CYBER SECURITY - Incident & Response
Qual è il modo migliore per evitare che un attacco informatico si trasformi in una violazione completa?
Essere preparati in anticipo!
Dopo aver subito una violazione, le organizzazioni spesso si rendono conto che avrebbero potuto evitare molti costi, problemi ed interruzioni se solo avessero messo in atto un piano di risposta agli incidenti efficace.
Occorre definire il quadro per la pianificazione della risposta agli incidenti di sicurezza informatica che offra le migliori possibilità di contrastare un evento di intrusione.
(By Sophos White Papers)
Ci sono 10 passaggi principali per un efficace piano di risposta agli incidenti.
Determinare le parti chiave interessate
Identificare le risorse critiche
Eseguire "esercizi da tavolo"
Distribuire strumenti di protezione
Garantire la massima visibilità
Implementare il controllo degli accessi
Investire in strumenti di indagine
Stabilire azioni di risposta
Adottare strumenti di sensibilizzazione
Servizi gestiti di sicurezza
UN ESEMPIO IN DETTAGLIO:
Quadro del piano di risposta agli incidenti
Determinare le parti chiave interessate
La corretta pianificazione di un potenziale incidente non è di esclusiva responsabilità del tuo team di sicurezza. In effetti, un incidente avrà probabilmente un impatto su quasi tutti i reparti dell’organizzazione, soprattutto se l’incidente si trasforma in una violazione su vasta scala. Per coordinare correttamente una risposta, devi prima determinare chi dovrebbe essere coinvolto.
Ciò include spesso la rappresentanza dell’alta dirigenza, sicurezza, IT, legale e pubbliche relazioni.
Sapere chi dovrebbe essere al tavolo e coinvolto negli esercizi di pianificazione della tua organizzazione è qualcosa che dovrebbe essere determinato in anticipo.
Inoltre, è necessario stabilire un metodo di comunicazione per garantire una risposta rapida. Ciò dovrebbe tenere conto della possibilità che i tuoi normali canali di comunicazione (ad es. l’e-mail aziendale) possano essere influenzati da un incidente.
Identificare le risorse critiche
Per determinare l’ambito e l’impatto di un attacco, la tua organizzazione deve prima identificare le sue risorse con la priorità più alta. La mappatura delle risorse con la priorità più alta non solo ti aiuterà a determinare la tua strategia di protezione, ma renderà molto più semplice determinare l’ambito e l’impatto di un attacco.
Inoltre, identificandoli in anticipo, il tuo team di risposta agli incidenti sarà in grado di concentrarsi sugli asset più critici durante un attacco, riducendo al minimo le interruzioni per l’azienda.
Eseguire "esercizi da tavolo"
La risposta agli incidenti è come molte altre discipline: la pratica rende perfetti. Sebbene sia difficile replicare completamente l’intensa pressione che il tuo team subirà durante una potenziale violazione, gli esercizi pratici assicurano una risposta più strettamente coordinata ed efficace quando si verifica una situazione reale. È importante non solo eseguire esercizi tecnici da tavolo (spesso come parte di un’esercitazione della squadra rossa), ma anche esercizi più ampi che includono le varie parti interessate aziendali precedentemente identificate.
Gli esercizi da tavolo dovrebbero testare le risposte dell’organizzazione a una varietà di potenziali scenari di risposta agli incidenti. Ciascuno di questi scenari potrebbe includere anche le parti interessate al di là del team tecnico immediato.
La tua organizzazione dovrebbe determinare in anticipo chi deve essere informato quando viene rilevato un attacco, anche se è stato difeso con successo
Gli scenari comuni di risposta agli incidenti includono:
Intruso attivo rilevato all’interno della tua rete:
in questi scenari, è fondamentale che il team di risposta determini in che modo un utente malintenzionato è stato in grado di infiltrarsi nel tuo ambiente, quali strumenti e tecniche ha utilizzato, cosa è stato preso di mira e se ha stabilito la persistenza. Queste informazioni aiuteranno a determinare la corretta linea d’azione per neutralizzare l’attacco.
