DLP evolution significa capire cosa è cambiato rispetto alla protezione dei dati che possono essere rubati o anche solo criptati e quindi diventare inaccessibili, bloccando la continuità operativa aziendale. La premessa è che quando un malintenzionato interviene su una serie di dati aziendali, anche pagando il riscatto le aziende non avranno mai la certezza di riottenere tutti i dati criptati e nemmeno che questi dati non vengano comunque resi pubblici in rete.
Vero è che le buone pratiche aziendali suggeriscono di avere sempre dei backup ma, per snellire le lungaggini procedurali, molto spesso le attività dei back-up sono più dei pro-forma per cui, quando servono, risultano spesso incompleti.
Le cryptovalute hanno potenziato l’insicurezza informatica
Ma vediamo il contesto. Al progredire dei rischi per la sicurezza informatica le organizzazioni tendono a cercare strumenti e metodologie di prevenzione della perdita dei dati che le aiutino a fronteggiare i pericoli interni ed esterni che possono minacciare l’organizzazione. Sebbene virus e malware rappresentino da anni la principale fonte di rischio per la sicurezza IT, sono state le cryptovalute a cambiare nettamente la situazione.
La facilità con cui gli hacker possono estorcere dati e farsi pagare senza essere tracciati ha fatto esplodere il fenomeno ransomware, moltiplicando le occasioni di vulnerabilità aziendali, riportate sempre più puntualmente dalle cronache. Una volta che i dati sono stati sottratti, presidiare i processi di recupero e di protezione è già troppo tardi. Ecco perché è fondamentale far fronte al problema cercando di bilanciare i rischi e azioni opportune, valutando i costi e le risorse necessarie.
Che cosa significa DLP evolution
La Data Loss Prevention è una parte interante della sicurezza che lavora con altre tecnologie di protezione dei dati. Il che significa che non si tratta di adottare un ennesimo antivirus o firewall, ma include sia una componente software e l’integrazione di strumenti capaci di intercettare e fermare i tentativi di violazione dei dati e la loro sottrazione, andando a proteggere i dati, specie quelli sensibili, dalle minacce.
DLP evolution negli ambienti virtuali
Uno dei benefici della virtualizzazione è la semplicità con cui è possibile rilasciare i carichi di lavoro. Le squadre IT spesso trovano molto pratico utilizzare un noto template virtuale che ritengono sia una soluzione robusta di protezione dai rischi alla sicurezza.
Ma al crescere dell’impronta virtuale nei data center crescono anche le minacce, condizionate dai trend della modernizzazione applicativa delle architetture, che dai silos verticali tende a orientarsi a strutture di tipo sempre più orizzontale. Con l’esplodere dei carichi di lavoro, gli ambienti aziendali si caratterizzano per un moltiplicarsi di endpoint che, a loro volta, generano in continuazione dati volatili o consolidati.
Imparare a orchestrare lo scacchiere dei tool di sicurezza
In un ambiente virtuale gli approcci alla sicurezza devono essere applicati su più livelli, in funzione anche di un sistema di rilevamento delle intrusioni armonizzato ai software antivirus e ai firewall per identificare e bloccare il traffico indesiderato che può essere rilevatore di un furto di dati. Ogni componente del sistema è parte integrante dello scacchiere della sicurezza.
Ma il furto dei dati non è una vulnerabilità della sicurezza normale. Soprattutto se l’origine è interna all’azienda. Dal momento che il traffico sembra regolare, infatti, è più difficile monitorare dove e quando il dato sta transitando nell’ambiente IT in modo anomalo. Un accesso da una locazione inusuale o in orari insoliti o altri comportamenti diverse dalla solita routine sono segnali di pericolo. Tuttavia, i tradizionali strumenti di sicurezza non sempre sono in grado di rilevare questo tipo di anomalie.
Lavorare con gli strumenti, considerando la DLP evolution
Ottenere un quadro completo della DLP evolution richiede la combinazione di una molteplicità di prodotti e difficilmente un’organizzazione ha la dotazione completa. Qualche azienda può avere gli opportuni software antivirus e i firewall ma, pensando di non averne necessità, può essere carente lato Intrusion Detection System (IDS).
Chi in passato ha avuto brutte esperienze con gli IDS, dal momento che questo tipo di sistemi talvolta poteva diventare bloccante, deve capire che oggi questo tipo di soluzione si è notevolmente evoluto e sofisticato. La sfida non consiste solo nell’aggiungere un IDS a un sistema esistente; è capire come interagiscono tutti i sistemi per garantire che l’accesso ai dati sia da fonti interne che esterne sia valido. Ciò richiede risorse in termini sia di persone che di personalizzazioni. Alcuni fornitori offrono suite di prodotti che si integrano in un dashboard centrale. Tuttavia, la maggior parte sta ancora lavorando per raggiungere quell’unico pannello di gestione tanto ambito dai responsabili di qualsiasi area dell’IT.
In attesa di un unico DLP completo
Prodotti come NSX Intelligence, ad esempio, ora utilizzano un’architettura distribuita per eseguire le funzioni IDS distribuendo il carico su tutti gli host, invece di tentare continuamente di aumentare la scalabilità. Con l’acquisizione di Carbon Black e l’introduzione di NSX Intelligence, VMware si sta muovendo in quella direzione, ma per uno strumento DLP completo è ancora presto.
Ciò non è dovuto alla mancanza di impegno da parte di VMware o di qualsiasi altro fornitore. Il fatto è che è difficile per i fornitori riunire tutti i livelli di sicurezza sotto un unico ombrello. Gli strumenti di sicurezza in genere coinvolgono ancora un ecosistema di partner necessari, piuttosto che un’offerta di un singolo fornitore. Secondo gli osservatori, affrontare i problemi di sicurezza dei server virtuali con una soluzione in linea con la DLP evolution non sarà economico.
Data Loss Prevention anche per le PMI
Cavalcare la DLP evolution deve essere un’obiettivo di tutte le aziende, non solo a quelle di più grandi dimensioni. Le PMI, infatti, anche se non fanno notizia sono il bersaglio preferito degli hacker anche perché, a differenza delle grandi aziende, non hanno budget e risorse equivalenti, ma lavorano come fornitori delle grandi aziende e quindi costituiscono una porta di ingresso privilegiata per il cybercrime.
Poiché oggi i clienti di tutte le dimensioni eseguono software di virtualizzazione di livello aziendale, le loro applicazioni hanno spesso un’architettura distribuita. Pertanto, anche le PMI hanno gli stessi problemi di vulnerabilità delle grandi aziende: il tipo di minaccia e i sistemi a rischio sono gli stessi, anche se la scala di utilizzo è diversa. Come regola generale, è bene che tutte le organizzazioni si mentalizzino a trattare gli strumenti di sicurezza allo stesso modo, indipendentemente dalla loro dimensione e dai settori in cui operano.