I cyberattacchi ai sistemi aziendali, compresi i sistemi di identità ibridi, continuano a fare notizia, come le recenti violazioni che hanno colpito l'azienda sanitaria Henry Schein e il conglomerato alberghiero MGM Resorts. Oltre a questi attacchi ben pubblicizzati, il team dei servizi di preparazione e risposta alle violazioni di Semperis ha registrato un'impennata di richieste da parte dei nostri clienti (e dei clienti dei nostri partner) per aiutarli a riprendersi da attacchi legati all'identità.
Nel corso di questi interventi di incident response (IR), ho osservato forti differenze nei tempi di recupero e nell'impatto che questi hanno sulle varie organizzazioni, il che mi ha fatto pensare al livello di resilienza di queste aziende. Qual è la differenza tra un'azienda che si riprende in tempi relativamente brevi dopo un attacco legato all'identità e un'azienda il cui recupero si trascina per giorni o settimane, con costi enormi per l'organizzazione? In base alla mia esperienza diretta, ho concluso che la differenza più grande è la capacità dell'organizzazione di orchestrare, automatizzare e testare il processo di recupero.
I backup sono solo l'inizio
Disporre di backup è ovviamente un punto di partenza essenziale per il ripristino dell'azienda. Anche se oggi non dovrebbe essere così, alcune aziende hanno ancora problemi con le politiche e le procedure di backup offline/offsite. Nel caso di un cyberattacco che metta fuori uso l'ambiente Active Directory, abbiamo spesso visto che il primo obiettivo della crittografia è il server di backup e ripristino sulla rete aziendale. Una volta che gli aggressori sono riusciti a criptare il sistema di backup, passano a criptare il resto dell'organizzazione.
Raccomandazione: Assicuratevi di avere backup offline/offsite a cui non si possa accedere utilizzando le stesse credenziali del resto della rete di produzione.
Il processo di recupero può essere un ostacolo
Una procedura di ripristino complicata può inoltre ritardare il ritorno alle normali attività aziendali. L'approccio migliore per il ripristino è "la pratica fa progressi". In molti casi di IR in cui siamo coinvolti, la maggior parte della tempistica di recupero viene impiegata per ottenere l'approvazione del processo di recupero da parte delle persone giuste. Ma vengono trascurati anche altri aspetti del ripristino che sembrano ovvi, come il mantenimento di un elenco offline di contatti chiave e l'organizzazione dei turni di lavoro per i soccorritori esperti, il che aggiunge complicazioni a una situazione già di per sé caotica.
Wayne Hankins e Craig Porter, analisti di Gartner, hanno recentemente sottolineato l'importanza della velocità nel recupero da un attacco ransomware: "I CISO responsabili della preparazione agli attacchi ransomware devono costruire la resilienza sviluppando una strategia di contenimento che possano eseguire durante un attacco ransomware. In caso contrario, aumenterà il rischio di una risposta scoordinata e inefficace, prolungando i tempi di recupero".
Sebbene Gartner non fornisca istruzioni specifiche su come costruire il playbook di recupero, posso affermare che più dettagli cattura un'organizzazione, più veloce sarà il recupero. Per scoprire questi dettagli è necessario esercitarsi in ogni fase del percorso di recupero.
Raccomandazione: Assicurarsi di disporre di una procedura IR ben documentata che fornisca dettagli su tutti gli aspetti del processo di ripristino, e verificare che sia possibile accedere a queste informazioni anche se la rete è fuori uso. Le informazioni di base (in futuro pubblicheremo un elenco più completo e lo linkeremo qui) comprendono:
- Chi deve approvare le varie fasi del processo, ad esempio chi può autorizzare l'avvio della procedura di ripristino di Active Directory?
- Chi sono i vostri fornitori principali (questo elenco potrebbe essere diverso per un caso di IR rispetto ai fornitori per le normali operazioni IT) e quali sono le loro informazioni di contatto?
