Introducing G2.ai, the future of software buying.Try now
Categoria Risposta agli incidenti

Risposta agli incidenti: Come rendere gli incidenti informatici meno caotici

Gennaio 12, 2021
Sagar Joshi
SJ
da Sagar Joshi

In questo post

In questo post

Tutte le aziende inevitabilmente affrontano un incidente di sicurezza.

È solo una questione di tempo, e quando accade, la risposta della tua organizzazione influenzerà la reputazione, il tempo e i ricavi della tua azienda. Per minimizzare eventuali gravi ripercussioni, devi pianificare una risposta prima che un incidente di sicurezza si verifichi effettivamente.

Creare un piano di risposta agli incidenti efficace sarà di grande aiuto nel gestire gli incidenti di sicurezza e ti fornirà un quadro affidabile per impostare le procedure operative. Assicurati di comunicare la politica di risposta agli incidenti in modo preciso a tutti i team dell'organizzazione e lavora per implementare la politica durante un vero attacco informatico.

Cos'è la risposta agli incidenti?

Un piano di risposta agli incidenti è un approccio ben definito e sistematico per gestire e affrontare un incidente di sicurezza in modo che causi un impatto minimo su un'organizzazione. L'approccio è mirato a limitare i danni e ridurre i tempi e i costi di risposta.

Gli incidenti di sicurezza non sono solo un problema tecnico, ma sono anche un problema che colpisce le aziende da vari angoli. Se non gestiti correttamente, possono causare problemi legali, con conseguenti pesanti multe imposte alla tua organizzazione, a seconda del tipo di informazioni o beni compromessi.

Per evitare tali situazioni, crea una politica di risposta agli incidenti in modo da sapere cosa fare e come limitare i danni se si verifica un incidente sfortunato.

Prima di approfondire la comprensione della risposta agli incidenti in dettaglio, prendiamoci un momento per chiarire il gergo e le terminologie che useremo nell'articolo. I manager IT usano termini specifici basati sulla loro esperienza precedente nel settore, il che può creare confusione poiché altri potrebbero comprendere il significato in modo diverso.

I termini più fondamentali qui sono evento e incidente. Un evento è qualsiasi occorrenza osservabile in un sistema o una rete, non necessariamente dannosa. La pubblicazione speciale del National Institute of Standards and Technology (NIST) definisce un incidente come una violazione o una minaccia imminente di violazione delle politiche di sicurezza informatica, delle politiche di uso accettabile o delle pratiche di sicurezza standard.

Se hai lavorato nel settore ITSM prima, potresti ricordare una definizione diversa di incidente. Entrambi si riferiscono a un'interruzione non pianificata del servizio o a una riduzione della qualità del servizio. Tuttavia, in questo articolo, ci concentreremo maggiormente su un incidente legato alla sicurezza informatica che compromette la sicurezza informatica di un'organizzazione.

Perché la risposta agli incidenti è importante?

Gli hacker si evolvono costantemente, e così anche i loro metodi. Con una gamma di vettori di attacco perfettamente in grado di convergere un attacco informatico alla frontiera digitale della tua azienda, non puoi permetterti di sperimentare con la tua strategia di risposta.

Dovresti avere un corso d'azione definito e semplice da impostare prima che si verifichi un evento. Nel panorama attuale delle minacce informatiche, non è una questione di se si verifica una violazione della sicurezza. È più inclinato verso quando, e quando si verifica un incidente di sicurezza informatica, devi essere pronto.

Un piano di risposta agli incidenti ti consente di diventare proattivo durante una crisi di sicurezza e ti fornisce la chiarezza necessaria per contenerla e aiutare la tua organizzazione a riprendersi. Inoltre, insiste su un approccio preventivo. Oltre a gettare le basi per la risposta, aiuta le organizzazioni a imparare dagli incidenti e a mettere in atto misure preventive e di rimedio per evitarli in futuro.

