La guida definitiva alla redditività minima
Passiamo in rassegna il concetto di redditività minima e il ruolo delle nostre soluzioni in ogni fase del vostro percorso.
Panoramica
Cosa contiene questa guida
È successo il peggio. La vostra organizzazione è stata colpita da un disastro o da un attacco informatico. I vostri dati e le vostre applicazioni sono stati spazzati via. E adesso? Qual è il minimo che dovete recuperare per avere un'attività vitale che possa prendere ordini e/o servire le esigenze essenziali dell'azienda? E come ci si arriva?
Leggi tutto:
- Perché la vitalità minima
- Sviluppo di un piano di ripristino e recupero
- Flusso di lavoro di ripristino per la vitalità minima
- Pratiche consigliate per la vitalità minima
- Come Commvault aiuta i clienti con la vitalità minima
Perché la redditività minima?
Perché la redditività minima?
L'aumento degli attacchi informatici sta costringendo le organizzazioni a ripensare le proprie strategie di ripristino. Mentre l'individuazione delle minacce rimane fondamentale, è emersa una sfida più significativa: assicurarsi che i dati protetti siano puliti e disponibili per riportare l'azienda online.
Con gli aggressori che si infiltrano strategicamente nei sistemi, restano inosservati per lunghi periodi e creano danni ripetuti e diffusi, i team di sicurezza e IT hanno iniziato a concentrarsi su pratiche avanzate per ridurre al minimo l'impatto dei tempi di inattività sugli asset più importanti e critici per l'azienda.
La redditività minima, talvolta definita "azienda minimamente redditizia", significa avere una conoscenza approfondita degli asset più critici e di ciò che occorre per ripristinarli e renderli operativi dopo un cyberattacco o un incidente.
Sviluppare un piano
Sviluppo di un piano per la redditività minima
Lo sviluppo di un piano per la vitalità minima inizia ben prima di un attacco. Ad alto livello, queste sono le pratiche necessarie per definire cosa significa vitalità minima per l'organizzazione e come raggiungerla in caso di attacco:
Visione accurata e allineata dei processi principali e dei sistemi dipendenti
Si tratta dei sistemi necessari per ridurre al minimo i tempi di inattività, in modo che un'organizzazione possa riprendere a svolgere la propria missione con un'interruzione minima (ad esempio, curare i pazienti, servire i cittadini, educare gli studenti, assistere i clienti, ecc.
Le organizzazioni di solito classificano le applicazioni e i servizi in base alla priorità per l'azienda. Ad esempio, il modello di Business Continuity Management di ServiceNow classifica le applicazioni come:
Criticità aziendali
Non si può fare nulla senza di essi (ad esempio, Active Directory, sistema di gestione degli ordini).
Missione critica
Necessario per un ripristino completo delle operazioni per la posta elettronica e la contabilità.
Non critico
Tutti gli altri sistemi.
Il National Institute of Standards and Technology (NIST) offre un modello di analisi dell'impatto aziendale per aiutare nella pianificazione.
Comprendere il costo dei tempi di inattività per le risorse principali
Questo costo viene comunemente misurato in termini di minuti/ore/giorni, fedeltà dei clienti, assistenza ai pazienti, impatto sul marchio, sanzioni normative e altro ancora. Secondo un rapporto del 2024 di Enterprise Management Associates, il costo medio di un'interruzione è di 14.056 dollari al minuto.
Piano chiaro e attuabile per ripristinare i sistemi, i dati e i processi critici
Questo include un focus sia sulla cyber resilience che sul ripristino, mantenendo così la continuità e la fiducia. Concentrarsi su chi fa cosa e su come i team lavorano insieme.
