di Manlio De Benedetto, Senior Director Sales Engineering EMEA di Cohesity
Premessa fondamentale: l’obiettivo della creazione di una data clean room è quello di dotare l’azienda di un ambiente “sterile” in cui poter esaminare le prove digitali relative a incidenti informatici o data breach.
Molte organizzazioni hanno condiviso l’importanza di questa dotazione soprattutto durante un attacco informatico ma non tutte hanno raggiunto il risultato atteso. D’altra parte, le imprese pongono un’attenzione spasmodica alla velocità di ripristino e molto poco sui requisiti necessari per la creazione di una data clean room e non hanno grande consapevolezza sul ruolo ricoperto da quest’ultima nel facilitare un ritorno alla normalità. È chiaro che le aziende devono puntare a ripristinare la piena operatività il più rapidamente possibile dopo un attacco ma non a scapito della raccolta di prove che possano aiutare nell’eventuale azione penale.
Le “data clean room” in ambito cybersecurity
Parliamo di ambienti isolati dedicati alla sicurezza informatica dei dati aziendali. Nate come posizioni secondarie per eseguire scansioni malware sui dati, offrono alle aziende le condizioni sicure in cui eseguire i passaggi investigativi necessari per capire come si è verificata la violazione, documentarla e contrastarla senza che l’aggressore sia in grado di averne visione. Nel dettaglio la creazione di una cronologia dell’incidente consente di delineare un piano di ripristino che sradichi la minaccia e aiuti a prevenire la re-infezione. Dopo aver verificato che i dati in questo ambiente isolato sono puliti, il passaggio in un’area di ‘staging’ per l’esecuzione di test, garantisce che le funzionalità non vengano perse prima di tornare all’operatività.
Come già accennato, avere una data clean room deve essere una best practice per i forensi digitali ma anche i SOC. I team IT operations e SecOps dovrebbero di conseguenza lavorare insieme durante il processo di indagine e ripristino e, idealmente, dovrebbero operare su un’unica piattaforma con funzionalità avanzate che migliori l’efficacia e l’efficienza sia delle funzioni di risposta che di ripristino. Perché l’importantissimo Recovery Time Objective (RTO) non dipende solo dalla velocità di ripristino, ma anche dalla velocità della risposta all’attacco.
Le caratteristiche della room
Una data clean room per essere efficace deve presentare alcune caratteristiche. La prima è la dotazione hardware, con una precisazione necessaria: anche se si hanno mille workflow da gestire nel proprio data center non significa che si abbia necessità della stessa quantità di potenza di elaborazione inutilizzata. Il dimensionamento dell’hardware dovrebbe essere proporzionato al team di risposta agli incidenti e sulle loro indicazioni. In altre parole, non ha senso replicare migliaia di workflow se, per esempio, il team di risposta è composto unicamente da due o tre tecnici.
In secondo luogo, l’hardware dovrà ovviamente essere isolato dalla rete per consentire di modificare facilmente l’accesso durante l’indagine. Per cominciare, i server di backup dovranno ripristinare i dati nella data clean room, ma tale accesso dovrà essere disattivato una volta completata l’operazione di ripristino. Ciò potrebbe essere fatto utilizzando VLAN o una rete separata con firewall intermedi e si potrebbero scollegare persino fisicamente i cavi di rete per evitare errori.
Poiché gli strumenti di sicurezza sui sistemi compromessi non sono affidabili, in terzo luogo la room dovrà essere dotata di strumenti forensi specializzati e il software necessari per l’estrazione, l’analisi e la conservazione dei dati. Con una copia pulita, separata e protetta dei dati sempre in standby, le organizzazioni possono così essere sicure che l’integrità degli strumenti non è compromessa. Ciò darà anche la possibilità di ripristinare i servizi di cui l’azienda ha bisogno per accedere ai sistemi e comunicare durante l’incidente. Non dimentichiamo che non si può accedere ai sistemi compromessi senza l’Active Directory né coordinare la risposta senza gli strumenti di collaborazione. Inoltre, nello scenario peggiore, avere un ‘vault’ sicuro con immagini gold di sistemi e software critici consentirà il ripristino bare metal.