I motivi per cui un piano di risposta agli incidenti è importante sono:

  • Protezione dei dati: I dati sono la spina dorsale delle aziende. La loro sicurezza è essenziale sia per l'organizzazione che per i suoi clienti. Il piano di risposta agli incidenti (IR) ti aiuta a elevare la sicurezza introducendo metodi moderni nella protezione dei dati basati sulle lezioni apprese da incidenti precedenti.
  • Mantenimento della fiducia: Una violazione può costarti la fiducia duramente guadagnata dei tuoi clienti, investitori e altri stakeholder. Il piano di risposta agli incidenti ti consente di affrontare un incidente di violazione dei dati in modo appropriato e di limitarne l'impatto al più presto. Ti aiuterà a mantenere la fiducia e la fiducia di tutti gli stakeholder coinvolti.
  • Tutela dei ricavi: Negli incidenti di sicurezza, i ricavi subiscono un impatto sostanziale. Che si tratti di un riscatto in un attacco ransomware o di multe imposte dalle autorità di regolamentazione, o quando un cliente porta altrove il suo business. Per le aziende pubbliche, si riflette principalmente sui loro prezzi delle azioni sul mercato. I piani IR ti consentono di agire su un incidente in modo strutturato per fermare il drenaggio dei ricavi e gestire rapidamente l'attacco.

In conclusione, più velocemente affronti un incidente di sicurezza con un piano ben pensato, meglio puoi aiutare la tua organizzazione a minimizzarne l'impatto. Hai molte parti in movimento in un incidente di sicurezza: appaltatori terzi, autorità legali e governative, stampa e altri.

Un piano di risposta agli incidenti adeguato ti aiuterà a mantenere la chiarezza sul corso d'azione in tempi stressanti. Renderà il tempo caotico solo un po' meno frenetico e molto più efficace.

Vuoi saperne di più su Software di risposta agli incidenti? Esplora i prodotti Risposta agli incidenti.

4 fasi di una risposta agli incidenti

Prima di approfondire le quattro fasi della risposta agli incidenti, è fondamentale che tu abbia un piano di comunicazione in atto, così quando si verifica un vero incidente, non avrai difficoltà a mobilitare efficacemente il tuo team di risposta agli incidenti di sicurezza informatica. È consigliabile dotare il tuo team di software di risposta agli incidenti per automatizzare vari processi e/o fornire loro gli strumenti necessari per trovare e risolvere le violazioni della sicurezza.

1. Preparazione

Innanzitutto, riserva un luogo dove il tuo team può riunirsi e lavorare verso una risposta. Questo luogo è comunemente chiamato sala di guerra o centro di comando. Se i tuoi team sono dislocati in diverse località, considera di avere un canale di comunicazione sicuro. Evita di fare affidamento sui tuoi precedenti canali di comunicazione poiché inizialmente non sapresti se sono stati compromessi.

Consiglio: I modi di comunicazione tradizionali possono essere la scelta migliore in situazioni avverse. Ad esempio, condividere un'immagine di una lavagna contenente i dettagli via email o messaggistica istantanea.

Se i membri del tuo team lavorano da remoto, considera di dotarli di un software di videoconferenza sicuro e di utilizzare le sue funzionalità, come le stanze di gruppo, per garantire una collaborazione efficace.

Imposta un archivio di contatti che copra tutti i membri dei team di risposta agli incidenti e abbia una persona di turno, anche durante la notte. È meglio se la responsabilità di turno è condivisa da alcuni membri che se ne occupano su base regolare. Come detto prima, un incidente di sicurezza è solo una questione di tempo, e può accadere anche alle 3 del mattino. Avere una persona di turno garantirebbe alla tua organizzazione il supporto necessario dal tuo team in situazioni avverse.

Durante un incidente, i tuoi team hanno bisogno di un arsenale di hardware e software per combattere l'attacco informatico in corso. È consigliabile preselezionare quegli strumenti per addestrare i tuoi team su di essi, in modo che siano pronti all'uso.

Puoi anche aiutare a prevenire un attacco informatico dotando l'azienda dei migliori strumenti di sicurezza. Tipicamente, questo sarebbe il compito del personale delle operazioni IT, ma puoi aggiungere i tuoi suggerimenti basati sulla tua esperienza e sugli apprendimenti dalla gestione degli incidenti. Avresti bisogno di un kit di strumenti di analisi forense digitale per condurre un'analisi approfondita dell'ambiente IT.

