Incident Response, la visione di 7Layers

A cura di:Redazione Ore

“L’incident response (IR) è un processo strutturato che le organizzazioni utilizzano per identificare e gestire gli incidenti di sicurezza informatica. La risposta comprende diverse fasi, tra cui la preparazione agli incidenti, il rilevamento e l’analisi dell’incidente di sicurezza, il contenimento, l’eradicazione e il recupero completo, nonché l’analisi e l’apprendimento post-incidente”. Questa la definizione data dal National Institute of Standard and Technology – NIST.

Per fare questo è indispensabile la creazione di una policy e di un piano di Incident Response, così come la scelta di una struttura esterna per l’erogazione dei servizi legati al IR o la formazione di un team interno – Incident Response Team (IRT) – in grado di comunicare con il Top Management o con le autorità preposte.

“Un corretto Incident Management” aggiunge Riccardo Baldanzi CEO di 7Layers “significa saper dare risposte rapide ed efficaci alle violazioni di sicurezza, fattore ormai imprescindibile per le organizzazioni vista la dannosità dei cyber attacchi che, in forza di tecniche sempre più evolute, sono in grado di recare danni contingenti a persone, business e interi Stati.”

Il quadro di riferimento: trasformazione digitale ed evoluzione globale

La digitalizzazione di processi e servizi, la più dirompente tra le spinte trasformative dei nostri tempi, nello scorso biennio ha compiuto un’avanzata definitiva.
I radicali cambiamenti richiesti dall’emergenza sanitaria hanno travolto il mondo del lavoro e delle comunicazioni, portando a compimento un’evoluzione in atto già dalla fine del secolo scorso: remote e smart working sono soltanto le punte dell’iceberg di un cambio di paradigma che spazia dall’AI alla blockchain e dal mondo IoT-IIoT alle tecnologie Cloud.

Adattandosi al mutato scenario talvolta perfino anticipandolo, il cybercrime ha saputo conquistare nuovo terreno, affinando le proprie tecniche per sfruttare le vulnerabilità esposte da una superficie d’attacco ampliatasi soprattutto nella sua componente mobile.

L’upgrade del crimine informatico e l’esigenza di nuove strategie

I dati disponibili non sono promettenti e non risparmiano alcun settore, pubblico o privato. Il biennio 2020/21 ha visto un aumento più che significativo delle minacce rivolte a sanità e istruzione, già duramente provati dalla pandemia, mentre le prime stime per il 2022 prevedono un’escalation nella quantità, costo e sofisticazione dei ransomware mirati alla supply chain e alla miniera in crescita rappresentata dalle criptovalute; come dei data breach inflitti a realtà produttive, infrastrutture critiche, istituzioni.

Se le organizzazioni non possono “chiamarsi fuori” da questo contesto, ormai pienamente consolidato, possono (e devono) aggiornare la propria linea difensiva ai nuovi profili di rischio. Investire in cybersecurity per irrobustire i protocolli, monitorare gli accessi e tutelare i dati è un’esigenza non più rimandabile, che dovrebbe ricevere la massima attenzione tanto nei bilanci quanto nella pianificazione strategica di lungo periodo.

Come noto, un attacco informatico portato a compimento non determina solo danni economici; eventuali interruzioni nella continuità operativa, oltre a generare ulteriori perdite, possono avere un costo rilevantissimo in termini fiduciari e reputazionali. Va ricordato anche che, qualora sia attiva un’assicurazione specifica contro questi incidenti, essa potrebbe non essere liquidata nel caso si dimostri la mancata attuazione di misure che avrebbero potuto evitarne il verificarsi.

L’Incident Response, prevenzione in quattro fasi

Anche in presenza di efficaci protocolli difensivi, gli incidenti possono comunque avvenire. Igiene digitale, formazione del personale e buone pratiche operative possono molto, ma non tutto; ecco perché è fondamentale includere nella propria strategia adeguati processi finalizzati alla loro rilevazione e mitigazione.

Tipicamente, i processi di Incident Response si articolano in 4 fasi consecutive:

  1. Preparazione – include lo studio dei trend di minaccia e la predisposizione di policy e linee guida, più le esercitazioni e i test volte a consolidarle.
  2. Rilevamento e analisi – prevede il monitoraggio degli indicatori prestabiliti e la reportistica su ogni evento rilevante sul piano della sicurezza, assegnando priorità d’intervento a quelli che appaiono più severi o che mirino ad asset essenziali.
  3. Contenimento, rimozione e recovery – fase reattiva “classica”, racchiude le operazioni tese a limitare e (ove possibile) eliminare le conseguenze di un attacco, per mantenere o far tornare operativi i sistemi colpiti nel più breve tempo possibile.
  4. Attività post incidente – comporta una serie di azioni mirate principalmente al recupero e alla documentazione delle informazioni relative all’attacco.

Per garantire che si tratti di un processo fluido, ciascuna di queste fasi impone siano previamente definiti, standardizzati e condivisi i relativi obiettivi e flussi di lavoro, coinvolgendo una folta serie di attori e di sotto-processi funzionali alla loro articolazione.

