Che cos'è una metodologia di Incident Response?

Una metodologia di Incident Response è il piano utilizzato da un’organizzazione per rispondere e gestire un attacco informatico. Un attacco o una violazione di dati può avere conseguenze disastrose su clienti, proprietà intellettuale, tempo e risorse dell’azienda e anche sul valore del marchio. Un piano di Incident Response ha lo scopo di ridurre il danno e accelerare per quanto possibile il recupero. Un componente chiave è rappresentato dall’analisi che consente di apprendere dall’attacco e prepararsi meglio per il futuro. Prima o poi quasi tutte le aziende subiscono delle violazioni, e un piano di Incident Response efficiente è il modo migliore per proteggersi.

Con l’aumento in scala e frequenza degli attacchi informatici, i piani di risposta agli incidenti diventano sempre più vitali per le difese informatiche di un'azienda. Un piano poco efficace può scoraggiare i clienti e sottoporre l'azienda a un monitoraggio più pressante da parte delle autorità. Ripetuti fallimenti nello sviluppo di un’infrastruttura di sicurezza interna efficace da parte di un bersaglio aggravano sensibilmente l'impatto degli attacchi. Ad esempio, dopo la violazione subita da Equifax nel 2017, la decisione della società di non condividere le informazioni con il pubblico ha danneggiato notevolmente il marchio. Una risposta efficace agli incidenti è fondamentale, indipendentemente dal settore.

Secondo il SANS Institute, un'azienda deve affidare al suo “Computer Incident Response Team (CIRT)” il coordinamento della risposta agli incidenti. Il team è composto da esperti dei livelli dirigenziali, del settore IT, della sicurezza delle informazioni, da auditor IT se disponibili, nonché da addetti alla sorveglianza dei beni materiali, in grado di offrire assistenza se un incidente comporta anche il contatto fisico diretto con i sistemi aziendali. La risposta agli incidenti deve essere supportata anche dalle Risorse umane, dall’ufficio legale e dall’ufficio PR o delle comunicazioni.

Secondo il SANS Institute, un piano di Incident Response deve essere composto da sei fasi chiave:

Preparazione: sviluppo di politiche e procedure da seguire in caso di violazione informatica. Questa fase include la definizione esatta della composizione del team di Incident Response e degli elementi che impongono la segnalazione dell'evento ai partner interni. Per questo processo sono essenziali un'efficace formazione su come contrastare una violazione e la documentazione per registrare tutto quanto accade per poi rivederlo in un secondo momento.

Identificazione: processo di rilevamento di una violazione e attivazione di una risposta rapida e focalizzata. I team di sicurezza IT identificano le violazioni utilizzando flussi di Threat Intelligence, sistemi di rilevamento delle intrusioni e firewall. Per qualcuno la "Threat Intelligence" resta una materia oscura, tuttavia è fondamentale per proteggere l’azienda. I professionisti della Threat Intelligence analizzano le tendenze attuali delle minacce informatiche e le tattiche comuni utilizzate da gruppi specifici; in questo modo, l’azienda resta sempre un passo avanti.

Contenimento: una delle prime fasi dopo l’identificazione è il contenimento del danno e la prevenzione di ulteriori infiltrazioni. Questo risultato si ottiene portando offline specifiche sottoreti e affidandosi a backup di sistema per manutenere le operazioni. È probabile che l’azienda colpita rimanga in stato di emergenza fino al contenimento della violazione.

Eradicazione: questa fase prevede la neutralizzazione della minaccia e il ripristino dei sistemi interni in uno stato quanto più simile possibile al precedente. Questo obiettivo può comportare il monitoraggio secondario per assicurare che i sistemi interessanti non siano più vulnerabili ad attacchi successivi.

Ripristino: i team di sicurezza devono verificare che tutti i sistemi interessati non siano più compromessi e possano tornare alla condizione operativa. A tal fine occorre anche fissare delle scadenze per il ripristino completo delle operazioni e il monitoraggio continuo di eventuali attività di rete anomale. In questa fase è possibile calcolare il costo della violazione e i successivi danni.

La morale: una delle fasi più importanti, spesso trascurata. Durante questa fase, il team di Incident Response e i partner si incontrano per stilare un piano su come migliorare gli sforzi futuri. Possono anche valutare le politiche e procedure correnti, nonché le decisioni specifiche prese dal team durante l’incidente. L’analisi finale deve essere sintetizzata in un rapporto e utilizzata per i successivi corsi di formazione. Forcepoint può aiutare il tuo team ad analizzare gli incidenti accaduti e migliorare le procedure di risposta. La difesa della tua organizzazione richiede uno sforzo mirato di apprendimento costante e consolidamento della tua rete contro i criminali.

Scopri di più leggendo nel nostro blog il post "Piano di Incident Response per le violazioni dei dati: best practice nel 2019" (in lingua inglese).

Anche se gli attacchi informatici possono sembrare inevitabili, ed è sempre una buona idea avere un piano di Incident Response, Forcepoint può aiutarti a prevenire gli incidenti causati da errori interni. Con lo strumento Insider Threat di Forcepoint ottieni visibilità sulle potenziali minacce ai sistemi critici.