La guida definitiva alla data protection

La data protection è il processo di protezione dei dati da perdita, danneggiamento o interruzione dei servizi tramite backup e architettura resiliente ai dati. Dai backup al ripristino e al riutilizzo dei dati, copre tutte le tecnologie e le tecniche che un'organizzazione può utilizzare per mantenere i dati sicuri e altamente disponibili per i propri prodotti, servizi e operazioni.

In questa guida approfondiremo le varie tecnologie e tecniche a disposizione di un amministratore di sistema per garantire la sicurezza dei dati.

Sebbene il termine data protection sia spesso utilizzato in modo intercambiabile con la sicurezza dei dati e la privacy dei dati, esistono sottili differenze tra i tre termini:

• La data protection è spesso utilizzata come termine generico che include la sicurezza e la riservatezza dei dati. Nel settore, tuttavia, spesso si riferisce più specificamente alla prevenzione della perdita o del danneggiamento dei dati attraverso resilienza, ridondanza e ripristino.
• La sicurezza dei dati è più specifica e riguarda la prevenzione di accessi, manipolazioni o danneggiamento non autorizzati dei dati da parte di parti interne ed esterne tramite firewall, crittografia e altre tecnologie.
• La privacy dei dati si concentra sul controllo dell'accesso ai dati per impedire l'esposizione di dati e informazioni sensibili. Comprende formazione sulla sicurezza, strategie di autenticazione e conformità alle normative sulla sicurezza delle informazioni come il GDPR.

Se vuoi assicurarti che i dati della tua organizzazione siano completamente protetti, devi investire in tutti e tre. Per questa guida, ci concentreremo principalmente sulla data protection, sebbene esistano naturalmente alcune sovrapposizioni tra i tre domini.

La filosofia alla base della data protection nella sala server o nel data center è da tempo quella della ridondanza. Non puoi permetterti di subire perdita, corruzione o compromissione dei tuoi dati, quindi effettua sempre un backup.

Naturalmente, il backup dei dati è il requisito minimo. La data protection è davvero un utile per la gestione degli RPO (Recovery Point Objective) e RTO (Recovery Time Objective) per i servizi più cruciali del tuo stack tecnologico operativo. In altre parole, è la velocità con cui è possibile eseguire il backup e il restore dei dati per evitare l'interruzione delle operazioni aziendali critiche.

Che cosa sono esattamente RTO e RPO?

• RTO: tempo massimo consentito durante il quale l'azienda non ha accesso ai dati su cui si basano applicazioni e operations. Determina la rapidità richiesta per il ripristino del sistema. 

• RPO: si riferisce alla quantità massima consentita di dati che l'azienda può perdere. Questo valore viene utilizzato per determinare la frequenza dei backup.

L'RTO e l'RPO sono gli indicatori chiave delle prestazioni (KPI) che occorre tener presenti quando si definisce la strategia di disaster recovery.

Scopri perché con Ransomware il restore è il nuovo backup

Noto anche come backup e disaster recovery, il backup e il restore si riferiscono alla pratica di eseguire il backup dei dati in modo da poter ripristinare i servizi e le operazioni aziendali in caso di emergenza. I disastri possono includere qualsiasi cosa, dai disastri naturali ai blackout, dagli errori umani agli attacchi informatici. 

Pianificazione del backup dei dati

A seconda delle tecnologie e delle risorse disponibili per la tua organizzazione, potrebbe essere necessario utilizzare una o più di queste tecniche di backup nell'ambito di una strategia di disaster recovery per data center più ampia:

• Backup completo delle immagini: si effettua il backup dell'immagine completa dei dati per creare un punto di ripristino che può essere applicato immediatamente. Poiché si tratta di un backup completo, questo metodo richiede più tempo per l'archiviazione.
• Backup differenziale: Esegue il backup di tutte le modifiche dall'ultimo backup completo delle immagini. Il ripristino richiede solo due file: l'ultimo backup completo delle immagini, seguito dal backup differenziale più recente. 
• Backup incrementale: È possibile eseguire il backup incrementale delle modifiche dall'ultimo punto di restore completo dell'immagine. Dopo un determinato numero di backup incrementali, il ciclo viene completato con un backup completo delle immagini. Il ripristino inizia con l'ultimo backup completo delle immagini, seguito da backup incrementali nell'RPO di destinazione. 
• Backup in tempo reale: detto anche backup continuo, questo metodo implica la copia immediata di ogni modifica dei dati in un dispositivo di storage separato. È la tecnica di backup più granulare e completa.
• Ripristino istantaneo: prevede la gestione di una macchina virtuale di backup aggiornata di continuo per una macchina virtuale di produzione. In caso di guasto della macchina virtuale di produzione, viene applicato immediatamente il backup, con zero RTO e zero RPO.

