Incidenti informatici: Suggerimenti per la giusta risposta

Secondo quanto riportato dai media, di recente è stato sferrato un altro attacco informatico a una nota PMI svizzera: l'azienda di tende Griesser è stata attaccata con un ransomware e ha quindi messo in atto tutte le misure necessarie per limitare i danni. Secondo l'azienda, una task force IT e un team di crisi stanno lavorando per ripristinare i sistemi in modo che possano gradualmente tornare alle normali operazioni.

Gli incidenti informatici possono verificarsi ovunque

Gli incidenti informatici possono colpire qualsiasi azienda. I pericoli si annidano ormai ovunque e i criminali informatici stanno diventando sempre più perfidi nei loro metodi. E poi, all'improvviso, un clic di troppo e il disastro fa il suo corso. Cosa fare allora? Gli esperti di incident response del fornitore di servizi di sicurezza informatica Sophos hanno quindi sviluppato una guida per aiutare le aziende ad affrontare questo difficile compito. I quattro consigli che seguono si basano sull'esperienza pratica dei team Managed Threat Response e Rapid Response, che insieme hanno già risposto a migliaia di incidenti di sicurezza informatica.

Suggerimento 1: reagire il più rapidamente possibile

Quando le aziende vengono attaccate, ogni secondo è importante. Tuttavia, i team di sicurezza interni spesso impiegano troppo tempo per reagire in modo appropriato e rapido. Il motivo più comune è che non riconoscono la gravità della situazione e l'urgenza in tempo. Inoltre, molti incidenti informatici avvengono nei giorni festivi, nei fine settimana e di notte. Poiché la maggior parte dei team IT e di sicurezza sono notevolmente sotto organico, la risposta a un attacco in questi momenti è spesso troppo tardiva per limitare l'impatto dell'attacco in tempo.

Inoltre, un certo affaticamento da allarme riduce la rapidità d'azione. E anche in presenza di una risposta corretta e tempestiva, i team di sicurezza spesso non hanno l'esperienza necessaria per prendere le giuste misure. Pertanto, i possibili incidenti e la risposta ad essi devono essere pianificati in dettaglio in anticipo. Sophos ha raccolto le dieci fasi più importanti di un piano di crisi informatica nella Guida alla risposta agli incidenti all'indirizzo https://secure2.sophos.com/en-us/security-news-trends/whitepapers/gated-wp/incident-response-guide.aspx elencati.

Suggerimento 2: Non dichiarare troppo presto le azioni come "missione compiuta".

Nel caso di un incidente informatico, non è sufficiente trattare i sintomi. È inoltre necessario andare a fondo delle cause. Ad esempio, la rimozione di un malware e la cancellazione di un allarme non significa che l'aggressore sia stato eliminato dall'ambiente. Questo perché potrebbe essere semplicemente un test eseguito dall'attaccante per vedere quali difese deve affrontare. Se l'aggressore ha ancora accesso all'infrastruttura, probabilmente colpirà di nuovo, ma con una maggiore potenza distruttiva. L'aggressore ha ancora un piede nella zona? Ha intenzione di lanciare una seconda ondata? I soccorritori esperti sanno quando e dove indagare più a fondo. Cercano tutto ciò che gli aggressori stanno facendo, hanno fatto o stanno pianificando di fare sulla rete e neutralizzano anche queste attività.

Suggerimento 3: la visibilità completa è fondamentale

In caso di attacco, è importante avere accesso a dati corretti e di alta qualità. Solo queste informazioni consentono di identificare con precisione i potenziali indicatori di un attacco e di determinarne la causa. Squadre specializzate raccolgono i dati rilevanti per rilevare i segnali e sanno come assegnare loro una priorità. Nel farlo, considerano i seguenti punti:

• Raccogliere i segnali: La visibilità limitata di un ambiente è un modo sicuro per non subire attacchi. Gli strumenti dei big data offrono un rimedio in questo caso. Questi raccolgono dati sufficienti a fornire approfondimenti significativi per indagare e rispondere agli attacchi. La raccolta di dati corretti e di alta qualità da una varietà di fonti garantisce una visione completa degli strumenti, delle tattiche e delle procedure di un attaccante.
• Ridurre il rumore di fondo: Per paura di non avere i dati necessari a fornire un quadro completo di un attacco, alcune aziende e strumenti di sicurezza raccolgono generalmente tutte le informazioni disponibili. Tuttavia, questo approccio rende più difficile l'individuazione degli attacchi e genera più dati del necessario. Questo non solo aumenta il costo della raccolta e dell'archiviazione dei dati, ma crea anche un elevato rumore di fondo di potenziali incidenti, con conseguente affaticamento degli avvisi e perdita di tempo per inseguire i veri falsi positivi.
• Applicare il contesto: Per gestire un programma di risposta agli incidenti efficace, oltre al contenuto (dati) è necessario il contesto. Applicando metadati significativi associati ai segnali, gli analisti della sicurezza possono determinare se questi segnali sono dannosi o benigni. Una delle componenti più importanti di un rilevamento e di una risposta efficaci alle minacce è la definizione delle priorità dei segnali. Il modo migliore per identificare gli avvisi più importanti è la combinazione del contesto fornito dagli strumenti di sicurezza (ad esempio le soluzioni di rilevamento e risposta degli endpoint), dell'intelligenza artificiale, dell'intelligence sulle minacce e della base di conoscenze dell'operatore umano. Il contesto aiuta a identificare l'origine di un segnale, lo stadio attuale dell'attacco, gli eventi correlati e il potenziale impatto sull'organizzazione.

Suggerimento 4: è giusto chiedere aiuto

La mancanza di risorse qualificate per indagare e rispondere agli incidenti è uno dei maggiori problemi che il settore della sicurezza informatica deve affrontare oggi. Molti team IT e di sicurezza, sottoposti a forti pressioni durante gli attacchi informatici, si trovano in situazioni per le quali non hanno l'esperienza e le competenze necessarie. Questo dilemma ha lasciato spazio a un'alternativa: i servizi di sicurezza gestiti. In particolare, i servizi di rilevamento e risposta gestiti (MDR). I servizi MDR sono operazioni di sicurezza in outsourcing fornite da un team di specialisti e sono un'estensione del team di sicurezza interno dell'azienda. Questi servizi combinano indagini condotte da persone, monitoraggio in tempo reale e risposta agli incidenti con tecnologie di raccolta e analisi dell'intelligence.

Per le aziende che non hanno ancora utilizzato un servizio MDR e devono rispondere a un attacco attivo, i servizi specializzati di risposta agli incidenti sono una buona opzione. Gli Incident Responder vengono chiamati quando il team di sicurezza è sovraccarico e sono necessari esperti esterni per valutare l'attacco e garantire che l'aggressore venga neutralizzato. Anche le aziende che dispongono di un team di analisti di sicurezza qualificati possono trarre vantaggio dalla collaborazione con un servizio di risposta agli incidenti. Ad esempio, è possibile colmare le lacune nella copertura (ad esempio di notte, nei fine settimana e nei giorni festivi) o assegnare compiti specializzati necessari per la risposta agli incidenti informatici.

Fonte: Sophos