La risposta agli incidenti di sicurezza è un approccio strategico all'identificazione, all'assegnazione di priorità e al contenimento degli attacchi informatici nonché alla gestione della risoluzione di tale attacco e delle relative valutazioni successive.
Gli attacchi informatici sono come palle di neve che rotolano giù per una collina: spesso all'inizio sono piccoli. Purtroppo, sono troppo poche le aziende che dispongono delle risorse o dei processi giusti per neutralizzare completamente queste minacce prima che proliferino. Se gli attacchi informatici hanno la possibilità di trasformarsi da piccoli incidenti in rischi aziendali di portata maggiore, le conseguenze possono essere devastanti. Le ricerche dimostrano che le aziende impiegano in media 128 giorni per rilevare una violazione. In questi quattro mesi, un utente malintenzionato può rubare dati, danneggiare sistemi e interrompere la tua attività.
La risposta agli incidenti di sicurezza è progettata per aiutare le organizzazioni a rispondere a questi tipi di intrusioni di rete prima che abbiano un impatto negativo sulla loro azienda. Concepita per gestire molti tipi di minacce informatiche e incidenti di sicurezza, la risposta agli incidenti di sicurezza stabilisce workflow e procedure collaudate e scalabili che i team SOC (Security Operation Center) e di risposta agli incidenti possono utilizzare per ridurre al minimo gli impatti sull'azienda e i tempi di ripristino.
La risposta agli incidenti di sicurezza è una categoria secondaria delle iniziative di risposta agli incidenti più generali, che riguardano anche i problemi non legati alla sicurezza. La risposta agli incidenti di sicurezza è progettata specificamente per affrontare gli attacchi dannosi contro i sistemi digitali di un'azienda. Ciò include (a titolo esemplificativo ma non esaustivo) le seguenti categorie di incidenti di sicurezza:
Una violazione del sistema informatico, chiamata anche violazione dei dati o violazione della sicurezza IT, si verifica quando un attore delle minacce non autorizzato ottiene l'accesso a dati informatici, applicazioni software, reti o dispositivi di un'azienda.
Gli attori delle minacce interni ed esterni, che hanno accesso alle reti di un'organizzazione possono tentare di apportare modifiche a vari strumenti, app, dati o altri sistemi sensibili.
L'hardware non criptato può rappresentare una seria minaccia se dovesse finire nelle mani di una persona non autorizzata. Le aziende devono disporre di piani per affrontare i rischi per la sicurezza nel caso in cui i dispositivi aziendali venissero smarriti o rubati.
Talvolta l'obiettivo di un attacco informatico non è quello di rubare dati, ma di causare interruzioni. Un attacco DoS inonda di traffico la rete target, sovraccaricandone la capacità e costringendola a smettere di funzionare.
I criminali informatici che ottengono l'accesso ai sistemi di un'azienda possono tentare di assumere il controllo delle risorse o degli strumenti IT, spesso alla base di un attacco ransomware.
Spesso, il modo più rapido per ottenere l'accesso da parte di un utente malintenzionato consiste nell'hijacking di un account utente autorizzato. Gli account compromessi possono essere particolarmente difficili da rilevare.
Proprio come una palla di neve che diventa sempre più grande man mano che avanza, gli incidenti di sicurezza non affrontati e non controllati sono quasi sempre destinati a intensificarsi. Questo può portare a conseguenze negative di ogni genere, dalla perdita delle credenziali degli utenti e la compromissione dei dati dell'azienda e della clientela, a tempi di inattività costosi e dannosi per la reputazione, fino al collasso totale del sistema. La risposta agli incidenti di sicurezza consente ai team SOC di disporre delle risorse, degli strumenti e dei processi corretti per individuare e dare priorità agli incidenti di sicurezza prima che possano iniziare a diffondersi.
