La data protection è il processo di protezione dei dati da perdita, danneggiamento o interruzione dei servizi tramite backup e architettura resiliente ai dati. Dai backup al ripristino e al riutilizzo dei dati, copre tutte le tecnologie e le tecniche che un'organizzazione può utilizzare per mantenere i dati sicuri e altamente disponibili per i propri prodotti, servizi e operazioni.
In questa guida approfondiremo le varie tecnologie e tecniche a disposizione di un amministratore di sistema per garantire la sicurezza dei dati.
Sebbene il termine data protection sia spesso utilizzato in modo intercambiabile con la sicurezza dei dati e la privacy dei dati, esistono sottili differenze tra i tre termini:
Se vuoi assicurarti che i dati della tua organizzazione siano completamente protetti, devi investire in tutti e tre. Per questa guida, ci concentreremo principalmente sulla data protection, sebbene esistano naturalmente alcune sovrapposizioni tra i tre domini.
La filosofia alla base della data protection nella sala server o nel data center è da tempo quella della ridondanza. Non puoi permetterti di subire perdita, corruzione o compromissione dei tuoi dati, quindi effettua sempre un backup.
Naturalmente, il backup dei dati è il requisito minimo. La data protection è davvero un utile per la gestione degli RPO (Recovery Point Objective) e RTO (Recovery Time Objective) per i servizi più cruciali del tuo stack tecnologico operativo. In altre parole, è la velocità con cui è possibile eseguire il backup e il restore dei dati per evitare l'interruzione delle operazioni aziendali critiche.
Che cosa sono esattamente RTO e RPO?
RTO: tempo massimo consentito durante il quale l'azienda non ha accesso ai dati su cui si basano applicazioni e operations. Determina la rapidità richiesta per il ripristino del sistema.
RPO: si riferisce alla quantità massima consentita di dati che l'azienda può perdere. Questo valore viene utilizzato per determinare la frequenza dei backup.
L'RTO e l'RPO sono gli indicatori chiave delle prestazioni (KPI) che occorre tener presenti quando si definisce la strategia di disaster recovery.
Scopri perché con Ransomware il restore è il nuovo backup
Noto anche come backup e disaster recovery, il backup e il restore si riferiscono alla pratica di eseguire il backup dei dati in modo da poter ripristinare i servizi e le operazioni aziendali in caso di emergenza. I disastri possono includere qualsiasi cosa, dai disastri naturali ai blackout, dagli errori umani agli attacchi informatici.
A seconda delle tecnologie e delle risorse disponibili per la tua organizzazione, potrebbe essere necessario utilizzare una o più di queste tecniche di backup nell'ambito di una strategia di disaster recovery per data center più ampia:
L'implementazione di un piano di backup solido è solo una parte dell'equazione della data protection. La seconda parte riguarda l'impatto sugli RTO. In altre parole, come puoi ripristinare i sistemi aziendali in funzione in seguito a un disastro? Un tipico piano di disaster recovery comprende:
In un mondo sempre più digitale, i clienti si aspettano che le aziende siano in grado di fornire i propri servizi 24 ore su 24, 7 giorni su 7, senza downtime o interruzioni. La data protection continua (CDP, Continuous Data Protection), nota anche come backup continuo, è la pratica di eseguire il backup del flusso continuo di dati necessario per supportare le operazioni aziendali moderne. Offre alle organizzazioni la possibilità di ripristinare un sistema in qualsiasi momento precedente. L'obiettivo del CDP è di ridurre al minimo gli RTO e gli RPO in caso di emergenza. Sfruttando i backup continui in tempo reale e implementando una solida strategia di disaster recovery, è possibile mantenere la business continuity tramite CDP.
Finora abbiamo trattato le cose che puoi fare in genere per proteggere i tuoi dati e mantenere la business continuity in caso di emergenza. Ma c'è un tipo di disastro che è in aumento e vale la pena affrontare da solo: il ransomware.
I criminali informatici sono sempre stati una minaccia, ma mentre gli hacker di un tempo erano motivati da convinzioni politiche, culturali e religiose, oggi i criminali informatici sono in gran parte motivati da guadagni finanziari. Ransomware, in cui un hacker ti blocca dai dati tramite crittografia fino a quando non paghi un riscatto, è ora un settore multimilionario. E in un mondo in cui il downtime si traduce direttamente in una perdita di fatturato, non è mai stato così allettante pagare quel riscatto.
Nelle sezioni seguenti, tratteremo le cose che puoi fare per contenere un attacco ransomware.
Il modo migliore per combattere il ransomware è evitare che si verifichi in primo luogo. Si tratta di ottenere una visibilità a livello di sistema, mettere in pratica una buona igiene dei dati e mettere in atto un piano per gestire una minaccia una volta identificata.
Gli attacchi informatici non sono così ovvi nella vita reale come lo sono per i protagonisti dei film. L'attacco stesso può durare solo 30-40 minuti quando accede ai file e si sposta lateralmente attraverso le reti, crittografando i file ed eliminando i backup. D'altro canto, un utente malintenzionato potrebbe rimanere in difficoltà sulla rete molto tempo dopo aver ottenuto l'accesso, monitorando le risposte alle anomalie mentre pianifica un attacco effettivo. In ogni caso, quando ricevi una nota di riscatto per i tuoi dati, l'attacco è già stato completato.
