Paul Baird di Qualys spiega cosa succede dopo una violazione di dati, come si nascondono gli aggressori e cosa accade quando vengono scoperti.

violazione-dati

In questo articolo Paul Baird, Chief Technical Security Office UK di Qualys, azienda pionieristica e fornitore di soluzioni innovative per IT, sicurezza e conformità basate su cloud, spiega come le aziende di ogni dimensione possono rispondere ad una violazione di dati.

Come illustra il manager una volta ottenuto l’accesso, un aggressore cercherà di eludere un’eventuale azione di rilevamento di connessioni e/o accessi persistenti e questo tipo di approcci si evolve costantemente.

Uno dei metodi più utilizzati è il “living off the land“, in cui gli aggressori utilizzano strumenti e software legittimi, già presenti su un sistema o una rete target, per nascondere le proprie tracce o ottenere l’accesso ad altri sistemi che potrebbero contenere dati preziosi o dettagli finanziari. Un approccio tipico prevede la ricerca di credenziali con accesso amministrativo o comunque privilegiato, che possano poi essere utilizzate per modificare o eliminare i dati dei file di registro o altri record per nascondere le proprie tracce. Più a lungo un aggressore rimane inosservato nell’ambiente, più sistemi compromessi e vie di ingresso/uscita possono creare, rendendone più difficile l’eliminazione.

Una volta scoperta una violazione di dati, è fondamentale non allertare l’aggressore che è stato individuato. Dovrete invece svolgere un lavoro di ricognizione per comprendere i dettagli dell’attacco, compresi il come, il cosa, il perché e il quando, per costruire un quadro chiaro dell’attacco riuscito. Quando si è acquisita una comprensione completa dell’attacco e delle sue attività successive, è possibile avviare un processo per rimuovere l’aggressore dall’ambiente con una mossa rapida. Non è il caso di impegnarsi in un’estenuante partita al gatto e al topo, che può richiede molto tempo e può causare ulteriori danni.

È essenziale essere preparati alla perdita di servizi o infrastrutture quando l’aggressore viene rimosso dalla rete. Una volta che gli aggressori si rendono conto di essere stati scoperti, possono diventare distruttivi, causando ulteriori danni perché non sono più costretti a essere furtivi.

Come vengono scoperti gli attacchi e quali errori possono far passare inosservate le violazioni?

Gli attacchi possono essere scoperti in molti modi, a seconda dell’età della violazione di dati, tra cui il monitoraggio della sicurezza e l’analisi dei registri di sistema, del traffico di rete e di altri tipi di attività digitali.

I primi segnali tipici di una violazione di dati sono rappresentati da modelli insoliti di traffico di rete o dall’accesso a dati sensibili da parte di utenti non autorizzati, nel caso in cui un aggressore stia cercando di prendere piede o di trovare oggetti di valore, normalmente definiti “gioielli della corona“. Un altro segnale si ha quando i dati aziendali sotto forma di proprietà intellettuale, informazioni personali identificabili o login di rete vengono scambiati sul dark web.

Gli errori possono verificarsi quando manca la visibilità del traffico di rete o quando non sono stati configurati correttamente gli strumenti di sicurezza.

Un altro problema è rappresentato dagli strumenti di sicurezza isolati che faticano a dialogare tra loro. Anche l’errore umano può contribuire alla mancata esecuzione degli attacchi. Inoltre, gli aggressori possono utilizzare tecniche avanzate per nascondere la propria attività ed eludere il rilevamento, ad esempio utilizzando credenziali legittime o crittografando le proprie comunicazioni.

Per ridurre al minimo il rischio di violazioni non rilevate, è opportuno investire in strumenti di monitoraggio e assicurarsi che siano configurati e mantenuti correttamente. Controlli regolari e valutazioni delle vulnerabilità possono aiutare a identificare i punti deboli che potrebbero essere sfruttati. Infine, le organizzazioni dovrebbero dare priorità ai programmi di formazione e sensibilizzazione dei dipendenti per evitare errori umani e migliorare l’igiene generale della sicurezza.