Si noti che non si può fare affidamento su un piano di disaster recovery per coprire i danni causati da un attacco informatico. Nel nostro rapporto "Preparedness Gap: Why Cyber-recovery Demands a Different Approach from Disaster Recovery", in cui abbiamo intervistato 500 leader del settore IT e della sicurezza per capire come le organizzazioni gestiscono il disaster recovery rispetto al cyber recovery, il 92% degli intervistati ha dichiarato di aver subito attacchi che miravano esplicitamente ai backup.
71% ha dichiarato che questo tipo di attacchi rappresenta la metà o più di tutti gli attacchi. Questo e altri fattori rendono più complicato il ripristino informatico.
Cosa rende più difficile il recupero informatico?
68%
Coinvolge diversi processi e flussi di lavoro
68%
Coinvolge diverse tecnologie e caratteristiche
58%
Coinvolge personale e competenze diverse
54%
Più complesso
Quanto è più difficile il recupero informatico?
Le tecnologie sono più complesse
(N: 340)Trovare e mantenere personale qualificato è difficile
(N: 289)I processi e i flussi di lavoro sono più difficili
(N: 342)Gli SLA sono più difficili da rispettare
(N: 226)
Capacità pratica di consentire la redditività minima con particolare attenzione alla cyber resilience
Avere un piano da solo non è sufficiente. Come disse Mike Tyson: "Tutti hanno un piano finché non ricevono un pugno in bocca".
Nell'ambito della redditività minima, le organizzazioni devono includere la capacità di automatizzare, testare, verificare e migliorare continuamente il ripristino rapido, confermando di essere pronte a rimanere resilienti di fronte all'evoluzione delle minacce. Si può trattare di esercitazioni su tavolo, simulazioni e test effettivi della tecnologia coinvolta, in modo da sapere cosa aspettarsi quando accade il peggio.
La bonifica delle minacce e la rimozione delle backdoor previene ulteriori danni
Inoltre, impedisce ai malintenzionati di rientrare nell'ambiente, consentendo operazioni di ripristino pulite senza interruzioni.
Il ripristino dello stato precedente senza un'adeguata bonifica delle minacce, una scansione delle minacce successiva al ripristino e un periodo di osservabilità significa che i sistemi potrebbero essere nuovamente sfruttati. I dati devono essere controllati e le applicazioni devono essere ripulite da potenziali backdoor e vulnerabilità che potrebbero far rientrare gli aggressori non appena si pensa di aver effettuato il ripristino.
Perché il cyber recovery è più impegnativo del disaster recovery tradizionale
L'analisi forense richiede tempo e sforzi significativi per determinare l'intera portata dell'infezione.
Il recupero senza aver prima creato un ambiente cleanroom crea un rischio significativo di reinfezione.
La fretta di riprendersi da un incidente informatico spesso distrugge le prove di come è stato eseguito l'attacco, lasciando l'organizzazione vulnerabile.
Architettura di cyber recovery di nuova generazione
Consente la crittografia, l'immutabilità/indelebilità, l'indurimento, la portabilità any-to-any e la scalabilità dinamica, aumentando in tal modo la flessibilità complessiva.
Stabilire un approccio solido alla redditività minima è particolarmente importante oggi, quando il costo dei tempi di inattività è significativo, sia dal punto di vista finanziario che della reputazione.
Flusso di lavoro del restauro
Flusso di lavoro di ripristino della vitalità minima
Nel rapporto Preparedness Gap, un numero 2,3 volte superiore di intervistati ha dichiarato che i processi e i flussi di lavoro di cyber recovery sono più difficili di quelli di disaster recovery e quasi 2 volte in più ha dichiarato che gli SLA sono più difficili da soddisfare. Rendendosi conto che la vitalità minima fa parte di un più ampio processo di risposta agli incidenti e di cyber recovery, come si possono superare queste sfide? Questo flusso di lavoro per la vitalità minima può essere d'aiuto:
Rimedio alle minacce
Ridurre al minimo i danni limitando la diffusione e consentendo la conservazione delle prove. L'identificazione della minaccia consente di valutare la portata, i sistemi, i dati e le funzioni aziendali interessate. Il contenimento della minaccia consentirà di eliminare la minaccia con azioni di mitigazione. L'eliminazione rimuove le minacce e il malware, colma le lacune di sicurezza ed espelle gli aggressori dai sistemi.
