Backup encryption come pratica della sicurezza dei dati importante. Crittografare anche i backup, infatti, significa aggiunge un ulteriore livello di protezione rispetto alle principali minacce, tra cui:
- Accessi non autorizzati
- Esfiltrazione
- Ripristino di dati non autorizzato
In generale, la crittografia si conferma un potente strumento per tenere i dati sensibili fuori dalle mani sbagliate. Non a caso, il furto di informazioni è il motivo principale per cui le organizzazioni devono prestare attenzione a come proteggono i loro dati. I dati rubati, infatti, possono essere utilizzati per compromettere le identità, fare spionaggio aziendale o governativo e diventare un’esca per i ransomware. Per garantire la recuperabilità dopo un’interruzione, avere attivato misure adeguate di backup encryption dei dati si conferma una buona pratica.
“Le tecniche di backup encryption non solo possono aiutare a proteggere un’organizzazione da attività criminali ma aiutano a rispettare la conformità legislativa” spiega Christophe Bertrand, Enterprise Strategy Group (ESG) Director di TechTarget. “Di fatto, molte normative tematizzano la crittografia in senso lato ma una buona regola empirica presuppone la sua applicazione anche ai backup. Dal momento che le copie di sicurezza dei dati vengono fatti dal punto A al punto B, si consiglia vivamente di crittografare anche i dati in transito, in modo che non possano essere intercettati”.
Crittografia dei dati in transito e crittografia dei dati a riposo
Premesso che il modo più semplice per proteggere i dati sensibili è innanzitutto non averne, questa opzione è poco realistica per la stragrande maggioranza delle organizzazioni. Di fronte all’escalation e all’evoluzione delle minacce informatiche, i professionisti IT devono quindi elaborare una strategia basata su alcune best practice per proteggere non solo i dati in uso ma anche i dati in movimento e i dati inattivi.
Dati in movimento
La crittografia in transito implica la cifratura dei dati che si muovono attraverso la rete. Qualsiasi transazione Web che utilizza Secure Sockets Layer/Transport Layer Security o SSL/TLS, come HTTPS, viene crittografata in transito. Ciò protegge i dati da un utente malintenzionato che può vedere i dati che si spostano attraverso la rete, ad esempio tramite una connessione Wi-Fi.
Dati inattivi
La crittografia dei dati inattivi implica la crittografia dei dati archiviati su disco o nel sistema di backup. Questo protegge i dati se un utente malintenzionato ha accesso al sistema di archiviazione dei dati. Sebbene alcune applicazioni di backup creino file di backup in un formato proprietario, è necessaria una protezione aggiuntiva per impedire a potenziali aggressori di accedere e leggere facilmente questi file o repository.
Backup encryption come buona pratica contro esfiltrazioni e altri attacchi
Cosa succede se manca una procedura di backup encyption? Ci sono molte probabilità che un utente malintenzionato riesca ad ottenere l’accesso al sistema di backup per esfiltrare i dati. Quando i dati di backup sono crittografati anche il cybercrime non è in grado di leggere i dati. Solo le persone che detengono le chiavi possono dare un senso ai dati ed è per questo che fare backup encyption è un livello di difesa approfondito.
La sicurezza dei dati come difesa dal ransomware
Più in dettaglio, gli esperti ricordano anche come la sicurezza dei dati comprenda principi e linee guida finalizzati a garantire la legittimità degli accessi ai dati, impedendo quelli non autorizzati, preservando così la triade cosiddetta CIA.
L’acronimo, che sta per Confidentiality, Integrity e Avaliability, centra tre obiettivi:
- Riservatezza: l’accesso alle risorse e ai dati è consentito solo alle parti autorizzate
- Integrità: i dati possono essere aggiunti, cancellati o modificati solo da soggetti autorizzati
- Disponibilità: dati e sistemi sono disponibili alle parti autorizzate quando richiesto
Le best practice della sicurezza dei dati
Discovery
La fase di scoperta è il primo passo che aiuta a pianificare la sicurezza dei dati. Può sembrare tautologico affermare che non è possibile proteggere i dati se non si ha contezza della loro esistenza, ma nell’ambito della data governance succede di tutto di più. Nel mondo multi-cloud ibrido di oggi, ad esempio, le organizzazioni devono affrontare le due grosse sfide:
- Shadow IT , ovvero l’uso di servizi IT senza la conoscenza o l’approvazione delle organizzazioni IT o di sicurezza informatica.
