Quando si subisce una violazione di dati, le 24 ore successive sono fondamentali. L’intera organizzazione e i clienti sono a rischio: è, quindi, fondamentale rispondere in modo appropriato e rapido a una minaccia emergente. Sebbene le risposte possano essere leggermente differenti in base all’organizzazione, al team di lavoro e al tipo di attacco che si sta affrontando, ecco alcuni passaggi da intraprendere.
1. Entro la prima ora: confermare di aver subito l’attacco e comunicarlo alle parti interessate
Innanzitutto, è necessario cercare di identificare se l’incidente è effettivamente una violazione dati o se è un falso positivo. Questo passaggio è assolutamente fondamentale.
Eseguire il triage e mettere in atto un processo di revisione per identificare se i dati sono a rischio o sono stati compromessi o se degli intrusi si sono fatti strada all’interno dell’infrastruttura, delle applicazioni e dei servizi cloud.
Se si hanno prove evidenti di una violazione, potrebbe essere necessario emettere subito un avviso interno, rimuovere l’accesso ai sistemi compromessi per gli utenti non essenziali e/o isolare l’ambiente per limitare la propagazione dell’attacco.
Quando la prima ora volge al termine, è tempo di riportare le informazioni in tuo possesso ai tuoi stakeholder interni e formulare la tua strategia di risposta.
2. Passo successivo: pianifica, testa e prepara la risposta
La struttura del tuo piano dipenderà da ciò che avrai identificato. Se si tratta di un attacco ransomware, l’attaccante si farà vivo e indicherà i termini per il riscatto dei dati.
Altre tipologie di attacco saranno più difficili da rilevare, come la sottrazione di dati o persino la compromissione derivante da un attacco di tipo zero-day, che può indicare una minaccia più sofisticata potenzialmente da parte di attori malevoli sostenuti da nazioni ostili.
Qualsiasi sia la minaccia, si dovrebbe avere un piano ben testato e la risposta dovrebbe essere preparata in anticipo.
In ogni caso, l’attaccante potrebbe monitorare da vicino le azioni per evitare di essere catturato. E, una volta che gli stakeholder sono a conoscenza della situazione, si subiranno forti pressioni per risolvere l’incidente mantenendo la normale attività operativa.
Cercare di bilanciare la sicurezza con la continuità aziendale può essere molto stressante e mettersi sotto pressione per evitare misure drastiche. Registrare note dettagliate man mano che la situazione avanza ha un valore inestimabile. Assicurarsi di registrare ogni decisione che si prende, così come il contesto disponibile in quel momento. Questo aiuterà a formulare piani futuri, ma aiuterà anche a giustificare l’intero processo e le decisioni presa una volta terminato l’incidente.
3. È il momento di annunciarlo pubblicamente (nel modo giusto)
Mentre la fase di remediation è in atto, è necessario comunicare alle persone colpite dalla violazione di dati e alle autorità cosa è successo.
Questa è una situazione delicata, quindi è importante lavorare a stretto contatto con il team di comunicazione per fornire messaggi puntuali. Sebbene il pubblico in generale possa essere stanco di notizie sugli attacchi informatici, non bisogna lasciarsi prendere da un falso senso di sicurezza. Le autorità di regolamentazione, e il settore in generale, misureranno la risposta, quindi assicurarsi di comprendere gli obblighi legali e normativi per quanto concerne una corretta segnalazione, e ascoltare i consigli dei colleghi della comunicazione è molto importante in questa fase.
4. Andare a casa e riposare (persone stanche compiono decisioni sbagliate)
Una volta raggiunta la fase in cui l’incidente di violazione dati è sotto controllo e le comunicazioni sono state effettuate, concedersi una pausa è fondamentale. La maggior parte degli attacchi informatici avviene fuori orario. Il compito più importante che si può intraprendere ora è fare un passo indietro, tornare a casa e riposare. Le persone stanche hanno maggiori probabilità di prendere decisioni sbagliate.
5. Dopo il primo giorno
Cosa accadrà dopo le prime 24 ore è difficile da dire. Si potrebbero dover mitigare le nuove vulnerabilità che sono state scoperte dalla violazione dati, eseguire il ripristino dai sistemi di backup o prepararsi per ulteriori potenziali attacchi. Una volta che un incidente diventa pubblico, l’azienda potrebbe diventare un bersaglio ancora più grande.
Qualunque cosa accada, una volta che la minaccia è sotto controllo, si ha l’opportunità di mettere a frutto questa esperienza. Psi potrebbe creare un case study per richiedere ulteriori budget o attingere all’esperienza per formulare nuovi piani di risposta agli incidenti o persino sfruttare il proprio ruolo nella risposta per ottenere una promozione.
In ogni caso, è spesso utile condividere le proprie esperienze con gli altri perché la condivisione di informazioni e insight è l’arma migliore che abbiamo per combattere le minacce informatiche.
di Neil Thacker, CISO EMEA di Netskope