L'unico modo per rilevare un attacco ransomware mentre è ancora in corso è prendere nota dei tentativi di phishing non appena si verificano (formando i dipendenti) o rilevare attività sospette sulla rete tramite SEIM e log. Se hai adottato queste misure proattive e disponi degli strumenti necessari, è necessario disporre di un piano di risposta agli incidenti informatici (CIR) per gestire l'attività anomala quando la scopri. Documentare tutto e informare il personale IT interessato per isolare i sistemi interessati e ridurre i danni. Nel caso in cui l'attività dovesse rivelarsi un vero attacco ransomware, è necessario disporre di tali record per soddisfare i requisiti di conformità e aiutare le forze dell'ordine a svolgere indagini. In questo articolo tratteremo i dettagli della creazione di un piano CIR.
I tuoi file sono stati crittografati e hai appena ricevuto una nota di ransomware. Quali sono le tue opzioni?
Un'opzione è quella di pagare il riscatto, ma così facendo si rischia di esporre l'organizzazione a ulteriori estorsioni.
Un'opzione migliore, a condizione di aver seguito i passaggi di mitigazione proattiva del ransomware descritti nelle sezioni precedenti, è quella di eliminare, ripristinare e rispondere:
Maggiori informazioni: Guida dell'hacker alla riduzione e al ripristino dal Ransomware
Un piano di risposta agli incidenti informatici è un documento formale che descrive i dettagli che il personale deve seguire in caso di attacco informatico. È anche un requisito PCI DSS (Payment Card Industry Data Security Standard). I piani di risposta agli incidenti informatici sono generalmente costituiti da sei fasi distinte:
In questa fase vengono descritti i passi, i ruoli e le procedure da seguire in caso di incidente informatico. Prepara un team di persone con ruoli e responsabilità chiaramente definiti per rispondere a un incidente informatico. Comprende anche il test di questi ruoli e procedure tramite la formazione dei dipendenti con scenari di simulazione come le false violazioni dei dati.
Questa fase prevede il rilevamento e l'analisi forense di eventi informatici anomali per determinare se si è verificata una violazione e la gravità dell'incidente.
L'ambito e la gravità dell'incidente devono essere documentati e analizzati prima di poter essere risolti in modo efficace. I log di sistema e di rete possono essere la chiave per rispondere immediatamente a una violazione e determinare i dettagli critici di un incidente di sicurezza dopo che si è verificato.
Maggiori informazioni: Sei stato colpito dal Ransomware Now What? (Hai subito un attacco ransomware. E adesso?).
In caso di incidente informatico, la fase di contenimento specifica le azioni intraprese per prevenire ulteriori danni e mitigare i rischi. In genere, il contenimento comporta la disconnessione e la disattivazione dei dispositivi interessati da Internet.
Una volta contenuta, una minaccia può essere analizzata da un professionista della sicurezza per determinare la causa principale dell'incidente ed eliminare qualsiasi minaccia. Nella fase di eliminazione devono essere descritte la rimozione del malware, le patch di sicurezza e altre misure.
La fase di ripristino prevede passaggi e procedure per il ripristino dei sistemi e dei dispositivi interessati in produzione. I backup ridondanti, le snapshot e un piano di disaster recovery possono essere implementati per ripristinare i servizi mission-critical in caso di violazione. Dovresti anche disporre di un ambiente di ripristino a fasi che possa offrirti un modo "preconfigurato" per tornare online subito dopo un evento.
La sicurezza informatica è un processo continuo. È importante raccogliere le informazioni raccolte e le lezioni apprese da un incidente informatico e applicarle per migliorare i protocolli di sicurezza e il piano di risposta agli incidenti stesso.
Ottieni un piano 6-Point per la "durata" di una violazione dei dati
In questa guida abbiamo esaminato i vari strumenti, strategie e tecnologie disponibili per proteggere i dati e mantenere la business continuity in caso di emergenza. In fin dei conti, i tuoi dati sono sicuri solo quanto l'infrastruttura che usi per gestirli.
Ecco perché i prodotti Pure Storage ® sono progettati dall'alto tenendo presente la data protection moderna. Ecco alcuni esempi di soluzioni di data protection moderne sviluppate da Pure:
Le minacce ai dati moderni richiedono soluzioni di data protection moderne. Archiviare i dati con Pure Storage è il modo migliore per garantire performance, affidabilità e sicurezza alla tua organizzazione.
Hai domande o commenti sui prodotti o sulle certificazioni di Pure? Siamo qui per aiutarti.
Prenota una demo per vedere come puoi trasformare i tuoi dati in risultati concreti con Pure.
Telefono: +39 02 9475 9422
Media: pr@purestorage.com
Pure Storage Italia
Spaces c/o Bastioni di Porta Nuova, 21
Milano, 20121