- Shadow data, ovvero le copie non autorizzate, sconosciute o dimenticate di set di dati creati per test, trasferimenti di dati, backup, ecc.
- Shadow API ovvero le API non documentate e non tracciate utilizzate dagli sviluppatori per accelerare il loro lavoro di programmazione che il cybercrime utilizza per accedere agli endpoint e violare i controlli di sicurezza. È in questo modo che le API shadow possono diventare una porta d’ingresso a sistemi e dati sensibili delle organizzazioni.
Nel momento in cui un hacker riesce a penetrare nel perimetro aziendale ha tempo sufficiente per scoprire ed esfiltrare archivi di dati sconosciuti, e quindi non protetti.
Classificazione
Il passo successivo è classificare i dati per capire quale tipo di dati esiste. Ciò consente di concentrare le risorse sulla protezione dei dati sensibili. Inoltre, è necessario considerare la compliance a standard e regolamenti come GDPR, HIPAA, Sarbanes-Oxley e PCI DSS, che richiedono protezioni specifiche per determinati tipi di dati.
Per conformarsi a queste normative, è necessaria una classificazione dei dati a grana fine per identificare la pletora di tipi di dati, come informazioni di identificazione personale, numeri di carte di credito, numeri di telefono o ID governativi. La classificazione dei dati deve essere in grado di analizzare dati strutturati in database, file XML e così via, nonché dati non strutturati, inclusi file di testo, documenti, file immagine e altro ancora.
Mascheramento dei dati o tokenizzazione
Il mascheramento dei dati o la tokenizzazione possono essere utilizzati per proteggere la privacy delle informazioni sensibili dagli utenti autorizzati. Ad esempio, utilizzando il mascheramento per visualizzare solo le ultime quattro cifre di un numero di carta di credito su una ricevuta pur mantenendo il numero completo per poter elaborare una transazione.
La tokenizzazione dei dati, invece, va a sostituire i dati surrogati (token) per sostituire i dati che necessitano di protezione. Esistono diversi metodi per generare token e proteggere l’intero sistema ma, a differenza della crittografia, non esistono standard formali di tokenizzazione dei dati. Il che significa che, sebbene il mascheramento e la tokenizzazione proteggano la privacy, non proteggono i dati sottostanti se l’attaccante ottiene l’accesso diretto all’archivio dati. Ecco perché l’approccio più indicato è fare backup encryption.
Backup encryption: attenzione alle normative sui dati
In generale, la maggior parte delle normative sulla sicurezza e sulla privacy dei dati si applica ai dati di backup, proprio come si applicano a qualsiasi altro set di dati. Le organizzazioni devono crittografare qualsiasi informazione sensibile o regolamentata per garantire che i dati siano protetti in caso di esfiltrazione o esposizione pubblica involontaria.
Le normative specifiche che si applicano ai dati di backup includono:
- Tipiche normative sulla privacy dei dati, come GDPR, CCPA e HIPAA, che cercano di proteggere le informazioni di identificazione personale e le informazioni sulla salute personale.
- Regolamenti finanziari tra cui SOC 2 e altri che proteggono le informazioni finanziarie e di pagamento.
- Normative sulla sicurezza informatica e assicurativa, come il Cyber Incident Reporting for Critical Infrastructure Act, o CIRCIA.
Quando si tratta di rafforzare la propria resilienza informatica è vero che fare backup encryption è computazionalmente costoso e può influire sul tempo e a volte anche sul costo del processo di backup e di ripristino, ma è comunque strategica. Vero è che le organizzazioni devono gestire più chiavi di crittografia, presidiando tutte le attività relative alla protezione, all’archiviazione, al backup e all’organizzazione delle chiavi di crittografia.
Le aziende devono essere consapevoli che non è sufficiente proteggere tutti i dati dell’organizzazione con una chiave: se un utente malintenzionato ottiene l’accesso alla chiave, ottiene l’accesso a tutti i dati. Lo stesso discorso vale per la backup encryption: ottenere l’accesso alla chiave, ottenere l’accesso a tutti i dati nel set di dati di backup. Pertanto, le organizzazioni devono disporre di chiavi separate per blocchi di dati divisibili e distinti, inclusi blocchi distinti di dati di backup.