Sebbene possa sembrare ovvio che espelleresti immediatamente l’intruso dall’ambiente, alcuni team di sicurezza scelgono di attendere e osservare l’attaccante per ottenere informazioni importanti al fine di determinare ciò che sta cercando di ottenere e quali metodi sta utilizzando per raggiungerli.Violazione dei dati riuscita:
se viene rilevata una violazione dei dati riuscita, il tuo team dovrebbe essere in grado di determinare cosa è stato esfiltrato e come. Ciò informerà quindi la risposta adeguata, inclusa la potenziale necessità di considerare l’impatto sulla conformità e sulle politiche normative, se è necessario contattare i clienti, e il potenziale coinvolgimento legale o delle forze dell’ordine.Attacco ransomware riuscito:
se i dati e i sistemi critici sono crittografati, il tuo team dovrebbe seguire un piano per recuperare tali perdite il più rapidamente possibile. Ciò dovrebbe includere un processo per ripristinare i sistemi dai backup. Per garantire che l’attacco non si ripeta non appena sarai di nuovo online, il team dovrebbe indagare se l’accesso dell’intruso è stato interrotto.
Inoltre, la tua organizzazione più ampia dovrebbe determinare se sarebbe disposta a pagare un riscatto in situazioni estreme e, in tal caso, quanto sarebbe disposta a spendere (ed eventualmente perdere -non tutti i riscatti pagati portano al recupero dei dati)Sistema ad alta priorità compromesso:
quando un sistema ad alta priorità viene compromesso, l’organizzazione potrebbe non essere in grado di condurre l’attività normalmente. Oltre a tutti i passaggi necessari come parte di un piano di risposta agli incidenti, l’organizzazione deve anche prendere in considerazione la creazione di un piano di ripristino aziendale per garantire interruzioni minime in uno scenario come questo.
Distribuire strumenti di protezione
Il modo migliore per affrontare un incidente è proteggerlo in primo luogo. Assicurati che la tua organizzazione disponga della protezione appropriata per endpoint, rete, server, cloud, dispositivi mobili ed e-mail.
Garantire la massima visibilità
Senza la visibilità adeguata su ciò che sta accadendo durante un attacco, la tua organizzazione avrà difficoltà a rispondere in modo appropriato. Prima che si verifichi un attacco, i team IT e di sicurezza devono assicurarsi di avere la capacità di comprendere la portata e l’impatto di un attacco, inclusa la determinazione dei punti di ingresso e di persistenza dell’avversario. Una visibilità adeguata include la raccolta dei dati di registro, con particolare attenzione ai dati degli endpoint e della rete. Poiché molti attacchi richiedono giorni o settimane per essere scoperti, è importante disporre di dati storici che risalgono a giorni o settimane (anche mesi) per indagare. Inoltre, assicurati che venga eseguito il backup di tali dati in modo che sia possibile accedervi durante un incidente attivo.
Implementare il controllo degli accessi
Gli aggressori possono sfruttare il controllo degli accessi debole per infiltrarsi nelle difese della tua organizzazione e aumentare i privilegi. Assicurati regolarmente di disporre dei controlli adeguati per stabilire il controllo degli accessi. Ciò include, a titolo esemplificativo, l’implementazione dell’autenticazione a più fattori, la limitazione dei privilegi di amministratore al minor numero possibile di account (seguendo il principio del privilegio minimo), la modifica delle password redefinite e la riduzione della quantità di punti di accesso da monitorare.
Investire in strumenti di indagine
Oltre a garantire la visibilità necessaria, la tua organizzazione dovrebbe investire in strumenti che forniscano il contesto necessario durante un’indagine. Alcuni degli strumenti più comuni utilizzati per la risposta agli incidenti includono il rilevamento e la risposta degli endpoint (EDR) o il rilevamento e la risposta estesi (XDR), che consentono di esplorare l’ambiente per rilevare gli indicatori di compromissione (IOC) e gli indicatori di attacco (IOA) . Gli strumenti EDR aiutano gli analisti a individuare quali asset sono stati compromessi, il che a sua volta aiuta a determinare l’impatto e la portata di un attacco. Più dati vengono raccolti, dagli endpoint e oltre, più contesto è disponibile durante l’indagine. Avere una visibilità più ampia consentirà alla tua squadra non solo di determinare cosa hanno preso di mira gli aggressori, ma anche come hanno ottenuto l’ingresso nell’ambiente e se hanno ancora la possibilità di accedervi nuovamente.
