Il collo di bottiglia trascurato nella visibilità dei dati e il suo impatto sulla resilienza informatica 

Le organizzazioni si affidano ai log di sicurezza per rilevare, rispondere e recuperare le minacce informatiche. Tuttavia, questi registri sono utili solo se acquisiscono dati completi ed li elaborano abbastanza rapidamente da rilevare le minacce in tempo reale. 

Tuttavia, la maggior parte dei log presenta carenze di dati, che consentono alle minacce di superare le incrinature. E il motivo? Infrastruttura di storage.

Ecco quanto lo storage lento o obsoleto indebolisce la resilienza informatica e come è possibile correggerlo.

Che cos’è la visibilità dei dati?

In generale, la visibilità dei dati significa sapere dove si trovano i dati. Nel contesto di un ambiente IT sicuro, la visibilità dei dati è un’analisi della sicurezza. Ciò significa la possibilità di rilevare le anomalie, identificare le minacce e bloccarle in tempo reale prima che si aggravino.

Potresti pensare: Non è così che sono i log di sicurezza? Sì, ma ecco dove molti non riescono a farlo…

Registri di sicurezza: La prima linea di difesa: se sono abbastanza veloci

I log di sicurezza sono la prima linea di difesa. Sono utilizzati per monitorare l’attività del sistema al fine di rilevare anomalie, contenere minacce e fungere da prova forense cruciale. Ma la loro efficacia dipende dalla qualità e dalla completezza dei dati e dalla velocità di elaborazione.

La sfida è che le minacce informatiche moderne si muovono rapidamente, con tempi di breakout in media di soli 48 minuti. 

Il tempo di breakout è il periodo di tempo tra il quale un utente malintenzionato accede come utente normale con credenziali “acquisite” e poi aumenta il privilegio a livello di amministratore. Una volta che un utente malintenzionato è un amministratore, diventa estremamente difficile rilevarlo. E peggio ancora, i tempi di breakout si stanno accorciando. Un attacco è stato registrato in 27 minuti. Se i team di sicurezza non dispongono di una registrazione in tempo reale, gli autori degli attacchi possono diffondersi nei sistemi prima ancora che qualcuno se ne accorga.

I log lenti ti permettono di reagire ai danni invece di prevenirli. Ed è qui che entra in gioco la tua infrastruttura di storage…

Storage: Un collo di bottiglia trascurato per le performance dei log

Immagina un enorme magazzino con merce di alto valore. L’azienda dispone di sistemi di sicurezza: porte chiuse a chiave, telecamere e guardie che sorvegliano l’area 24 ore su 24, 7 giorni su 7. Ma una notte, un gruppo di ladri trova un modo per farlo.

Usano le credenziali dei dipendenti rubate per entrare nell’edificio e poi infilano le uniformi del personale di pulizia per integrarsi. Spostandosi inosservati, disattivano gli allarmi e sbloccano le porte.x

I ladri hanno un vantaggio: Le telecamere registrano solo ogni 30 minuti e le guardie non effettuano il pattugliamento con una frequenza sufficiente. Nel momento in cui qualcuno nota che qualcosa potrebbe andare storto, ha caricato un camion pieno di merci e se ne è andato.

Questo illustra come esiste molto storage.

Se l’acquisizione (raccolta) e la velocità di elaborazione sono troppo lente, non si ricevono informazioni complete in tempo reale, il che crea lacune nei dati.

Il tuo team di ricerca delle minacce potrebbe rilevare anomalie troppo tardi, ad esempio le guardie di sicurezza ricevono un avviso di movimento sospetto troppo tardi, per arrivare solo dopo che gli scaffali sono stati rimossi.

Il 75% delle aziende presenta punti ciechi

Secondo un sondaggio Flexera del 2024, un 75% sbalorditivo dei responsabili IT ritiene che la propria organizzazione presenti carenze di visibilità nel proprio ecosistema IT. Questi punti ciechi creano gravi rischi per la sicurezza e il problema sta crescendo man mano che gli ambienti dati diventano più complessi. 