Come individuare gli attacchi e le tecniche di rilevamento delle minacce? Cosa si può fare con un budget limitato?

Anche se tutti facciamo del nostro meglio, non è sempre possibile prevenire ogni attacco, quindi è fondamentale essere in grado di rilevare e rispondere rapidamente agli incidenti. L’utilizzo di un sistema di gestione delle informazioni e degli eventi di sicurezza (SIEM) può aiutare a raccogliere e analizzare i dati provenienti da tutta la rete dell’organizzazione, consentendo di identificare potenziali incidenti di sicurezza e di reagire in tempo reale.

Un’altra tecnica utile per rilevare gli attacchi è l’implementazione di sistemi di rilevamento e prevenzione delle intrusioni (IDPS). Queste soluzioni sono progettate per monitorare il traffico di rete alla ricerca di segni di attività dannose e possono avvisare i gruppi di sicurezza di potenziali minacce.

Esistono alcune altre buone pratiche che possono aiutare a rilevare le minacce quando si dispone di un budget limitato da spendere in strumenti.

In primo luogo, assicurarsi che la propria squadra sia ben addestrata e che abbia le competenze necessarie: anche se si è piccoli, è possibile impegnarsi per essere il più efficienti possibile.

Un’altra considerazione fondamentale è quella di disporre di un chiaro piano di risposta agli incidenti prima dell’insorgere di qualsiasi problema, che includa le fasi di identificazione e contenimento delle potenziali minacce, nonché le procedure di notifica agli stakeholder interessati e di comunicazione con l’intera organizzazione.

Infine, tenersi aggiornati sulle ultime minacce e tecniche di attacco. Questo può essere fatto monitorando le notizie sulla sicurezza e partecipando a forum e conferenze del settore. Si può imparare molto dai colleghi per stare al passo con i tempi.

Cosa deve fare l’alta dirigenza in seguito a una violazione di dati?

La cosa principale è mantenere la calma e prendere decisioni basate sui fatti, non sulle ipotesi. All’indomani di un incidente informatico, si può essere spinti a rispondere rapidamente, ma una comunicazione affrettata e priva di tutti i fatti può causare più danni che benefici. È meglio prendersi il tempo necessario per raccogliere le informazioni e garantire che ogni comunicazione sia chiara e accurata.

Un buon CISO può aiutare a tradurre il gergo tecnico per il Consiglio di Amministrazione, ma è anche importante avere una squadra di incident response designata. Questo gruppo deve avere ruoli e responsabilità definiti ed essere addestrato a rispondere in modo rapido ed efficace a un incidente informatico.

Una comunicazione chiara e trasparente con gli stakeholder interni ed esterni è fondamentale nel periodo successivo a una violazione di dati. È importante disporre di un piano di comunicazione, rivedendolo e aggiornandolo regolarmente.

Nascondere una violazione può essere più dannoso che essere trasparenti, come ha dimostrato il CISO di Uber che è stato incarcerato per non aver rivelato una violazione nel 2016.

Imparare dall’esperienza di una violazione dei dati è fondamentale per migliorare la posizione di sicurezza dell’organizzazione. È qui che i C-levels e il C.d.A. aziendali possono avere il massimo impatto per il futuro, sostenendo le buone pratiche e assicurando che il team di sicurezza e rischio disponga di quanto gli occorre per essere efficace. Ciò include la conduzione di un’accurata revisione post-incidente, l’identificazione dei punti deboli e delle lacune nel programma di sicurezza e l’adozione di misure per risolverli.

Le lezioni apprese devono essere incorporate infine nei programmi di formazione e sensibilizzazione dei dipendenti in materia di sicurezza.

di Paul Baird, Chief Technical Security Office UK, Qualys