Più nello specifico, infatti, un valido e completo Incident Response Plan (IRP) dovrà prevedere:

  • riduzione al minimo e costante monitoraggio della superficie esposta;
  • classificazione degli asset fondamentali da proteggere;
  • strutturazione del team (comprensivo di SOC/MDR, CIRT e TIT) responsabile per le azioni immediate in risposta ad un attacco, nonché dei meccanismi di coordinamento e Information Sharing con ogni altro soggetto coinvolto;
  • verifica periodica, tramite Risk Assessments regolari, del sistema così strutturato;
  • in seguito a un incidente, raccolta e condivisione delle informazioni utili all’individuazione dei responsabili e ai passaggi (legali e/o assicurativi) conseguenti;
  • individuazione e rimozione di eventuali vulnerabilità che abbiano contribuito a veicolare l’attacco, prevedendo le necessarie azioni (backup, patch e così via) per prevenirne la ripetizione in futuro.

“Così declinata” aggiunge Riccardo Baldanzi “l’Incident Response non coincide con la mera reazione a un cyber attacco andato a segno. È invece parte integrante della visione aziendale, in quanto componente essenziale di un approccio proattivo che deve caratterizzare l’intera postura digitale di ogni organizzazione piccola o grande che sia decisa a proteggere le proprie risorse e la propria reputazione, garantendosi continuità e stabilità in un mondo sempre più instabile e complesso.”

Per fornirti un approccio concreto a supporto della cyber resilienza attraverso servizi di Managed Detection and Response, 7Layers organizza l’evento virtuale “MDR 2.0: the MDR Evolution” che si terrà il 5 aprile 2022 in cui verranno simulati attacchi cyber in un ambiente suggestivo. I primi iscritti riceveranno un visore 3D.

ISCRIVITI SUBITO su eventi.7layers.it

Condividi sui Social Network:

Articoli simili

Il CERT Nazionale: Campagne di Prevenzione e Reazione nel 2015

Il CERT Nazionale: Campagne di Prevenzione e Reazione nel 2015

A cura di:Redazione Ore Pubblicato il

Il 2015 ha registrato un sensibile incremento delle attività del CERT Nazionale. Se infatti nel corso della seconda parte del 2014 il CERT si era fortemente impegnato a stabilire i primi contatti con gli omologhi CERT internazionali, non solo a livello europeo, e a consolidare a livello nazionale le relazioni con i competenti soggetti pubblici…

Alcune considerazioni sul nuovo assetto legislativo in materia di cyber-security

Alcune considerazioni sul nuovo assetto legislativo in materia di cyber-security

A cura di:Prof. Roberto Setola e Lucia Polito Ore Pubblicato il

Lo scorso 17 febbraio è stato pubblicato il nuovo DPCM sulla cyber security (che continua ad essere indicata in maniera non del tutto appropriata come protezione cibernetica ). Il DPCM , come indicato nelle sue stesse premesse, ha l’obiettivo di “ razionalizzare e semplificare l’architettura istituzionale”, al fine di “migliorare le funzioni di coordinamento e…

A case history: come ho risolto un sabotaggio interno

A case history: come ho risolto un sabotaggio interno

A cura di:Vincenzo Digilio Ore Pubblicato il

Secondo una delle ultime statistiche relative all’anno 2017[1] gli attacchi informatici con finalità di sabotaggio hanno riscontrato un incremento del 46,5% rispetto all’anno precedente. Generalmente non nutro una grande fiducia nelle statistiche, ma di questo trend ho potuto constatare personalmente la crescita, durante uno dei nostri primi Incident Case[2]. 06:17 di una grigia mattina di…

Container: cosa serve sapere

Container: cosa serve sapere

A cura di:Redazione Ore Pubblicato il

Si sta diffondendo rapidamente l’utilizzo dei container per la distribuzione delle applicazioni. Sia che si tratti di Kubernetes o Docker, gli strumenti open source oggi più diffusi sia per il deployment sia per le attività di orchestrazione, i container si rivelano utili per implementare gli elementi che compongono l’applicazione ed attivarli in ambienti cloud pubblici…

Le basi della digital forensics nella circolare 1/2018 della Guardia di Finanza

Le basi della digital forensics nella circolare 1/2018 della Guardia di Finanza

A cura di:Paolo Dal Checco Ore Pubblicato il

È ormai noto come, durante le attività d’indagine in ambito di contrasto all’evasione e alle frodi fiscali, le Forze dell’Ordine s’imbattano sempre più spesso nella documentazione digitale, che sta lentamente sostituendo quella cartacea. I controlli che un tempo portavano a produrre scatoloni di fotocopie, faldoni, carta e documenti da esaminare in Caserma ormai di frequente…

Kaspersky Lab svela il gruppo Poseidon: la malware boutique commerciale attiva in terra, aria e mare

Kaspersky Lab svela il gruppo Poseidon: la malware boutique commerciale attiva in terra, aria e mare

A cura di:Redazione Ore Pubblicato il

La prima campagna di cyber spionaggio in lingua portoghese-brasiliana resa pubblica prende di mira le istituzioni finanziarie, oltre ad aziende di telecomunicazioni, manifatturiere, energetiche e i media. Il Global Research and Analysis Team di Kaspersky Lab ha annunciato la scoperta di Poseidon, un gruppo APT attivo nello spionaggio informatico a livello mondiale almeno dal 2005….