Sicurezza informatica? Serve un buon piano di incident response

Un recente studio di FireEye Mandiant ha rivelato che gli strumenti e i processi di sicurezza in uso non hanno rilevato o prevenuto il 53% degli attacchi effettuati. Sebbene si stiano rilevando gli incidenti più rapidamente rispetto al passato c'è ancora molto da fare. Le aziende devono quindi essere preparate ad affrontare una violazione dei propri dati

Nel corso dell’ultimo anno le tattiche, le tecniche e le procedure degli attaccanti informatici non sono cambiate di molto, ma le tendenze globali continuano a evolversi, rendendo più alto il rischio per le aziende. Come però evidenziato dal recente M-Trends Report, le organizzazioni stanno rilevando gli incidenti più rapidamente rispetto al passato. C’è però ancora molto da fare in questa direzione: un recente studio di FireEye Mandiant, condotto su oltre 100 organizzazioni aziendali, rileva che gli strumenti e i processi di sicurezza in uso non hanno rilevato o prevenuto il 53% degli attacchi effettuati. Non è più una questione di se ma di quando gli attaccanti passeranno inosservati; un fatto che può portare a tipologie anche molto diversi di pericoli, dalla compromissione dei dati all’interruzione dell’attività o ancora peggio. Fermarsi per fare fronte a un piano di rimessa in funzione dei sistemi e dei dati a seguito di una violazione ritarda il business aziendale. Ecco perché non avere un piano efficace di ‘incident response’ per fermare un attacco informatico e gestirne le conseguenze, diventa piuttosto complicato.

Pianificare le risposte all’attacco: le sei fasi principali
Oggi comprendere quanto sia sicura un’azienda rispetto alle diverse tipologie di attacchi è fondamentale per validare l’efficacia complessiva di ogni programma di sicurezza informatica. In primo luogo le organizzazioni dovrebbero utilizzare una sorgente di cyber threat intelligence per comprendere le caratteristiche degli attacchi informatici nel loro settore industriale, compresi i comportamenti degli attaccanti, le loro tecniche e le loro motivazioni. I team di difesa possono utilizzare queste informazioni per sviluppare scenari volti a verificare le modalità in cui le proprie tecnologie di difesa si comporteranno contro degli attacchi reali. Il risultato di questi test fornisce molti dettagli su come si potrebbe svolgere un attacco o una violazione, aprendo quindi la strada ad un piano di risposta efficace e ragionato.
Il team di risposta agli incidenti di Mandiant è stato in prima linea durante le più complesse violazioni avvenute in tutto il mondo, aiutando i propri clienti a indagare e porre rimedio alle aggressioni, in modo da poter permettere loro di riprendere le attività di business velocemente. Un tipico piano di risposta è articolato in sei fasi:

Implementare una tecnologia per l’investigazione facendo leva sugli indicatori di compromissione per poter identificare le attività dell’aggressore;
Pianificare la gestione della crisi coinvolgendo i dirigenti, il team legale e il personale di sicurezza senior;
Monitorare in tempo reale le attività dell’attaccante e andare alla ricerca delle azioni che ha compiuto in precedenza;
Analizzare tutte le azioni intraprese dall’attaccante per stabilire l’entità della compromissione;
Valutare i danni subiti da tutti i sistemi, impianti, applicazioni e dati;
Sviluppare una strategia personalizzata di contenimento dell’incidente e di rimedio per estromettere l’attaccante e portarsi in più sicura situazione.

Sviluppare un piano di risposta globale
Per supportare questo piano al meglio e garantirsi un rapido recupero dagli incidenti, le organizzazioni dovrebbero considerare modalità e processi di lavoro alternativi pensati per quando l’IT si troverà in situazione di crisi, così come efficaci processi di gestione e comunicazione delle crisi per i servizi interni ed esterni.
I piani di risposta aiutano l’organizzazione a sviluppare le migliori pratiche che possono poi essere implementate rapidamente quando necessario. Sono più efficaci se i team di risposta agli incidenti di sicurezza informatica (CSIRT) e il personale che si occupa della gestione della continuità operativa (BCM) uniscono gli sforzi per riprendere le normali operazioni e ridurre gli impatti economici di un attacco informatico.
“Questi due gruppi, il CSIRT e BCM hanno la possibilità di imparare l’uno dall’altro, allineare gli sforzi e valutare la capacità della propria organizzazione nel rispondere efficacemente agli attacchi avanzati attraverso un ciclo di revisione continuo”, dichiara Gabriele Zanoni, EMEA Solutions Architect di FireEye. “Questo non solo è necessario, ma contribuirà a garantire che l’organizzazione subisca una interruzione minima dell’attività”.
Se un attacco ha successo, il team di gestione di gestione crisi dovrebbe riceverne notifica immediatamente. Anche se la violazione non può classificarsi come un ‘disastro’, il team di gestione della crisi deve sempre guidare le procedure di recupero e registrare le attività. Tenere registri e monitorare gli avvenimenti è essenziale per consentire l’attivazione di piani di emergenza, permettendo al team di rivedere e nel caso aumentare il livello di severità della violazione secondo necessità a seconda dell’impatto dell’incidente.

FireEye: le Pmi nel mirino Le piccole-medie realtà sono un bersaglio sempre più interessante per il cyber crime, anche come canale per raggiungere i loro clienti o fornitori

La fase di recupero
Dopo le attività di risposta ad un qualsiasi attacco informatico, avviene una fase di stand-down. Una volta dichiarata conclusa la crisi, ci sono tre best-practice da applicare:

Operazioni di ‘pulizia’: gestione o migrazione dei nuovi dati e dei nuovi aggiornamenti di sicurezza all’interno di un nuovo ambiente sicuro, nonché gestione delle diverse segnalazioni, reclami assicurativi in aggiunta alle comunicazione continue con fornitori, partner e clienti;
Operazioni a seguito della violazione: revisione dei processi di risposta affinché siano volti all’identificazione e la documentazione di quanto appreso per migliorare il livello di sicurezza;
Aggiornamento delle strategie di risposta e gestione agli incidenti.

A volte possono essere necessari mesi per completare la fase di stand-down e riprendere le normali operazioni, e ogni procedimento legale probabilmente prolungherà il processo.
“Una strategia di risposta e di recupero è vitale per salvaguardare un’organizzazione dai consistenti danni causati dagli attacchi informatici che hanno successo. Ogni organizzazione spera che questi piani non debbano mai essere utilizzati, il ritmo e la portata degli incidenti di sicurezza, che rileviamo giornalmente, mettono a rischio tutte le organizzazioni”, aggiunge Zanoni.
L’utilizzo di una sorgente aggiornata di threat intelligence che si basi su informazioni di prima mano date dalle attività di Incident Response svolte in prima persona, l’uso di sistemi di difesa moderni e strategie olistiche contribuiscono sensibilmente a incrementare le possibilità di superare una violazione della sicurezza con successo e con un impatto minimo. Queste strategie, tuttavia, devono essere continuamente convalidate e testate per garantire che siano pertinenti, robuste e rilevanti.