Incident Response, la visione di 7Layers
“L’incident response (IR) è un processo strutturato che le organizzazioni utilizzano per identificare e gestire gli incidenti di sicurezza informatica. La risposta comprende diverse fasi, tra cui la preparazione agli incidenti, il rilevamento e l’analisi dell’incidente di sicurezza, il contenimento, l’eradicazione e il recupero completo, nonché l’analisi e l’apprendimento post-incidente”. Questa la definizione data dal National Institute of Standard and Technology – NIST.
Per fare questo è indispensabile la creazione di una policy e di un piano di Incident Response, così come la scelta di una struttura esterna per l’erogazione dei servizi legati al IR o la formazione di un team interno – Incident Response Team (IRT) – in grado di comunicare con il Top Management o con le autorità preposte.
“Un corretto Incident Management” aggiunge Riccardo Baldanzi CEO di 7Layers “significa saper dare risposte rapide ed efficaci alle violazioni di sicurezza, fattore ormai imprescindibile per le organizzazioni vista la dannosità dei cyber attacchi che, in forza di tecniche sempre più evolute, sono in grado di recare danni contingenti a persone, business e interi Stati.”
Il quadro di riferimento: trasformazione digitale ed evoluzione globale
La digitalizzazione di processi e servizi, la più dirompente tra le spinte trasformative dei nostri tempi, nello scorso biennio ha compiuto un’avanzata definitiva.
I radicali cambiamenti richiesti dall’emergenza sanitaria hanno travolto il mondo del lavoro e delle comunicazioni, portando a compimento un’evoluzione in atto già dalla fine del secolo scorso: remote e smart working sono soltanto le punte dell’iceberg di un cambio di paradigma che spazia dall’AI alla blockchain e dal mondo IoT-IIoT alle tecnologie Cloud.
Adattandosi al mutato scenario talvolta perfino anticipandolo, il cybercrime ha saputo conquistare nuovo terreno, affinando le proprie tecniche per sfruttare le vulnerabilità esposte da una superficie d’attacco ampliatasi soprattutto nella sua componente mobile.
L’upgrade del crimine informatico e l’esigenza di nuove strategie
I dati disponibili non sono promettenti e non risparmiano alcun settore, pubblico o privato. Il biennio 2020/21 ha visto un aumento più che significativo delle minacce rivolte a sanità e istruzione, già duramente provati dalla pandemia, mentre le prime stime per il 2022 prevedono un’escalation nella quantità, costo e sofisticazione dei ransomware mirati alla supply chain e alla miniera in crescita rappresentata dalle criptovalute; come dei data breach inflitti a realtà produttive, infrastrutture critiche, istituzioni.
Se le organizzazioni non possono “chiamarsi fuori” da questo contesto, ormai pienamente consolidato, possono (e devono) aggiornare la propria linea difensiva ai nuovi profili di rischio. Investire in cybersecurity per irrobustire i protocolli, monitorare gli accessi e tutelare i dati è un’esigenza non più rimandabile, che dovrebbe ricevere la massima attenzione tanto nei bilanci quanto nella pianificazione strategica di lungo periodo.
Come noto, un attacco informatico portato a compimento non determina solo danni economici; eventuali interruzioni nella continuità operativa, oltre a generare ulteriori perdite, possono avere un costo rilevantissimo in termini fiduciari e reputazionali. Va ricordato anche che, qualora sia attiva un’assicurazione specifica contro questi incidenti, essa potrebbe non essere liquidata nel caso si dimostri la mancata attuazione di misure che avrebbero potuto evitarne il verificarsi.
L’Incident Response, prevenzione in quattro fasi
Anche in presenza di efficaci protocolli difensivi, gli incidenti possono comunque avvenire. Igiene digitale, formazione del personale e buone pratiche operative possono molto, ma non tutto; ecco perché è fondamentale includere nella propria strategia adeguati processi finalizzati alla loro rilevazione e mitigazione.
Tipicamente, i processi di Incident Response si articolano in 4 fasi consecutive:
- Preparazione – include lo studio dei trend di minaccia e la predisposizione di policy e linee guida, più le esercitazioni e i test volte a consolidarle.
- Rilevamento e analisi – prevede il monitoraggio degli indicatori prestabiliti e la reportistica su ogni evento rilevante sul piano della sicurezza, assegnando priorità d’intervento a quelli che appaiono più severi o che mirino ad asset essenziali.
- Contenimento, rimozione e recovery – fase reattiva “classica”, racchiude le operazioni tese a limitare e (ove possibile) eliminare le conseguenze di un attacco, per mantenere o far tornare operativi i sistemi colpiti nel più breve tempo possibile.
- Attività post incidente – comporta una serie di azioni mirate principalmente al recupero e alla documentazione delle informazioni relative all’attacco.
Per garantire che si tratti di un processo fluido, ciascuna di queste fasi impone siano previamente definiti, standardizzati e condivisi i relativi obiettivi e flussi di lavoro, coinvolgendo una folta serie di attori e di sotto-processi funzionali alla loro articolazione.
Più nello specifico, infatti, un valido e completo Incident Response Plan (IRP) dovrà prevedere:
- riduzione al minimo e costante monitoraggio della superficie esposta;
- classificazione degli asset fondamentali da proteggere;
- strutturazione del team (comprensivo di SOC/MDR, CIRT e TIT) responsabile per le azioni immediate in risposta ad un attacco, nonché dei meccanismi di coordinamento e Information Sharing con ogni altro soggetto coinvolto;
- verifica periodica, tramite Risk Assessments regolari, del sistema così strutturato;
- in seguito a un incidente, raccolta e condivisione delle informazioni utili all’individuazione dei responsabili e ai passaggi (legali e/o assicurativi) conseguenti;
- individuazione e rimozione di eventuali vulnerabilità che abbiano contribuito a veicolare l’attacco, prevedendo le necessarie azioni (backup, patch e così via) per prevenirne la ripetizione in futuro.
“Così declinata” aggiunge Riccardo Baldanzi “l’Incident Response non coincide con la mera reazione a un cyber attacco andato a segno. È invece parte integrante della visione aziendale, in quanto componente essenziale di un approccio proattivo che deve caratterizzare l’intera postura digitale di ogni organizzazione piccola o grande che sia decisa a proteggere le proprie risorse e la propria reputazione, garantendosi continuità e stabilità in un mondo sempre più instabile e complesso.”
Per fornirti un approccio concreto a supporto della cyber resilienza attraverso servizi di Managed Detection and Response, 7Layers organizza l’evento virtuale “MDR 2.0: the MDR Evolution” che si terrà il 5 aprile 2022 in cui verranno simulati attacchi cyber in un ambiente suggestivo. I primi iscritti riceveranno un visore 3D.
ISCRIVITI SUBITO su eventi.7layers.it