Cos’è una violazione dei dati? Questi i passaggi da seguire in caso di incidenti di sicurezza

data-breach-cause

Le violazioni di dati sono oggi oggetto di grande attenzione. Capire come prevenirle e agire quando si verificano è essenziale. Un’azienda preparata ha un “incident response plan” (IRP) da mettere in atto in caso di violazione, partendo dalla comunicazione immediata ai consulenti legali, per poi disporre di un team capace di rispondere agli incidenti.

In questo articolo, vengono fornite indicazioni chiave e best practice per una gestione efficace delle violazioni, tra cui i passaggi chiave per rispondere con tempestività.

Cos’è una violazione dei dati?

E’ un accesso non autorizzato o l’esposizione di informazioni sensibili o riservate. Può essere causata da molteplici fattori, tra cui hacking, attacchi malware, insider malintenzionati o persino da un semplice errore umano. Indipendentemente dalla loro origine, le ripercussioni delle violazioni di dati sono spesso pericolose e di vasta portata, in quanto possono causare la fuga di informazioni personali o finanziarie e la perdita di fatturato e fiducia nel brand.

Questi i passaggi da seguire in caso di incidenti di sicurezza

La strategia di risposta si basa su processi strutturati progettati per identificare e gestire gli incidenti di cybersecurity che vengono predisposti con un certo anticipo. Le organizzazioni ben preparate devono infatti collaborare con i responsabili della sicurezza e i direttori delle divisioni business per mappare i rischi aziendali e specifici del settore, delineando un piano di risposta su misura per ogni esigenza. Si tratta di piani che documentano formalmente i ruoli e le responsabilità di ognuno, determinano i criteri di soglia per definire un incidente e pianificano il contenimento, la continuità operativa e il ripristino delle attività.

In caso di violazioni, i leader devono agire subito e le fasi qui indicate possono agevolare.

1. Coinvolgere i consulenti legali e gestire gli incidenti

Le organizzazioni sono chiamate a destreggiarsi in un complesso quadro di obblighi legali e di piani di comunicazione sia interni che esterni. Anche se spesso variano a seconda della nazione o del settore, questi obblighi di solito comportano la notifica alle persone colpite, l’informazione alle autorità competenti e l’adozione di misure per ridurre al minimo la diffusione e attenuare i rischi futuri. Inoltre, le aziende potrebbero dover divulgare i dettagli della violazione agli enti di controllo, a seconda delle conformità applicabili. Occorre informare subito il consulente legale interno o esterno di un potenziale evento di cybersecurity e subito dopo serve rivolgersi al proprio vendor di servizi di incident response.

  1. Mantenere in rete gli endpoint interessati

Dopo aver subito una violazione, i responsabili della sicurezza possono adottare un approccio basato sulla conservazione dei dati. A tal fine, non bisogna disattivare gli endpoint che si teme siano stati compromessi. La RAM contiene prove preziose, ma quando i sistemi vengono spenti, la memoria RAM viene persa in modo permanente.

  1. Disconnettersi dalla rete

Scollegare dalla rete i sistemi sospetti di essere stati compromessi è possibile farlo in vari modi:

  • Per gli endpoint gestiti da SentinelOne – Mettere in quarantena i sistemi sospetti in modo che possano connettersi unicamente alla piattaforma SentinelOne.
  • Per gli endpoint gestiti da altri vendor – Disconnettere le reti cablate e disattivare tutta la connettività wireless.
  • Per tutti gli endpoint – Valutare di segmentare la rete compromessa dalla rete protetta per consentire le operazioni aziendali per le reti non compromesse.
  1. Individuare e conservare le prove

Occorre rilevare le potenziali fonti di prova nei firewall, i sistemi di rilevamento delle intrusioni (IDS), le reti private virtuali (VPN), le soluzioni antivirus (AV), i registri degli eventi. Assicurarsi che siano configurati in modo da conservare le prove e che non si annullino i registri vecchi.

  1. Raccolta degli indicatori di compromissione e dei campioni

E’ importante tracciare gli indicatori noti (IOC) e i campioni di codice maligno in quanto possono includere indirizzi IP o domini sospetti, hashtag, script PowerShell, eseguibili dannosi, richieste di riscatto e qualsiasi altro elemento utile a una indagine.

  1. Predisporre il ripristino dei sistemi

Prepararsi a ripristinare la funzionalità della rete tramite qualsiasi soluzione di backup, se applicabile. È importante conservare le immagini forensi dei sistemi compromessi prima di ripristinare le versioni corrette.

  1. Elaborazione di una cronologia

Preparare una cronologia degli eventi sospetti noti che mostri quando si ritiene che l’attacco sia iniziato e l’attività dannosa identificata più di recente.

  1. Identificare gli endpoint

Cercare di identificare gli endpoint che hanno mostrato attività sospette, in particolare identificando il primo sistema colpito (paziente zero) e le potenziali fonti di esfiltrazione.

Comprendere le fasi post violazione e come mitigare le violazioni future

La parte difficile di una violazione dati non è la conservazione delle prove, né il ripristino del sistema o le implicazioni finanziarie. Quando i dati sensibili vengono compromessi, possono causare gravi danni alla reputazione dell’azienda ed erodere la fiducia dei clienti. Per evitare violazioni di dati servono solide misure di sicurezza. Le best practice includono:

  • Investire in valide soluzioni come l’extended detection and response (XDR) e la managed detection and response (MDR), per garantire un approccio alla difesa.
  • Implementare sistemi di crittografia o l’autenticazione a più fattori (MFA) o il controllo degli accessi basato sui ruoli (RBAC), per impedire l’accesso non autorizzato.
  • Condurre audit di sicurezza regolari per identificare e risolvere le vulnerabilità.
  • Monitorare regolarmente il traffico di rete per identificare e rispondere alle minacce.
  • Delineare un piano di risposta agli incidenti, sviluppare partnership con esperti di cybersecurity e fornire training ai dipendenti sulla sicurezza dei dati e sulle best practice.

Conclusioni

Le violazioni dei dati sono state oggetto di attenzione da parte degli organi stampa. Capire come prevenirle e cosa fare quando si verificano è essenziale per il successo di ogni organizzazione. Un’azienda ben preparata ha un piano di risposta agli incidenti (IRP) pronto per essere attuato in caso di violazione. Questi piani prevedono la comunicazione immediata con i consulenti legali, seguita dall’impegno di un team di risposta agli incidenti. SentinelOne promuove un approccio proattivo, sottolineando l’importanza di identificare gli indizi e la conservazione dei dati per gestire efficacemente la situazione.

Di Paolo Cecchi, Sales Director Mediterranean Region di SentinelOne