Ripristinare l'accesso sicuro
Verificate che i dipendenti possano accedere in modo sicuro ai sistemi e ai dati critici ripristinando servizi di directory e identità puliti e affidabili, come Active Directory, Azure Entra ID e AWS IAM.
L'AD non riguarda solo l'impossibilità per gli utenti di collegarsi alle proprie postazioni di lavoro o di accedere alla posta elettronica. Quando l'AD è fuori uso, l'infrastruttura critica non può essere collegata, le applicazioni non si avviano e l'attività si blocca. Quando il Cloud IAM è compromesso, ruoli e permessi complessi ostacolano ulteriormente il processo di ripristino.
Stabilire comunicazioni sicure
Fornire e-mail, messaggistica, calendari e collaborazione documentale sicuri con servizi come Microsoft 365 (M365) e Google Workspace. Questa deve essere considerata una forma di comunicazione secondaria al di fuori di quella primaria.
La posta elettronica e gli strumenti di collaborazione sono fondamentali per le aziende moderne e consentono ai team di lavorare insieme da qualsiasi luogo. Quando questi servizi non funzionano, la produttività diminuisce in modo significativo. Le comunicazioni sicure proteggono dalle intercettazioni e da molteplici vettori di attacco. Se M365 è compromesso, i malintenzionati possono accedervi in vari modi, rendendo essenziale un canale di comunicazione secondario e sicuro.
Ricostruire le infrastrutture
Ripristino rapido dell'infrastruttura IT e delle applicazioni essenziali allo stato operativo.
Recuperare le applicazioni significa ricostruire tutti i componenti distribuiti e l'infrastruttura sottostante. In questo modo è possibile ripristinare in modo rapido e pulito le funzionalità critiche e fondamentali.
Recupero dei dati
Recuperate in modo efficiente i dati puliti e affidabili per ridurre al minimo l'impatto delle interruzioni.
I dati sono la linfa vitale delle aziende moderne. In molti casi, l'accesso affidabile ai dati è una necessità per il funzionamento dell'azienda al suo livello più elementare. Il recupero di dati puliti dopo un cyberattacco o un incidente di sicurezza è fondamentale per ripristinare le operazioni, evitare interruzioni del servizio e ridurre il rischio di reinfezione.
Pratiche consigliate
Pratiche raccomandate per la vitalità minima
1. Copie air-gapped
Mantenete copie immutabili e indelebili dei dati critici in almeno un ambiente cloud air-gapped.
I cyberattacchi prendono spesso di mira gli ambienti di backup per diffondere codice dannoso e bloccare un facile recupero. Una volta violati, tutti i dati presenti in queste reti sono ad alto rischio. Le copie immutabili e air-gapped sono di solito l'ultima linea di difesa per il recupero.
2.Test frequenti
Andate oltre le liste di controllo e le simulazioni e automatizzate i test di ripristino informatico operativo per le applicazioni, l'infrastruttura e i dati necessari per la fattibilità minima. Il ripristino informatico è un processo complesso e ricco di risorse che riguarda tutte le operazioni IT.
Per prepararsi alle violazioni, è necessario testare il processo su scala, identificare le lacune e i rischi, modificare il piano e ripetere l'operazione. Ciò include la verifica dei piani di risposta agli incidenti, dei piani di disaster recovery e dei piani di cyber recovery, nonché la partecipazione a esercitazioni tabletop.