Scopri di più sui backup tier e sui data bunker per soluzioni di backup a lungo termine e ad alta disponibilità

Disaster recovery del data center

L'implementazione di un piano di backup solido è solo una parte dell'equazione della data protection. La seconda parte riguarda l'impatto sugli RTO. In altre parole, come puoi ripristinare i sistemi aziendali in funzione in seguito a un disastro? Un tipico piano di disaster recovery comprende:

• Team di disaster recovery: Designare un gruppo di persone direttamente responsabili (DRI) per l'implementazione del piano di disaster recovery.
• Analisi dei rischi: È importante essere preparati e consapevoli di ciò che potrebbe andare storto all'interno dell'organizzazione. Identifica i rischi e i piani d'azione in caso di downtime non pianificato o disastro.
• Conformità: Il fatto di essere vittima di un attacco non significa che tu abbia subito una violazione delle normative sulla conformità dei dati. Un responsabile della conformità può garantire che la tua organizzazione segua le policy di conservazione ed eliminazione e non esegua il backup dei dati sensibili precedentemente programmati per l'eliminazione per motivi di conformità.
• Analisi dell'impatto sul business: In seguito a un disastro, è necessario che qualcuno valuti il potenziale impatto sui servizi aziendali. Potrebbe essere possibile ripristinare i servizi più critici prima che vengano eseguiti. L'identificazione e la documentazione dei sistemi, delle applicazioni, dei dati e degli asset più critici per la business continuity possono aiutare il team di disaster recovery a compiere le azioni più efficienti necessarie per il ripristino.
• Backup dei dati: A seconda delle strategie e delle tecnologie di backup utilizzate, è possibile riprendere le operazioni aziendali tornando al backup più recente. Gli RTO e gli RPO variano a seconda del backup e dei servizi interessati. 

È tutta una questione di data protection continua

In un mondo sempre più digitale, i clienti si aspettano che le aziende siano in grado di fornire i propri servizi 24 ore su 24, 7 giorni su 7, senza downtime o interruzioni. La data protection continua (CDP, Continuous Data Protection), nota anche come backup continuo, è la pratica di eseguire il backup del flusso continuo di dati necessario per supportare le operazioni aziendali moderne. Offre alle organizzazioni la possibilità di ripristinare un sistema in qualsiasi momento precedente. L'obiettivo del CDP è di ridurre al minimo gli RTO e gli RPO in caso di emergenza. Sfruttando i backup continui in tempo reale e implementando una solida strategia di disaster recovery, è possibile mantenere la business continuity tramite CDP.

Finora abbiamo trattato le cose che puoi fare in genere per proteggere i tuoi dati e mantenere la business continuity in caso di emergenza. Ma c'è un tipo di disastro che è in aumento e vale la pena affrontare da solo: il ransomware.

I criminali informatici sono sempre stati una minaccia, ma mentre gli hacker di un tempo erano motivati da convinzioni politiche, culturali e religiose, oggi i criminali informatici sono in gran parte motivati da guadagni finanziari. Ransomware, in cui un hacker ti blocca dai dati tramite crittografia fino a quando non paghi un riscatto, è ora un settore multimilionario. E in un mondo in cui il downtime si traduce direttamente in una perdita di fatturato, non è mai stato così allettante pagare quel riscatto.

Nelle sezioni seguenti, tratteremo le cose che puoi fare per contenere un attacco ransomware.

Prevenzione di un attacco ransomware

Il modo migliore per combattere il ransomware è evitare che si verifichi in primo luogo. Si tratta di ottenere una visibilità a livello di sistema, mettere in pratica una buona igiene dei dati e mettere in atto un piano per gestire una minaccia una volta identificata.

