L’importanza per le aziende di essere correttamente preparate ad affrontare una violazione dei propri dati attraverso un buon piano di sicurezza informatica

sicurezza informatica
sicurezza informatica

Le tattiche, le tecniche e le procedure degli attaccanti non sono cambiate nel corso dell’ultimo anno, ma le tendenze globali continuano ad evolversi, ed il rischio per le organizzazioni rimane alto. Fortunatamente, come mostrato dall’ultimo M-Trends Report, le organizzazioni stanno rilevando gli incidenti più rapidamente rispetto al passato. Un recente studio di FireEye Mandiant ha rivelato che gli strumenti e i processi di sicurezza non hanno rilevato o prevenuto il 53% degli attacchi effettuati. È, quindi, una questione di “quando” e non di “se” gli attaccanti passeranno inosservati e, quindi, serve preparare un buon piano di sicurezza informatica.

Il doversi fermare per affrontare un piano di rimessa, a seguito di una violazione, ritarda certamente il business aziendale. Senza un piano efficace di incident response fermare un attacco informatico e gestirne le conseguenze, diventa piuttosto complicato.

Essere preparati: pianificare le vostre risposte all’attacco

Le organizzazioni dovrebbero in primo luogo utilizzare una sorgente di cyber threat intelligence per comprendere le caratteristiche degli attacchi informatici, i comportamenti degli attaccanti, le loro tecniche e le loro motivazioni. I team di difesa possono utilizzare queste informazioni per sviluppare scenari volti a verificare le modalità in cui le proprie tecnologie si comporteranno contro degli attacchi reali. Il risultato di questi test fornisce molti dettagli su come si potrebbe svolgere un attacco o una violazione.

Il team di risposta agli incidenti di Mandiant è stato in prima linea durante le più complesse violazioni avvenute in tutto il mondo.

Un tipico piano di risposta è articolato in sei fasi:

  1. Implementare una tecnologia per identificare le attività dell’aggressore;
  2. Pianificare la gestione della crisi coinvolgendo i dirigenti, il team legale e il personale di sicurezza senior;
  3. Monitorare in tempo reale le attività dell’attaccante e andare alla ricerca delle azioni compiute in precedenza;
  4. Analizzare tutte le azioni intraprese per stabilire l’entità della compromissione;
  5. Valutare i danni subiti da tutti i sistemi, impianti, applicazioni e dati;
  6. Sviluppare una strategia personalizzata di contenimento dell’incidente per estromettere l’attaccante e portarsi in sicurezza.

Sviluppare un piano di risposta globale

Per supportare questo piano e garantirsi un rapido recupero dagli incidenti, le organizzazioni dovrebbero prendere in considerazione modalità e processi di lavoro alternativi pensati per quando l’IT si troverà in situazione di crisi.

I piani di risposta aiutano a sviluppare le migliori pratiche che possono poi essere implementate rapidamente. Sono più efficaci se i team di risposta agli incidenti di sicurezza informatica (CSIRT) e il personale che si occupa della gestione della continuità operativa (BCM) uniscono gli sforzi per riprendere le normali operazioni e ridurre gli impatti economici di un attacco informatico.

A tal proposito, Gabriele Zanoni, EMEA Solutions Architect di FireEye, ha dichiarato: “Questi due gruppi, il CSIRT e BCM hanno la possibilità di imparare l’uno dall’altro, allineare gli sforzi e valutare la capacità della propria organizzazione nel rispondere efficacemente agli attacchi avanzati attraverso un ciclo di revisione continuo”.

Se un attacco ha successo, il team di gestione dovrebbe immediatamente riceverne notifica e deve sempre guidare le procedure di recupero, registrandone le attività.

Recupero 

Dopo le attività di risposta ad un qualsiasi attacco informatico, avviene una fase di stand-down. Infatti, ci sono tre best-practice da applicare:

  1. Operazioni di “pulizia”: gestione o migrazione dei nuovi dati ed aggiornamenti di sicurezza all’interno di un nuovo ambiente sicuro, nonchè gestione delle diverse segnalazioni e reclami assicurativi;
  2. Operazioni a seguito della violazione: revisione dei processi di risposta affinchè siano volti all’identificazione e alla documentazione, per migliorare il livello di sicurezza;
  3. Aggiornamento delle strategie di risposta e gestione degli incidenti.

Possono essere necessari mesi per completare la fase di stand-down e riprendere le normali operazioni.

L’utilizzo di una sorgente aggiornata di threat intelligence, basata su informazioni delle attività di Incident Response, l’uso di sistemi di sicurezza informatica moderni e strategie olistiche contribuiscono sensibilmente ad incrementare le possibilità di superare una violazione della sicurezza. Queste strategie, tuttavia, devono essere continuamente convalidate e testate per garantire che siano pertinenti, robuste e rilevanti.

 

 

 

Articoli correlatiAltro dello stesso autore