3. Buona notizia
Stabilire e testare pratiche, processi e automazione per verificare punti di ripristino puliti per applicazioni, infrastrutture e dati critici. Il recupero dei dati puliti è fondamentale dopo una violazione. Ogni minuto di inattività può costare migliaia di dollari, quindi una reinfezione può essere disastrosa per un'azienda. L'identificazione e il ripristino rapido e accurato dei dati puliti riduce al minimo l'impatto e aiuta a ripristinare le operazioni prima che si verifichino danni irreparabili.
4.Analisi forensi isolate
Automatizzate i processi di ripristino per condurre analisi forensi rapide e isolate, compreso l'accesso e la disponibilità di strumenti critici per la sicurezza e la cyber resilience .
Le analisi forensi sono fondamentali per comprendere gli incidenti di sicurezza e per mitigare i danni o evitare che si ripetano. L'isolamento di questi ambienti forensi consente un'analisi approfondita senza il rischio di reinfezione o movimento laterale. Inoltre, consente agli ambienti di produzione di recuperare, ricostruire e ripristinare rapidamente le operazioni in parallelo.
5. Infrastruttura rinforzata
Rafforzare la sicurezza generale riducendo le vulnerabilità, minimizzando le superfici di attacco e migliorando la capacità di resistere alle minacce informatiche.
Un'infrastruttura rinforzata salvaguarda i dati sensibili, consente la stabilità del sistema e riduce al minimo il rischio di violazioni, che possono comportare costosi tempi di inattività e danni alla reputazione.
6. Ambiente di ripristino isolato (IRE) Ambiente di ripristino isolato (IRE)cleanroom
Funge da rete di sicurezza per le aziende, fornendo uno spazio controllato e sicuro per ripristinare le operazioni e i sistemi senza il rischio di ulteriori contaminazioni e un ambiente controllato per le analisi forensi.
Se la rete di un'azienda è compromessa da malware o ransomware, l'IRE rimane al sicuro da questi attacchi. Ciò consente all'azienda di ripristinare i sistemi e i dati in modo sicuro. Una cleanroom è un ambiente controllato in cui i sistemi infetti possono essere analizzati, puliti e recuperati in modo sicuro prima di essere reintrodotti nella rete.
Non è detto che tutti i passaggi siano necessari per ogni incidente, ma conoscerli e metterli in pratica è importante. Come mostra la nostra indagine sul gap di preparazione, i piani di ripristino informatico sono stati invocati parzialmente in più della metà degli incidenti segnalati.
Il recupero informatico deve essere completo o parziale
Percentuale di eventi che hanno richiesto l'intervento di una parte del piano di ripristino.
Percentuale di eventi che necessitano di un recupero completo.
Come aiutiamo
Come aiutiamo i clienti con la redditività minima
Commvault offre funzionalità per aiutare le organizzazioni a raggiungere la redditività minima e oltre nel più breve tempo possibile. Queste includono:
Analisi delle modifiche dell'AD e recupero a livello forestale
Facilita il ripristino pulito di AD su scala necessaria per stabilire rapidamente la redditività minima. Il ripristino automatico di AD a livello di foresta elimina la complessità e il rischio di errori umani e accelera il ripristino dei servizi critici di gestione delle identità e degli accessi. Ciò significa che l'infrastruttura e le applicazioni mission-critical possono essere messe online, gli utenti e i clienti possono accedere ai servizi e la vostra azienda può recuperare e ripristinare le operazioni.
Commvault offre un ripristino automatizzato di AD a livello di foresta che include la generazione automatica di registri di esecuzione personalizzati e la semplicità del "point-and-click" per ripristinare ambienti AD complessi in pochi minuti o ore, anziché in settimane.
Cleanroom Recovery e Air Gap Protect
Ripristino su richiesta in posizioni sicure e isolate nel cloud , con l'ausilio dell'automazione, per i test, la conduzione di analisi forensi e il ripristino iniziale della produzione direttamente dallo storage immutabile e indelebile cloud.