Stabilendo best practice, workflow automatizzati e collaborativi e piani di riduzione delle minacce passo-passo che affrontano ogni fase della risposta alle minacce, la risposta automatica agli incidenti serve per bloccare le intrusioni il più rapidamente possibile e per fornire alle aziende strategie di risposta collaudate e scalabili al fine di ripristinare rapidamente tutto dopo che la violazione è stata contenuta ed eliminata.
Oltre a garantire una ripresa veloce da potenziali eventi di violazione dei dati, la risposta agli incidenti di sicurezza aiuta le aziende a rispettare gli standard di conformità normativa, come quelli richiesti dalla legge in settori quali la sanità e i servizi finanziari. Infine, la risposta agli incidenti di sicurezza protegge la reputazione del marchio che altrimenti potrebbe subire danni permanenti a seguito di una violazione.
Sebbene la risposta agli incidenti di sicurezza possa includere attività per ogni livello della tua organizzazione, quali IT, Rischio, HR e Legale, la maggior parte delle responsabilità spetta al team di risposta agli incidenti. Questi team sono solitamente costituiti dai seguenti ruoli:
Un responsabile della risposta agli incidenti assume il ruolo di guida nella risposta agli incidenti, supervisionando le azioni, dando la priorità alle minacce e fungendo da collegamento tra il team di risposta e il resto dell'organizzazione. Il supporto alla gestione è essenziale per l'efficacia dei piani di risposta agli incidenti di sicurezza ed è per questo che i responsabili della risposta agli incidenti devono assicurarsi il consenso dei dirigenti Executive prima di poter implementare qualsiasi piano.
Gli analisti della sicurezza sono coloro che mantengono i piedi per terra in caso di incidente. Questi analisti devono essere formati per individuare gli incidenti effettivi tra potenziali falsi positivi, determinare l'ora, la sede e i dettagli dell'incidente e individuare e conservare le prove eventualmente lasciate dall'intruso.
Infine, i threat researcher (cercatori di minacce) tentano di definire la gravità e l'entità della violazione. Cercano in Internet informazioni riservate che potrebbero essere state estratte dai sistemi aziendali. Contribuiscono inoltre alla creazione di un database di incidenti precedenti per migliorare la threat intelligence (intelligence sulle minacce) dell'azienda.
Ciascuna di queste posizioni svolge un ruolo chiave nella risposta a un incidente di sicurezza e nel ripristino del servizio dopo di esso. Alcune aziende scelgono di assegnare una parte di queste responsabilità in outsourcing. Indipendentemente dal fatto che siano gestite interamente all'interno o all'esterno, il team di risposta agli incidenti sarà essenziale per garantire che la tua organizzazione segua correttamente il piano di risposta agli incidenti di sicurezza.
Affinché la risposta agli incidenti di sicurezza sia efficace, deve essere completamente preparata e pronta per essere implementata molto prima che si verifichi l'incidente di sicurezza in questione. Un piano di risposta agli incidenti di sicurezza è una documentazione formale e ufficiale che descrive chiaramente le azioni da intraprendere in ogni fase della risposta agli incidenti di sicurezza dell'azienda. Allo stesso tempo, il piano di risposta agli incidenti di sicurezza deve delineare ruoli e responsabilità relativi a questo ambito in tutta l'organizzazione e affrontare il modo in cui questi ruoli dovrebbero comunicare e interagire nel campo dei protocolli di risposta stabiliti.
Poiché il piano di risposta agli incidenti di sicurezza è progettato per essere implementato rapidamente nelle prime ore di un attacco, le più critiche, deve essere chiaro, privo di ambiguità terminologica e linguistica e facile da seguire. I piani di risposta agli incidenti di sicurezza spesso includono o fanno riferimento a una libreria di playbook di risposta agli incidenti.
Nella sua forma più elementare, un piano di risposta agli incidenti di sicurezza è un insieme di indicazioni che i team di risposta devono seguire per identificare le minacce, rispondere efficacemente e ridurre l'impatto dell'incidente di sicurezza nel suo complesso con rapidità e precisione.