Oltre agli strumenti EDR, i team di sicurezza avanzati potrebbero anche implementare una soluzione di orchestrazione, automazione e risposta della sicurezza (SOAR) che aiuta nei flussi di lavoro di risposta.
Stabilire azioni di risposta
Il rilevamento di un attacco è solo una parte del processo. Per rispondere correttamente a un attacco, i team IT e di sicurezza devono assicurarsi di essere in grado di condurre un’ampia gamma di azioni correttive per interrompere e neutralizzare un utente malintenzionato.
Le azioni di risposta includono, ma non sono limitate a:
– Isolamento degli host interessati
– Blocco di file, processi e programmi dannosi
– Blocco di comando e controllo (C2) e attività di siti Web dannosi
– Blocco degli account compromessi e blocco dell’accesso agli aggressori
– Ripulire manufatti e strumenti avversari
– Chiusura dei punti di ingresso e delle aree di persistenza sfruttate dagli aggressori (interni e di terze parti)
– Modifica delle configurazioni (policy delle minacce, abilitazione della sicurezza degli endpoint e dell’EDR su dispositivi non protetti, regolazione delle esclusioni, ecc.)
– Ripristino delle risorse interessate tramite backup offline
Adottare strumenti di sensibilizzazione
Sebbene nessun programma di formazione sarà mai efficace al 100% contro un determinato avversario, i programmi di istruzione (ad esempio la consapevolezza del phishing) aiutano a ridurre il livello di rischio e a limitare il numero di avvisi a cui il tuo team deve rispondere. L’utilizzo di strumenti per simulare gli attacchi di phishing offre al personale un modo sicuro per sperimentare (e potenzialmente cadere vittima) di un phishing, iscrivendo coloro che non riescono a partecipare alla formazione e identificando i gruppi di utenti rischiosi che potrebbero richiedere ulteriore formazione.
Servizi di sicurezza gestito
Molte organizzazioni non sono attrezzate per gestire gli incidenti da sole. Una risposta rapida ed efficace richiede operatori di sicurezza esperti. Per assicurarti di poter rispondere correttamente, considera di lavorare con una risorsa esterna come un provider di rilevamento e risposta gestiti (MDR). I fornitori di MDR offrono caccia alle minacce, indagine e risposta agli incidenti 24 ore su 24, 7 giorni su 7, forniti come servizio gestito. I servizi MDR non solo aiutano la tua organizzazione a rispondere agli incidenti prima che diventino violazioni, ma lavorano
anche per ridurre la probabilità di un incidente in primo luogo. I servizi MDR stanno diventando molto popolari: secondo Gartner*, entro il 2025, il 50% delle organizzazioni utilizzerà i servizi MDR (da meno del 5% nel 2019).
I servizi di Data Forensic Incident Response (DFIR) vengono occasionalmente conservati anche dopo un incidente per raccogliere prove a sostegno di un reclamo legale o assicurativo.
CONCLUSIONE:
Quando si verifica un incidente di sicurezza informatica, il tempo è essenziale. Avere un piano di risposta ben preparato e ben compreso
che tutte le parti chiave possono mettere in atto immediatamente ridurrà drasticamente l’impatto di un attacco sulla tua organizzazione.
continua la lettura…. (documento originale Sophos WhitePapers) o torna a Cyber-Security
Per saperne di più, contattaci facendo click su RICHIESTA INFORMAZIONI qui sotto
Contatti
Viale Lunigiana, 24
20125 Milano
Telefono: +39 02.67493004
Fax: +39 02.700402878
info@info4u.it
® 2020 Info4u Srl | P.IVA 04905690964 | Privacy Policy | Cookie Policy |
® 2020 Info4u Srl | P.IVA 04905690964 | Privacy Policy | Cookie Policy |