Cleanroom Recovery consente di testare e perfezionare continuamente i processi di cyber recovery, contribuendo a fornire ripristini puliti di applicazioni critiche in ambienti cloud isolati. Utilizzate la scala elastica del cloudper archiviare i dati, esercitarvi nel ripristino e condurre analisi forensi isolate per indagare e porre rimedio alle minacce.
Recupero Cloud
Sfrutta le tecniche cloud (anche per gli ambienti on-premise) per recuperare rapidamente grandi insiemi di dati. Il recupero dei dati critici dopo un cyberattacco richiede una serie di operazioni complesse e macchinose. Tuttavia, le moderne tecniche cloud , dalla natura parallela dei microservizi alla scala serverless, possono aiutare a semplificare i processi di recupero di grandi dimensioni per riportare le aziende online in modo rapido e affidabile.
Commvault offre funzionalità di ripristino automatizzate e cloud. Dall'utilizzo di funzioni serverless per il ripristino di miliardi di oggetti nei datastore cloud all'utilizzo di microservizi containerizzati per portare velocità e scala cloud al ripristino on-premise, Commvault offre ai clienti un ripristino cloud per consentire un ripristino affidabile e rapido su scala.
Recupero come codice
Automatizza le ricostruzioni delle applicazioni cloud e degli stack infrastrutturali (rete, DNS, calcolo) per accelerare il ripristino della redditività minima.
Commvault Cloud Rewind rileva continuamente i carichi di lavoro delle applicazioni cloud, mappa automaticamente le relative dipendenze di rete e di sicurezza e protegge il tutto in un ambiente segregato e air-gapped. Riavvolge lo stack applicativo a un punto nel tempo precedente a una violazione o a un errore di configurazione, ricostruendo gli ambienti attraverso un recovery-as-code che può facilmente integrarsi nei processi CloudOps o nelle pipeline CI/CD.
Ripristino rapido per i carichi di lavoro AI
Risiedono in archivi di oggetti come Amazon S3 e laghi di dati basati su S3. Questo tipo di storage richiede una nuova serie di funzionalità di protezione e ripristino per gestire la scala necessaria. Il recupero di miliardi di oggetti e la verifica che tutti gli oggetti siano correttamente ripristinati e correlati a un punto precedente sono operazioni complesse e ad alta intensità di calcolo.
Clumio Backtrack di Commvault offre la protezione dei carichi di lavoro emergenti in S3, rendendo possibile il recupero di miliardi di oggetti in modo accurato, affidabile e con la velocità necessaria per ridurre al minimo la redditività.
Sicurezza Cloud con la scoperta e la mappatura delle risorse
Per trovare le centinaia o addirittura migliaia di risorse cloud utilizzate dall'organizzazione, tra cui calcolo serverless e containerizzato, database NoSQL, servizi ML e AI, rete virtuale e altro ancora. Le risorse, le dipendenze e le configurazioni cloud non protette allungano i tempi di ripristino dell'infrastruttura cloud critica dopo un'interruzione o un attacco: un rischio che può essere evitato con l'individuazione, la mappatura e la protezione automatizzata delle risorse cloud .
Vitalità minima
Conclusione
L'identificazione e il ritorno alla redditività minima è fondamentale per qualsiasi organizzazione che voglia riprendersi rapidamente e mantenere le operazioni essenziali dopo un attacco informatico. Per avere successo è fondamentale disporre dei giusti flussi di lavoro e seguire le best practice.
Soluzioni Commvault
Scopri come Commvault protegge i dati dalle minacce di domani
Le soluzioni complete di Commvault, dall'analisi delle modifiche alle directory al Cleanroom Recovery e al Cloud Rewind, forniscono gli strumenti necessari per raggiungere questo obiettivo. Implementando queste pratiche, le aziende possono migliorare la propria resilienza, ridurre al minimo i tempi di inattività e proteggere efficacemente le proprie risorse critiche.
Cleanroom Recovery e trafilamenti d'aria
Cloud Riavvolgimento
Active Directory