• Registrazione e monitoraggio: Gli strumenti di registrazione e monitoraggio dei sistemi possono fornire una visione d'insieme dei sistemi e aiutarti a capire come si presenta l'infrastruttura IT quando tutto funziona correttamente. I veloci analytics in tempo reale possono aiutarti a individuare le anomalie (ad esempio un picco di traffico dovuto a un indirizzo IP sospetto) e altre attività che possono portarti a un potenziale attacco.
• Igiene dei dati: Quando gli hacker piantano malware, sono alla ricerca di vulnerabilità di sicurezza come sistemi operativi privi di patch, strumenti di terze parti mal protetti e una gestione dei dati disordinata. Per igiene dei dati si intende l'implementazione di buone procedure di gestione delle patch, configurazione dei sistemi e sanificazione dei dati. Oltre a rendere la tua organizzazione più fluida, questi fattori riducono notevolmente la superficie di attacco di un potenziale attacco.
• Sicurezza operativa: Gli esseri umani sono una vulnerabilità spesso trascurata quando si tratta di sicurezza informatica. L'implementazione di autenticazione multifattore, controlli amministrativi e tiering dei dati può garantire la disponibilità dei dati solo alle persone autorizzate che ne hanno bisogno. La formazione sulla sensibilizzazione alla sicurezza che copre le tecniche degli hacker e gli attacchi di phishing può aiutare la tua organizzazione a individuare tentativi reali.

Cosa fare durante un attacco ransomware 

Gli attacchi informatici non sono così ovvi nella vita reale come lo sono per i protagonisti dei film. L'attacco stesso può durare solo 30-40 minuti quando accede ai file e si sposta lateralmente attraverso le reti, crittografando i file ed eliminando i backup. D'altro canto, un utente malintenzionato potrebbe rimanere in difficoltà sulla rete molto tempo dopo aver ottenuto l'accesso, monitorando le risposte alle anomalie mentre pianifica un attacco effettivo. In ogni caso, quando ricevi una nota di riscatto per i tuoi dati, l'attacco è già stato completato.

L'unico modo per rilevare un attacco ransomware mentre è ancora in corso è prendere nota dei tentativi di phishing non appena si verificano (formando i dipendenti) o rilevare attività sospette sulla rete tramite SEIM e log. Se hai adottato queste misure proattive e disponi degli strumenti necessari, è necessario disporre di un piano di risposta agli incidenti informatici (CIR) per gestire l'attività anomala quando la scopri. Documentare tutto e informare il personale IT interessato per isolare i sistemi interessati e ridurre i danni. Nel caso in cui l'attività dovesse rivelarsi un vero attacco ransomware, è necessario disporre di tali record per soddisfare i requisiti di conformità e aiutare le forze dell'ordine a svolgere indagini. In questo articolo tratteremo i dettagli della creazione di un piano CIR.

Disaster recovery dopo un attacco ransomware

I tuoi file sono stati crittografati e hai appena ricevuto una nota di ransomware. Quali sono le tue opzioni?

Un'opzione è quella di pagare il riscatto, ma così facendo si rischia di esporre l'organizzazione a ulteriori estorsioni.

Un'opzione migliore, a condizione di aver seguito i passaggi di mitigazione proattiva del ransomware descritti nelle sezioni precedenti, è quella di eliminare, ripristinare e rispondere:

• Elimina i sistemi dalle vulnerabilità che hanno consentito agli autori degli attacchi di accedere ai tuoi dati. L'hardware e il software compromessi devono essere isolati e disconnessi immediatamente dalla rete. È necessario condurre un audit di sistema e di rete per garantire che non rimangano backdoor o altri malware. È importante eseguire la sanificazione dei sistemi prima di eseguire il restore dei dati dai backup e metterli in funzione.
• Ripristina i dati sfruttando il tuo piano di backup e ripristino. Ci auguriamo che siano presenti alcune snapshot e un'infrastruttura di disaster recovery per consentire di eseguire il pick-up subito prima che si verifichi l'incidente informatico. Il tuo team di difesa dovrebbe eseguire un'analisi forense dei dati di backup all'interno di un ambiente virtuale sanificato per assicurarsi che gli autori degli attacchi non abbiano lasciato nulla alle spalle. Stai cercando un punto di ripristino non manomesso in cui puoi riportare i tuoi sistemi. 
• Rispondi in modo appropriato all'attacco adottando misure per esaminare i record, controllare i sistemi e documentare la natura dell'attacco. Per rispettare le normative, potrebbe essere necessario informare i clienti di una violazione dei dati e i log devono dimostrare che l'organizzazione ha fatto tutto il possibile per rispondere all'attacco. Le informazioni ottenute dall'attacco possono essere sfruttate per aiutare le forze dell'ordine a monitorare gli autori, oltre che per proteggere i tuoi sistemi dagli attacchi futuri.