Forse includere i costi di hardware e software nel tuo budget ti aiuterebbe a pianificare l'aspetto finanziario del team di risposta agli incidenti. Successivamente, avrai bisogno di risorse tecniche e informazioni per poter valutare correttamente l'incidente. Puoi condurre modelli di minaccia per pianificare e ottimizzare le operazioni di sicurezza della rete.

Queste risorse tecniche necessarie al tuo team possono essere divise in cinque categorie, come segue:

  • Elenco delle porte: Gli elenchi di varie porte, protocolli e servizi
  • Documentazione: Un elenco di sistemi operativi, applicazioni, prodotti di sicurezza e protocolli della rete a cui vuoi rispondere
  • Baselines attuali: Per conoscere il software che dovresti installare su un particolare sistema o server
  • Hash crittografici: Raccolta di tutti gli hash crittografici per tutti i file critici, comprese le tue applicazioni di base che fungono da impronta digitale
  • Diagrammi di rete: Per consentire ai team IR di accelerare la risposta invece di scansionare e comprendere l'architettura di rete

2. Rilevamento e analisi

Prima di mettere in atto il tuo piano di risposta agli incidenti, devi essere sicuro che si sia verificato un incidente. Per rilevare un incidente, dovresti cercare precursori o indicatori.

Precursori: Questi sono segni che suggeriscono la possibilità di un incidente in futuro.

Ad esempio, se i tuoi log mostrano che qualcuno ha condotto una scansione delle porte o una scansione delle vulnerabilità sul tuo sistema. Questo è un precursore, poiché gli attaccanti potrebbero scansionare il sistema per vulnerabilità prima di avviare l'attacco informatico. Inoltre, se viene trovata una nuova vulnerabilità di sicurezza in una delle soluzioni software di terze parti che utilizzi, può essere considerata un precursore. L'hacker potrebbe ingegnerizzare al contrario questa vulnerabilità per convergere un attacco sulla tua organizzazione.

Indicatori: Questi sono segni che un incidente potrebbe essersi verificato o potrebbe verificarsi ora.

Un esempio di indicatore può essere quando il tuo sistema di rilevamento delle intrusioni ti avvisa di un software dannoso che tenta di comunicare da uno dei tuoi host sulla rete. Allo stesso modo, i segni che indicano che qualcosa di dannoso sta accadendo ora possono essere trattati come indicatori.

Nella fase di rilevamento, devi cercare gli indicatori di compromissione (IOC). Questi sono segni che ti dicono con alta fiducia che si è verificato un incidente. Tipicamente, puoi cercare firme di malware, URL o nomi di dominio di siti web dannosi, server di comando e controllo di botnet e molti altri.

Otterrai questi segni dai sistemi di rilevamento e prevenzione delle intrusioni, dai sistemi SIEM, dai sistemi antispam e antivirus, dal software di controllo dell'integrità dei file e da altri strumenti di monitoraggio di terze parti. Puoi anche sfruttare le informazioni pubblicamente disponibili come le ultime vulnerabilità aggiornate sul database nazionale delle vulnerabilità e altre fonti affidabili.

Ora, una volta identificati gli indicatori, il passo successivo è condurre un'analisi. È importante poiché potresti ricevere segni di un incidente da fonti inaffidabili. Ad esempio, un utente che afferma che il suo sistema è diventato estremamente lento. Questo può essere dovuto a malware o può semplicemente essere un programma corrotto. Devi assicurarti che ci sia stata una vera intrusione e poi iniziare la risposta.

È consigliabile avere un team di gestori degli incidenti che possa condurre un'analisi approfondita dei segni.

I gestori degli incidenti classificheranno un segno in tre categorie:

  • Benigno: Questi sono falsi positivi, dove l'analista ha esaminato il segno e le sue prove e ha confermato che non è un problema.
  • Dannoso: Questi sono segni che un vero incidente si è verificato, dopo di che il team inizia la risposta all'incidente.
  • Sospetto: Questi sono segni in cui l'analista non è sicuro se siano benigni o dannosi. Questi segni sono analizzati successivamente da un analista senior.

Con la tecnologia moderna che avanza rapidamente, tale analisi viene condotta attraverso l'automazione, ma hai ancora bisogno di risorse umane reali, respiranti e viventi per prendere le decisioni giuste nella gestione di questo triage. Per prendere la decisione giusta, il team di risposta agli incidenti dovrebbe acquisire una comprensione approfondita della baseline delle risorse IT e degli endpoint dell'organizzazione. Se sai come appare la normalità, puoi rapidamente individuare le cose strane.

