Partiamo dalla resilienza oltre la sicurezza tradizionale.
Il primo punto, per affrontare la resilienza in modo corretto, è essere preparati. In concreto, la preparazione significa conoscere la tipologia dei dati che trattiamo e ciò che accade al loro interno. Rubrik è specializzata nella data security che rappresenta la “last line of defense” nello stack di sicurezza: se l’attacco supera i vari layer e arriva alla componente dati, è lì che entriamo in gioco. Non ci limitiamo a restituire una copia dei dati e a riportare l’azienda in produttività dopo un attacco, ma operiamo anche nel cosiddetto “peace time”, osservando come evolvono dati e data center. Se quotidianamente si gestiscono i dati con una soluzione come la nostra, diventa possibile comprendere come cambiano e, grazie a un motore di threat intelligence nativo, intercettare comportamenti anomali o l’arrivo di malware, prevenendo potenziali attacchi.
Come è possibile intervenire in caso di attacchi zero day?
La preparazione consente, anche in caso di zero-day in cui mancano indicatori di compromissione in tempo reale, di verificare tutte le copie storicizzate e individuare rapidamente quella pulita, senza dover fermare tutto per attivare SOC o altre funzioni al solo scopo di capire quale dato sia utile al ripristino. Questa capacità definisce il nostro Cyber RTO (Recovery Time Objective). In un attacco non sai quali movimenti laterali siano avvenuti prima della sua manifestazione e quindi non conosci il perimetro della compromissione se non hai uno strumento che, analizzando il dato giorno per giorno, ti indichi il raggio d’azione, i dati potenzialmente sensibili coinvolti e la recuperabilità del business.
Con tempi medi di scoperta della compromissione nell’ordine dei 200 giorni come evitate di ripristinare copie di dati che non siano già compromessi?
Proteggiamo i dati e le applicazioni aziendali con uno store che, in base alla retention, consente di co<ntrollare l’evoluzione del dato. Quando effettuiamo la copia di backup il nostro motore di threat monitoring, collegato al nostro security cloud, scarica tutti gli indicatori di compromissione (IoC) aggiornati e li utilizza in tempo reale durante l’ingestion dei dati di backup. Questi IoC vengono anche da collaborazioni esterne, per esempio con Mandiant. Con un modello di backup “incremental forever”, tutto ciò che conosciamo al momento della fase di ingestion ci permette di marcare come pulito quanto risulta non toccato dagli indicatori. Il punto critico è lo zero-day, dove l’IoC non è ancora noto. Nel momento in cui subiamo l’attacco, analizziamo l’accaduto, lavoriamo con i centri di ricerca, con il SOC, definiamo gli IoC e, con lo stesso motore, eseguiamo una scansione accelerata sui dati già acquisiti. In questo modo identifichiamo la copia di backup più vicina nel tempo e non compromessa, evitando restore inutili o dannosi.
L’AI vi aiuta in questo processo?
Assolutamente sì, e in più modi. L’AI ci aiuta nell’analisi conoscitiva e nell’apprendimento dei cambiamenti che avvengono sui dati e supporta la gestione operativa del rollback attraverso componenti di automazione costruite per accelerare il rientro in produzione. Abbiamo annunciato due progetti basati sull’intelligenza artificiale. Il primo, più recente, è Agent Rewind, un agente AI già annunciato che sarà disponibile nel prossimo futuro. L’obiettivo è aiutare le aziende nel rollback di azioni eseguite dagli agenti AI che si rivelino errate. Uno dei problemi più rilevanti nella gestione aziendale degli agenti è, infatti, proprio la possibilità che prendano decisioni autonome i cui esiti non siano quelli attesi.
Il secondo progetto?
L’altro progetto è Annapurna, già disponibile da tempoi. Un fattore critico nell’adozione dell’intelligenza artificiale in azienda è la perdita di controllo dal punto di vista della sicurezza. Noi, che ci occupiamo di contenere i dati, di classificarli, del controllo degli accessi e delle integrazioni con gli asset di rete, forniamo al modello un ambiente sicuro: una sorta di data lake controllato in modo che al modello AI vengano fornito solo le informazioni ritenute opportune, secondo le policy aziendali.
Perché è meglio nessuna risposta che una risposta sbagliata?
Si, ma anche per evitare di trattare dati che l’azienda non desidera esportare o utilizzare fuori dai confini stabiliti.