Il supporto di Cohesity Data Cloud
Cohesity fornisce molteplici funzionalità native per supportare le esigenze del Security Operations Team nel processo di data clean room. La capacità di threat-hunting di Cohesity Data Cloud fornisce agli addetti a risolvere gli incidenti informatici un feed di centinaia di migliaia di Indicatori di compromissione (IoC) utilizzati dagli operatori di ransomware nel MITRE ATT&CK Framework , aiutando l’organizzazione a comprendere le tecniche utilizzate dall’avversario durante l’intero ciclo di vita dell’attacco.
Il feed può essere ampliato con le informazioni sulle minacce del cliente o fornite da terze parti, mentre gli artefatti trovati nei sistemi durante l’indagine possono essere reimmessi nelle soluzioni Cohesity per individuare altri sistemi interessati e inserendoli nell’ambito dell’indagine.
Inoltre, la tecnologia Cohesity DataHawk non si basa su un agente endpoint quindi non è suscettibile alle tecniche che disabilitano i sistemi XDR ed EDR, consentendo agli hacker di passare inosservati. L’attività di Cohesity ha anche il vantaggio di essere gestita in modalità completamente passiva e non può essere rilevata o interrotta. Inoltre, lo screening con Cohesity è alimentato dal sistema di backup, quindi continuerà a funzionare anche nel caso in cui l’organizzazione isola gli ambienti host e le reti, consentendo di rilevare attacchi lenti, come wiper preposizionati con tempi di permanenza prolungati.
Nella tradizionale analisi forense digitale, gli investigatori dovevano basarsi su una singola immagine forense scattata dopo l’evento, formulando un’ipotesi su come un sistema fosse finito in quello stato finale. Con le capacità di protezione dei dati aziendali fornite da Cohesity, gli investigatori forensi da una parte possono viaggiare nel tempo attraverso l’intera cronologia dell’incidente, caricando immagini dello stato del file system di un sistema in pochi secondi. Dall’altra possono usare i loro strumenti per confrontare i file system per identificare rapidamente i delta nelle configurazioni per trovare meccanismi di persistenza e account dannosi o possono estrarre file binari per la detonazione in sandbox, trovando più indicatori di compromissione (IoC).
Non è sufficiente la sola data clean room
Infine, va evidenziato che per creare un ambiente efficace di data clean room, non bastano solo scansioni malware e ripristini immediati. La migliore possibilità di rispondere alla crescita esponenziale degli attacchi informatici anche di portata distruttiva consiste nel combinare flussi di lavoro di risposta, team e tecnologia. In altre parole, serve definire una strategia a monte della data clean room.
Una strategia che può trovare supporto nel design della data clean room di Cohesity. Seguendo le best practice del settore e consultandosi con esperti, è stato assegnato un set di funzionalità e flussi di lavoro di prodotto che i team SOC possono utilizzare per ottenere la resilienza informatica. Il design può essere suddiviso in tre fasi (avvio, indagine e mitigazione) che consentono alle organizzazioni di comprendere la portata di un attacco e di ripristinare dati puliti per tornare alla normalità.
La prima fase del ripristino è creare una Minimum Viable Response Capability (MVRC) che consenta di portare online i sistemi critici e iniziare l’indagine. Senza definire una MVRC, i team potrebbero non avere accesso a comunicazioni come e-mail o persino telefoni, il che ostacola ulteriormente la risposta.
La seconda fase della progettazione della data clean room consente l’indagine sull’attacco per creare un manifesto di IoC come file, chiavi di registro e account utente che saranno utilizzati durante il ripristino per rimuovere le minacce e correggere le vulnerabilità che hanno permesso all’attacco di avere successo. Sfortunatamente, alcuni sono stati indotti a credere che una scansione superficiale delle minacce sia tutto ciò che serve per rimuovere le minacce, ma questo causerà inevitabilmente la reintroduzione del malware nell’ambiente e prolungherà l’interruzione.
Una volta compresi i dettagli dell’attacco, sarà possibile passare alla fase successiva di mitigazione, in cui le minacce possono essere rimosse e i dati puliti recuperati. Durante questa fase, si comprenderanno quali account vanno corretti e rimossi e quali strumenti di sicurezza vanno migliorati per garantire che attacchi simili non si ripresentino.