Tecnologie come i sistemi SIEM dotano il tuo team di capacità come la correlazione degli eventi e l'intelligence sulle minacce. Puoi esaminare i log attraverso diverse verticali della tua organizzazione e prevedere la possibilità di un incidente basato su permutazioni e combinazioni di determinate attività.

Consiglio: Considera di avere una base di conoscenza centralizzata di questi incidenti per condividere la conoscenza e aiutare altri analisti che vivono una situazione simile.

Assicurati di documentare tutto: avvisi, indicatori, azioni e il processo di risposta agli incidenti eseguito nel piano. Serve come un'eccellente risorsa di condivisione della conoscenza. Ora che hai identificato le attività e gli eventi dannosi, il passo successivo è dare priorità agli incidenti con cui hai a che fare.

Puoi dare priorità alla tua risposta agli incidenti in base alle esigenze della tua organizzazione. Ogni azienda ha priorità diverse e si aspetterebbe che la tua strategia di risposta si allinei con le stesse. Alcuni possono dare priorità in base all'impatto funzionale (effetto sulle operazioni normali), all'impatto informativo (effetto sulla disponibilità e integrità dei dati all'interno dei sistemi IT) o allo sforzo di recupero (lo sforzo necessario per recuperare dall'evento).

Quando hai dato priorità alla risposta all'incidente, l'ultima considerazione nella fase di rilevamento e analisi è notificare le persone e la procedura per farlo. La procedura può includere nessuna notifica, email o persino una chiamata di sveglia alle 3 del mattino, in base alla gravità dell'incidente. Inoltre, pianifica chi notificheresti in anticipo in modo da poter mobilitare efficacemente il tuo team.

3. Contenimento, eradicazione e recupero

Ora hai identificato gli incidenti e li hai prioritizzati. Il passo successivo è contenere l'incidente e prevenire ulteriori danni.

Ci sono alcune strategie di contenimento che puoi utilizzare:

  • Isolamento: Comporta la disconnessione del sistema interessato da una rete, lo spegnimento o il blocco di determinate funzionalità sulla macchina vittimizzata per limitare i danni.
  • Mitigazione: Questa strategia ti dà tempo in modo da poter applicare la tua metodologia di eradicazione e allocare risorse in modo efficace.
  • Sandboxing: Include la separazione di un sistema da altri sistemi e programmi critici.

La scelta della strategia di contenimento dipende in gran parte dalla natura dell'incidente, dalla visione dell'organizzazione e dal potenziale danno che può causare. L'isolamento può essere una buona soluzione in alcuni casi, ma probabilmente non la migliore per altri. Ad esempio, se il tuo sistema è infettato da malware, saresti incline a spegnerlo o disconnetterlo dalla rete. Ma quando la postazione di lavoro funge da controller di dominio, server di posta elettronica o server web, spegnerlo farebbe più male che bene, poiché accoglieresti un diniego di servizio da solo.

Allo stesso modo, ci sono momenti in cui il malware è programmato per affrontare l'isolamento. Se il trojan rileva che il tuo sistema viene spento, può crittografare i tuoi dati e persino eliminarli. In tali situazioni, i soccorritori procedono con la strategia di mitigazione.

Come accennato in precedenza, la strategia di mitigazione ti dà tempo per eseguire l'eradicazione e allocare risorse. Per farlo, puoi isolare logicamente il bene compromesso nella zona demilitarizzata (anche chiamata rete DMZ), che può separare la tua rete dal bene compromesso e mantenerla al sicuro dietro un firewall.

Durante l'avanzamento con la strategia di mitigazione, dovresti condurre una valutazione del rischio e considerare i danni continui che l'infezione sta per causare sui beni compromessi prima di eradicarla. D'altra parte, con il sandboxing, puoi reindirizzare le attività dell'attaccante a una postazione di lavoro, che può essere utilizzata per raccogliere prove. Assicurati di non violare alcuna legge poiché variano da luogo a luogo.