Poiché la rapidità con cui un'azienda può implementare la propria strategia di risposta è determinante, la maggior parte dei piani di risposta agli incidenti di sicurezza segue un modello consolidato composto da sei fasi chiave:
La prima fase della risposta incidente è dedicata alla preparazione di IT, SOC e altri membri dei team di risposta per gestire le minacce non appena si verificano. Questa sarà probabilmente la fase più importante del piano di risposta agli incidenti di sicurezza e dovrà prendere in considerazione la formazione del personale in materia di risposta agli incidenti, l'ottenimento di finanziamenti e approvazioni adeguate e la definizione di standard di documentazione. Molte aziende scelgono di partecipare a simulazioni per aiutare tutti i soggetti coinvolti a familiarizzare con le proprie responsabilità.
Poiché una violazione può avere origine da molte aree diverse, è essenziale che i team di risposta abbiano accesso alle procedure per identificare e convalidare le potenziali minacce prima di inoltrarle allo stato di incidente di sicurezza verificato. La fase di identificazione deve essere in grado di determinare quando si è verificato un evento, come è stato scoperto, su quali aree potrebbe avere avuto un impatto, quale effetto potrebbe avere sulle operazioni correnti e se il punto di ingresso è noto.
Una volta completata la verifica della minaccia, la fase successiva è quella di impedirne l'ulteriore diffusione nel sistema. Il contenimento è una fase essenziale, che non deve essere saltata per passare direttamente all'eradicazione. Limitarsi a eliminare il malware potrebbe precludere le possibilità di raccogliere prove utilizzabili per rafforzare la tua rete contro attacchi simili in futuro. Disconnetti e metti in quarantena i sistemi compromessi e, se possibile, implementa sistemi di backup per evitare la perdita delle operazioni aziendali. Applica una patch a tutti i sistemi, rivedi i protocolli di accesso remoto e cambia le credenziali di accesso a tutti gli account amministrativi.
Una volta contenuta la minaccia e raccolti tutti i dati rilevanti, è possibile iniziare a rimuovere in modo sicuro il malware dal sistema. È essenziale eliminare tutto il malware: un controllo non approfondito che lasci tracce dell'attacco può ancora consentire l'accesso non autorizzato ai tuoi dati e un nuovo lancio del malware in futuro.
La mitigazione di una minaccia è necessaria, ma è molto utile anche migliorare i sistemi per evitare che gli incidenti di sicurezza abbiano un impatto sulla tua azienda. Dopo aver affrontato correttamente l'incidente, discuti con i membri del team di risposta e con gli altri stakeholder per identificare e documentare ciò che hai appreso da quest'esperienza. Questi insegnamenti possono quindi essere applicati per preparare meglio i sistemi per gli incidenti futuri, ottimizzando assegnazione delle priorità e risposta.
Poiché le minacce alla sicurezza continuano a crescere in termini di frequenza, complessità e sofisticazione, la risposta agli incidenti di sicurezza si è trasformata da elemento di differenziazione competitivo a standard di sicurezza essenziale. Ma quando ogni secondo è fondamentale, i team di sicurezza si accorgono di non avere la possibilità di indagare, verificare e rispondere a tutti i possibili incidenti di sicurezza che si verificano. ServiceNow ha la soluzione.
La risposta agli incidenti di sicurezza di ServiceNow trasforma l'approccio standard all'indagine, alla risposta e al ripristino della sicurezza IT, applicando funzionalità di automazione avanzate e centralizzando i dati, le informazioni e i report delle operazioni di sicurezza su un'unica piattaforma. Potenzia e amplia i team di risposta con la definizione automatica delle priorità, il triage, l'analisi dei dati e altre attività di risposta essenziali automatizzate. Quindi, spingiti oltre, con informazioni in tempo reale, playbook dettagliati e visibilità completa sulla sicurezza della rete.
Scopri di più su come ServiceNow può ottimizzare il tuo approccio alla risposta agli incidenti di sicurezza e fermare futuri attacchi informatici prima che inizino.