- Quali SLA sono in vigore con i vostri fornitori?
Il tempo è il fattore critico per il successo del recupero
Dopo aver recuperato i backup e aver approvato la procedura di ripristino, la sfida successiva è il tempo. Il tempo è l'unico fattore che lavora contro di voi. A mio avviso, se si dispone di tempo sufficiente e di accesso a backup validi, è possibile ripristinare qualsiasi ambiente. Ma un tempo eccessivo per il ripristino può causare danni irreparabili all'organizzazione. Esiste un collegamento diretto tra i tempi di inattività operativa e il costo dei danni per l'organizzazione. Anche se non è comune che gli sforzi di ripristino falliscano completamente, i costi associati a tempi di inattività eccessivi possono essere devastanti.
Valutare con precisione i costi complessivi dei tempi di inattività è notoriamente difficile e il conteggio finale varia a seconda delle dimensioni dell'organizzazione e del settore. La stima di Gartner del 2014, secondo cui i tempi di inattività dell'IT costano alle aziende, in media, 5.600 dollari al minuto, viene ancora utilizzata come punto di riferimento. Recentemente Gartner ha riferito che i costi di recupero dagli attacchi ransomware sono aumentati del 20% nel 2023 rispetto al 2022.
Ma anche in questo caso, i costi dei tempi di fermo possono variare in modo considerevole: Secondo Forbes, un produttore automobilistico medio perde 22.000 dollari al minuto quando la linea di produzione si ferma. La questione rilevante non è quale sia il costo medio dei tempi di inattività nel settore. La considerazione importante è quanto i tempi di inattività costeranno alla vostra organizzazione, non solo in termini di costi fissi, ma anche di danni alla reputazione, legali e normativi.
Raccomandazione: Assicuratevi di orchestrare e automatizzare il più possibile il processo di ripristino. Il ripristino orchestrato con sistemi complessi può fare la differenza tra giorni e settimane di tempo di ripristino rispetto a minuti e ore. Ad esempio, Maersk ha impiegato nove giorni solo per recuperare la propria Active Directory dopo l'attacco NotPetya. Nello stesso ambiente, ma con una soluzione orchestrata, il tempo di ripristino può essere ridotto a 30 minuti.
La sicurezza post violazione previene gli attacchi successivi
Una volta completato il ripristino, l'ultimo sforzo importante nel processo di ripristino è garantire che l'ambiente sia protetto e affidabile. L'ultima cosa da fare è esporre l'ambiente ripristinato troppo presto, il che potrebbe aprire la porta agli aggressori per tornare immediatamente a distruggerlo. È necessario identificare ed eliminare le minacce informatiche persistenti prima di riportare i sistemi in produzione.
Raccomandazione: Assicurarsi che il processo di IR includa un processo ben definito per la messa in sicurezza dell'ambiente dopo il ripristino. La procedura deve comprendere la scansione di tutti i sistemi alla ricerca di indicatori di esposizione (IOE), indicatori di compromissione (IOC) e potenziali indicatori di attacco (IOA).
Concentrarsi sulla riduzione dei tempi di inattività per migliorare la resilienza informatica
Prepararsi allo scenario peggiore è il primo passo per garantire che la vostra organizzazione possa sopravvivere a un disastro informatico. Il numero e la gravità degli attacchi alle organizzazioni di ogni dimensione, di ogni mercato verticale e di ogni posizione geografica aumentano ogni mese che passa.
Sulla base della mia esperienza nell'aiutare le organizzazioni a riprendersi da attacchi devastanti, invito tutti i leader aziendali a dare la priorità allo sviluppo di un piano di disaster recovery completamente testato e orientato al cyber. Sebbene non sia possibile prevenire ogni attacco informatico, è possibile ridurre drasticamente i tempi di ripristino. La riduzione dei tempi di inattività potrebbe essere il fattore che determina la sopravvivenza dell'azienda.