Considera di raccogliere prove dell'incidente che rispondano a cosa, perché, dove, quando e come. È anche consigliabile mantenere una catena di custodia adeguata, che indichi chi ha raccolto, controllato e messo in sicurezza le prove. Questo sarebbe utile se le forze dell'ordine dovessero essere coinvolte.

Disclaimer: Queste linee guida non costituiscono consulenza legale. Se hai domande legali, consulta un avvocato autorizzato.

Successivamente, puoi passare all'eradicazione e al recupero. La strategia di eradicazione dipenderà dalla fonte dell'incidente. Assicurati di avere tutti i dettagli associati agli incidenti, poiché contano immensamente. Mira a migliorare la sicurezza, poiché non vorresti che l'incidente si ripetesse e mettesse in discussione nuovamente il tuo quadro di sicurezza.

Puoi condurre un'analisi della causa principale, identificare la causa principale che ha portato all'incidente e correggerla prima che possa attirare ulteriori problemi.

L'analisi della causa principale viene eseguita in quattro fasi come segue:

 

  1. Definire e delimitare l'incidente.
  2. Definire gli eventi che insieme hanno portato all'incidente.
  3. Identificare una soluzione.
  4. Assicurarsi che la soluzione sia stata implementata e che l'incidente sia stato risolto.

4. Attività post-incidente

Dopo che il team di risposta agli incidenti ha eradicato l'incidente e sta lavorando con gli amministratori di sistema per il recupero, entra nella fase finale. È l'attività post-incidente che inizia con le lezioni apprese. La lezione appresa è un metodo formale di documentare l'esperienza di gestione dell'incidente, cosa avresti potuto fare diversamente e il processo che devi migliorare internamente per evitare un incidente successivo.

L'attività post-incidente coinvolgerà anche il monitoraggio delle metriche come gli indicatori che causano il maggior numero di eventi di sicurezza. Ad esempio, supponiamo che ci sia una serie di incidenti causati dall'abuso di accesso autorizzato. In tal caso, questo è un segno di minaccia interna e della necessità imminente di introdurre un sistema di rilevamento e protezione dalle intrusioni (IDPS).

Dovresti anche tenere traccia del tempo necessario per recuperare da un incidente, avviare il piano di risposta e il tempo impiegato per informare la direzione superiore e gestire le escalation in modo da poter ottimizzare meglio il tuo processo. Misura i costi associati all'incidente, come la compensazione oraria pagata ai professionisti della sicurezza che gestiscono l'incidente, la perdita di ricavi nel tempo di inattività, il costo del software aggiuntivo installato durante l'incidente e anche il costo totale che comprende ogni spesa associata all'incidente.

Puoi misurare queste metriche in modo oggettivo e, oltre a queste, puoi anche valutare aspetti soggettivi dell'incidente, come l'efficacia del tuo piano di comunicazione. Le metriche ti aiuteranno a rilevare le aree problematiche nel tuo piano di risposta agli incidenti e a migliorare i processi per fornire risposte migliori.
L'attività post-incidente include anche la conservazione delle prove di un incidente. Potresti avere requisiti di conservazione delle prove diversi in base a come la tua organizzazione sta gestendo l'evento.

Investi in una strategia di risposta agli incidenti

I benefici di una strategia di risposta agli incidenti superano i costi ad essa legati, specialmente se confrontati con le perdite finanziarie che si accumulano sulla tua organizzazione in un attacco informatico. Con un piano di risposta agli incidenti adeguato, puoi rilevare, contenere, eradicare e recuperare da un attacco senza metterti in un mondo di confusione.

Scopri di più sugli attacchi informatici e su come puoi gestirli per proteggere la tua reputazione e risparmiarti dal subire altri danni.

Sagar Joshi
SJ

Sagar Joshi

Sagar Joshi is a former content marketing specialist at G2 in India. He is an engineer with a keen interest in data analytics and cybersecurity. He writes about topics related to them. You can find him reading books, learning a new language, or playing pool in his free time.

Esplora altri articoli di G2

Quale sistema di gestione della conoscenza è il migliore per le startup tecnologiche
Il miglior software di intelligenza artificiale per generare immagini personalizzate per i social media su larga scala
Il miglior software di gestione della qualità per le aziende tecnologiche
Il miglior software SEO valutato per il marketing delle imprese locali