Ecco alcune delle principali sfide per la visibilità dei dati:

• Volume di dati enorme: I team di sicurezza non riescono a tenere il passo con la crescita esponenziale dei dati.
• Sistemi e silos frammentati: I log disconnessi creano punti ciechi in cui le minacce si nascondono.
• Un’infrastruttura lenta ritarda il rilevamento: Se l’elaborazione dei log richiede troppo tempo, i team di sicurezza non riescono a reagire abbastanza rapidamente.

Certo, puoi aggiornare i tuoi strumenti di sicurezza, ma anche gli strumenti migliori sono limitati senza storage a performance elevate.

Perché i tuoi punti deboli potrebbero peggiorare

Gli attacchi informatici stanno aumentando in frequenza e complessità, quindi devi elaborare più dati che mai. Ciò richiede una maggiore capacità e velocità di storage. Quando lo storage non riesce a tenere il passo, devi affrontare una scelta difficile:

• Raccogli i log di sicurezza da più origini, ma elabora i dati più lentamente.
• Elabora i dati rapidamente, ma raccogli i log di sicurezza da un numero inferiore di origini.

Nessuna delle due opzioni è ideale perché entrambi creano lacune nei dati, che aumentano la vulnerabilità dell’organizzazione.

Ricorda che le anomalie spesso iniziano come piccole attività, come un accesso insolito, un accesso imprevisto al sistema o un’escalation dei privilegi. Se questi segnali di avvertimento non vengono rilevati immediatamente, gli autori degli attacchi hanno più tempo per spostarsi nei sistemi e creare danni maggiori.

Ma non deve essere così.

Sfrutta la potenza del rilevamento delle anomalie in tempo reale

Solo lo storage scalabile e a performance elevate offre una visibilità dei dati reale. Grazie alla possibilità di visualizzare le anomalie in tempo reale, il tuo team addetto alle minacce informatiche può rilevare le violazioni prima che si verifichino, facilitando una maggiore resilienza informatica.

Tornando all’analogia del warehouse, ecco come potrebbe essere avere la piena visibilità dei dati:

• Le telecamere segnalano istantaneamente una faccia non familiare all’ingresso e inviano immediatamente le immagini alle guardie di sicurezza.
• Se i ladri entrano, le telecamere e i sensori rilevano istantaneamente le attività insolite, individuano la posizione esatta e avvisano le guardie.
• Le guardie di sicurezza intervengono prima che si verifichi il furto.

Approfondisci questo video, “Come lo storage giusto può migliorare le operazioni SIEM“.

In che modo Pure Storage è progettato per fornire una visibilità dei dati reale

Tutti i tuoi dati sono basati sullo storage. Tuttavia, lo storage viene spesso trascurato finché qualcosa non va storto.

Un’importante supervisione è il numero di organizzazioni che utilizzano unità a stato solido (SSD) commodity, che non sono progettate per le esigenze della sicurezza informatica moderna. Le unità SSD per le materie prime non dispongono della velocità e della larghezza di banda necessarie per acquisire dati da tutte le origini e correlarli in modo sufficientemente rapido da fornire una visibilità completa dei dati.

L’architettura Pure Storage supera questi limiti per fornire una visibilità reale delle anomalie.

I moduli DirectFlash® (DFM) di Pure Storage^® eliminano i colli di bottiglia dello storage tradizionale: DirectFlash

• Accesso diretto allo storage NAND, bypassando i controller esterni lenti
• L’acquisizione e la correlazione dei dati di sicurezza alla velocità di linea, massimizzando gli insight in tempo reale
• Visibilità completa dei dati per i team di sicurezza, in modo che le minacce vengano individuate nel tempo

Con le velocità di acquisizione ed elaborazione impareggiabili di Pure Storage, i tuoi team di caccia alle minacce informatiche non stanno giocando a recuperare. Stanno bloccando le minacce prima che si verifichino.