Nel mondo ideale tutti vorrebbero evitare di finire nelle mani di un ransomware ma, nella pratica, gli attacchi si evolvono più in fretta dei controlli e l’errore umano resta un fattore ineliminabile rendendo impossibile azzerare il rischio.
Per questa ragione la proposta di OpenText risponde a questo tipo di minaccia mettendo a sistema, nello stesso disegno architetturale, la prevenzione proattiva e la capacità di resistere. L’unione delle due dimensioni, prevenzione e resilienza, si traduce in operatività continua: ridurre la probabilità che un attacco vada a buon fine e, allo stesso tempo, garantire ripartenze rapide e verificate.
Sul primo versante si inseriscono i prodotti della famiglia storicamente nota come ArcSight e sul secondo le tecnologie acquisite con Carbonite: la denominazioni dei prodotti è stata recentemente ricomposta e rinominata per rendere più esplicito quale problema risolve ogni componente.
QUI la guida al rebranding dei prodotti OpenText Cybersecurity
Prevenzione intelligente: UEBA e visibilità “oltre il perimetro”
La prevenzione in OpenText si fonda su due prospettive complementari che operano in parallelo: analizzare i comportamenti invece di inseguire le “signature” e conoscere i preparativi degli attaccanti prima che bussino alla porta.
Nel primo caso Core Behavioral Signals (ex ArcSight Intelligence) applica tecniche di machine learning non supervisionato per costruire profili di normalità di utenti e asset, intercettando ogni segnale interno di anomalia senza dipendere da regole statiche. Nel contempo Security Log Analytics (ex ArcSight Recon) accelera la raccolta, la normalizzazione e la ricerca su miliardi di eventi di sicurezza, permettendo di individuare i problemi reali.
La seconda prospettiva guarda “fuori”, nello spazio che OpenText definisce FarSpace: Core Adversary Signals (ex ArcSight cyDNA) analizza segnali globali di rete per individuare lo scenario di diffusione e il comportamento di possibili minacce, fornendo “early warning” e indicatori di compromissione che permettono di elevare la soglia di allerta e la capacità di risposta prima ancora che la minaccia si presenti alle porte dell’azienda. A valle dell’analitica comportamentale e dell’intelligence, il pilastro operativo resta la componente SIEM costituita da OpenText Enterprise Security Manager (ex ArcSight ESM) che combina la caccia alle minacce con la correlazione in tempo reale, definendo la priorità degli allarmi.
director southern Europe di OpenText Cybersecurity
“La nostra priorità è anticipare l’avversario e ridurre la superficie d’incertezza nel SOC – spiega Pierpaolo Alì, director southern Europe di OpenText Cybersecurity -. Questo implica analizzare i comportamenti interni e, allo stesso tempo, comprendere cosa si sta preparando fuori dalla superficie d’attacco aziendale. Solo così si passa dalla reazione all’azione”.
Operare e ripristinare: la cyber resilienza quando il ransomware colpisce
Anche disponendo della migliore tecnologia di detection, pretendere di bloccare il 100% delle minacce è illusorio: nessun sistema è inviolabile e la componente umana, dolosa o negligente, non si può contenere interamente. Pertanto, prevenire non basta se l’organizzazione non è progettata per restare in piedi in caso di impatto.
La seconda “gamba” del modello OpenText è, pertanto, la cyber resilienza: progettare processi e tecnologie affinché l’azienda continui a operare anche in caso di violazione, limiti la perdita di dati e possa tornare rapidamente a uno stato sano.
“La metrica che conta non è una promessa di inviolabilità, né quante intrusioni blocchiamo, ma la capacità di assorbire l’urto e quanto velocemente torniamo pienamente operativi quando qualcosa riesce a oltrepassare le nostre difese – sottolinea Pierpaolo Alì -. Essere cyber resilienti significa riuscire a trasformare un attacco da crisi a incidente gestibile, dove l’impresa ritorna velocemente operativa, senza perdere il ritmo del business”.
Su questo fronte il portafoglio del vendor comprende soluzioni di disaster recovery, replica e backup progettate per aggirare l’interruzione e riportare in vita i sistemi senza pagare riscatti.
OpenText Recover, erede delle tecnologie DRaaS (Disater Recovery as a Service) acquisite con Carbonite, aiuta a contrastare gli attacchi ransomware fornendo funzionalità di disaster recovery orchestrato con replica a livello di byte verso Google Cloud od OpenText Cloud, mantenendo copie aggiornate pronte al failover e abilitando test self service.
Per i workload che non possono fermarsi, OpenText Availability fornisce replica asincrona in tempo quasi reale, automazione di failover/failback e continuità su ambienti fisici, virtuali e cloud, riducendo RPO (Recovery Point Objective, la quantità massima di dati che si può perdere) e RTO (Recovery Time Objective, il tempo massimo tollerato per il ripristino) su sistemi Windows e Linux.
L’ultimo tassello della resilienza è il backup per garantire un “ultimo rifugio” immutabile e rapidamente ripristinabile. Qui si combinano OpenText Data Protector, la piattaforma enterprise di protezione dati che copre ambienti eterogenei sia on-prem sia cloud (Data Protector for Cloud Workloads), Core Endpoint Backup per le postazioni utente e Core Cloud-to-Cloud Backup per le applicazioni SaaS che automatizza la protezione di Microsoft 365, Google Workspace, Salesforce, Box e Dropbox.
“Le soluzioni di OpenText rendono il ransomware non più un evento binario da “evitare o subire”, ma un rischio gestito in modo continuo – conclude Alì – L’analisi comportamentale con AI e la vista su FarSpace riducono il tempo di scoperta; SIEM e log analytics orchestrano la risposta; Availability, Recover e DRaaS mantengono attivi i servizi e riportano i sistemi in produzione senza pagare riscatti. È un’unica strategia, progettata per convivere con l’incertezza e trasformarla in continuità operativa”.