Le tattiche, le tecniche e le procedure degli attaccanti non sono cambiate di molto nel corso dell’ultimo anno, ma le tendenze globali continuano a evolversi, ed il rischio per le organizzazioni rimane alto. Fortunatamente, come mostrato dall’ultimo M-Trends Report, le organizzazioni stanno rilevando gli incidenti più rapidamente rispetto al passato.
Eppure c’è ancora molto lavoro da fare: in un recente studio di FireEye Mandiant, condotto su oltre 100 organizzazioni aziendali, ha rivelato che gli strumenti e i processi di sicurezza in uso non hanno rilevato o prevenuto il 53% degli attacchi effettuati. È quindi davvero una questione di “quando” e non di “se” gli attaccanti passeranno inosservati e questo può portare a tipologie anche molto diversi di pericoli: dalla compromissione dei dati, all’interruzione dell’attività o peggio.
Il doversi fermare per affrontare un piano di rimessa in funzione dei sistemi e dei dati a seguito di una violazione ritarda certamente il business aziendale. Senza un piano efficace di incident response fermare un attacco informatico e gestirne le conseguenze, diventa piuttosto complicato.
Essere preparati: pianificare le vostre risposte all’attacco
Comprendere quanto sia sicura oggi un’azienda dalle diverse tipologie di attacchi è fondamentale per validare l’efficacia complessiva di ogni programma di sicurezza informatica. Le organizzazioni dovrebbero in primo luogo utilizzare una sorgente di cyber threat intelligence per comprendere le caratteristiche degli attacchi informatici nel loro settore industriale, compresi i comportamenti degli attaccanti, le loro tecniche e le loro motivazioni. I team di difesa possono utilizzare queste informazioni per sviluppare scenari volti a verificare le modalità in cui le proprie tecnologie di difesa si comporteranno contro degli attacchi reali. Il risultato di questi test fornisce molti dettagli su come si potrebbe svolgere un attacco o una violazione, aprendo quindi la strada ad un piano di risposta efficace e ragionato.
Il team di risposta agli incidenti di Mandiant è stato in prima linea durante le più complesse violazioni avvenute in tutto il mondo, aiutando i propri clienti a indagare e porre rimedio alle aggressioni, in modo da poter permettere loro di riprendere le attività di business velocemente.
Un tipico piano di risposta è articolato in sei fasi:
1. Implementare una tecnologia per l’investigazione facendo leva sugli indicatori di compromissione per poter identificare le attività dell’aggressore;
2. Pianificare la gestione della crisi coinvolgendo i dirigenti, il team legale e il personale di sicurezza senior;
3. Monitorare in tempo reale le attività dell’attaccante e andare alla ricerca delle azioni che ha compiuto in precedenza;
4. Analizzare tutte le azioni intraprese dall’attaccante per stabilire l’entità della compromissione;
5. Valutare i danni subiti da tutti i sistemi, impianti, applicazioni e dati;
6. Sviluppare una strategia personalizzata di contenimento dell’incidente e di rimedio per estromettere l’attaccante e portarsi in più sicura situazione.
Sviluppare un piano di risposta globale
Per meglio supportare questo piano e garantirsi un rapido recupero dagli incidenti, le organizzazioni dovrebbero prendere in considerazione modalità e processi di lavoro alternativi pensati per quando l’IT si troverà in situazione di crisi, così come efficaci processi di gestione e comunicazione delle crisi per i servizi interni ed esterni.
I piani di risposta aiutano l’organizzazione a sviluppare le migliori pratiche che possono poi essere implementate rapidamente quando necessario. Sono più efficaci se i team di risposta agli incidenti di sicurezza informatica (CSIRT) e il personale che si occupa della gestione della continuità operativa (BCM) uniscono gli sforzi per riprendere le normali operazioni e ridurre gli impatti economici di un attacco informatico.
“Questi due gruppi, il CSIRT e BCM hanno la possibilità di imparare l’uno dall’altro, allineare gli sforzi e valutare la capacità della propria organizzazione nel rispondere efficacemente agli attacchi avanzati attraverso un ciclo di revisione continuo”, dichiara Gabriele Zanoni, EMEA Solutions Architect di FireEye. “Questo non solo è necessario, ma contribuirà a garantire che l’organizzazione subisca una interruzione minima dell’attività”.
Se un attacco ha successo, il team di gestione di gestione crisi dovrebbe riceverne notifica immediatamente. Anche se la violazione non può classificarsi come un “disastro”, il team di gestione della crisi deve sempre guidare le procedure di recupero e registrare le attività. Tenere registri e monitorare gli avvenimenti è essenziale per consentire l’attivazione di piani di emergenza, permettendo al team di rivedere e nel caso aumentare il livello di severità della violazione secondo necessità a seconda dell’impatto dell’incidente.
Recupero
Dopo le attività di risposta ad un qualsiasi attacco informatico, avviene una fase di stand-down.
Dopo che la crisi è stata dichiarata conclusa, ci sono tre best-practice da applicare:
1. Operazioni di “pulizia”: gestione o migrazione dei nuovi dati e dei nuovi aggiornamenti di sicurezza all’interno di un nuovo ambiente sicuro, nonché gestione delle diverse segnalazioni, reclami assicurativi in aggiunta alle comunicazione continue con fornitori, partner e clienti;
2. Operazioni a seguito della violazione: revisione dei processi di risposta affinché siano volti all’identificazione e la documentazione di quanto appreso per migliorare il livello di sicurezza;
3. Aggiornamento delle strategie di risposta e gestione agli incidenti.
Possono essere necessari mesi per completare la fase di stand-down e riprendere le normali operazioni, e ogni procedimento legale probabilmente prolungherà il processo.
“Una strategia di risposta e di recupero è vitale per salvaguardare un’organizzazione dai consistenti danni causati dagli attacchi informatici che hanno successo. Ogni organizzazione spera che questi piani non debbano mai essere utilizzati, il ritmo e la portata degli incidenti di sicurezza, che rileviamo giornalmente, mettono a rischio tutte le organizzazioni”, aggiunge Zanoni.
L’utilizzo di una sorgente aggiornata di threat intelligence che si basi su informazioni di prima mano date dalle attività di Incident Response svolte in prima persona, l’uso di sistemi di difesa moderni e strategie olistiche contribuiscono sensibilmente ad incrementare le possibilità di superare una violazione della sicurezza con successo e con un impatto minimo. Queste strategie, tuttavia, devono essere continuamente convalidate e testate per garantire che siano pertinenti, robuste e rilevanti.
