeraggio di un account aziendale, che risulta appunto credibile e difficile da intercettare.
Esistono soluzioni dedicate all’addestramento delle risorse, per renderle capaci di riconoscere gli attacchi informatici, che nella maggior parte dei casi avvengono tramite campagne di phishing.
Sophos, nostro partner di riferimento per la sicurezza informatica, ha ideato Phish Threat, uno strumento per sensibilizzare le aziende sulla sicurezza delle reti, che educa gli utenti mediante l’uso di simulazioni di attacco e che, in base ai risultati, propone corsi di formazione specifici.
Il 25 e 26 ottobre saremo presenti al 21° Forum ICT Security che si terrà a Roma presso l’Auditorium della Tecnica, iscriviti all’evento per poter seguire il nostro intervento di approfondimento su “TECNOLOGIA E SERVIZI PER UNA CYBERSECURITY AS A SERVICE, SEMPRE PIU’ EFFICACE”. La partecipazione all’evento è gratuita previa registrazione online al seguente link: https://www.ictsecuritymagazine.com/eventi/register