Maggiori informazioni: Guida dell'hacker alla riduzione e al ripristino dal Ransomware

Un piano di risposta agli incidenti informatici è un documento formale che descrive i dettagli che il personale deve seguire in caso di attacco informatico. È anche un requisito PCI DSS (Payment Card Industry Data Security Standard). I piani di risposta agli incidenti informatici sono generalmente costituiti da sei fasi distinte: 

1. Preparazione

In questa fase vengono descritti i passi, i ruoli e le procedure da seguire in caso di incidente informatico. Prepara un team di persone con ruoli e responsabilità chiaramente definiti per rispondere a un incidente informatico. Comprende anche il test di questi ruoli e procedure tramite la formazione dei dipendenti con scenari di simulazione come le false violazioni dei dati. 

2. Identificazione

Questa fase prevede il rilevamento e l'analisi forense di eventi informatici anomali per determinare se si è verificata una violazione e la gravità dell'incidente. 

• Quali dati sono stati esposti? 
• Come è stato scoperto? 
• Chi ha scoperto l'incidente?
• Chi influisce su di esso?

L'ambito e la gravità dell'incidente devono essere documentati e analizzati prima di poter essere risolti in modo efficace. I log di sistema e di rete possono essere la chiave per rispondere immediatamente a una violazione e determinare i dettagli critici di un incidente di sicurezza dopo che si è verificato.

Maggiori informazioni: Sei stato colpito dal Ransomware Now What? (Hai subito un attacco ransomware. E adesso?).

3. Contenimento

In caso di incidente informatico, la fase di contenimento specifica le azioni intraprese per prevenire ulteriori danni e mitigare i rischi. In genere, il contenimento comporta la disconnessione e la disattivazione dei dispositivi interessati da Internet.

4. Eliminazione

Una volta contenuta, una minaccia può essere analizzata da un professionista della sicurezza per determinare la causa principale dell'incidente ed eliminare qualsiasi minaccia. Nella fase di eliminazione devono essere descritte la rimozione del malware, le patch di sicurezza e altre misure. 

5. dal ransomware

La fase di ripristino prevede passaggi e procedure per il ripristino dei sistemi e dei dispositivi interessati in produzione. I backup ridondanti, le snapshot e un piano di disaster recovery possono essere implementati per ripristinare i servizi mission-critical in caso di violazione. Dovresti anche disporre di un ambiente di ripristino a fasi che possa offrirti un modo "preconfigurato" per tornare online subito dopo un evento. 

6. Lezioni apprese

La sicurezza informatica è un processo continuo. È importante raccogliere le informazioni raccolte e le lezioni apprese da un incidente informatico e applicarle per migliorare i protocolli di sicurezza e il piano di risposta agli incidenti stesso.
 

Ottieni un piano 6-Point per la "durata" di una violazione dei dati

In questa guida abbiamo esaminato i vari strumenti, strategie e tecnologie disponibili per proteggere i dati e mantenere la business continuity in caso di emergenza. In fin dei conti, i tuoi dati sono sicuri solo quanto l'infrastruttura che usi per gestirli. 

Ecco perché i prodotti Pure Storage ® sono progettati dall'alto tenendo presente la data protection moderna. Ecco alcuni esempi di soluzioni di data protection moderne sviluppate da Pure:

• Ripristino rapido di FlashBlade ®: Offre 270TBh di performance di ripristino dei dati negli ambienti di produzione e test/sviluppo. 
• ActiveDR™: Integrato in Purity , ActiveDR offre un RPO quasi pari a zero tramite una replica asincrona affidabile che copre sia le nuove scritture che le snapshot e i programmi di protezione associati. 
• Purity ActiveCluster ™: La replica sincrona per lo zero RPO incontra il failover trasparente per lo zero RTO in questo vero metro stretch cluster active-active bidirezionale. cluster stretch metro 
• snapshot SafeMode ™: Le snapshot SafeMode sono una soluzione di protezione dal ransomware integrata in FlashArray ™ e FlashBlade . Le snapshot sono immutabili e consentono al tuo team di recuperare i dati in caso di attacco ransomware.

Le minacce ai dati moderni richiedono soluzioni di data protection moderne. Archiviare i dati con Pure Storage è il modo migliore per garantire performance, affidabilità e sicurezza alla tua organizzazione.