Mentre i leader organizzativi e gli IT Decision Maker tengono d'occhio le minacce e le tendenze emergenti dell'anno precedente, gran parte della loro strategia di sicurezza informatica dovrà basarsi su quanto efficacemente le loro aziende possono rispondere ad un attacco.
Sebbene il rischio di attacchi informatici sia una realtà innegabile, la preparazione può differenziare in modo significativo le aziende di successo da quelle che faticano a gestire un eventuale incidente informatico.
In particolare, i Chief Information Security Officer (CISO) elaboreranno piani per garantire un ritorno rapido ed efficace alle normali operazioni di fronte a un attacco.
Questo post redatto da SentinelOne illustra come valutare l'attuale preparazione informatica dell'azienda, come prepararsi ad un attacco informatico e cosa fare dopo che si è verificato un attacco.
Offre linee guida sugli elementi chiave su cui i CISO e i leader IT dovranno concentrarsi mentre rafforzano le loro strategie di difesa alla luce dell'attuale panorama delle minacce.
La Crescente Minaccia di Attacchi Cyber alle Organizzazioni
Tutti i settori negli ultimi anni hanno affrontato la minaccia degli attacchi informatici. Sanità, istruzione, governo e infrastrutture critiche sono tra quelli che hanno subìto i colpi più duri. Prendere di mira vittime impreparate o scarsamente finanziate è diventato un modello di business redditizio per gruppi di criminali informatici.
I criminali informatici non discriminano gli obiettivi per dimensione o settore; le conseguenze di un attacco possono colpire l'organizzazione e i suoi vendor e fornitori.
In un tale ambiente, ha senso che le aziende si preparino alla possibilità di una compromissione o di un attacco informatico. Un efficace piano di risposta agli incidenti che sia stato comunicato apertamente e adattato alle esigenze dell'azienda aumenta le possibilità di recupero dell'organizzazione e un rapido ritorno alle normali operazioni.
Valutazione della Preparazione Informatica | La Tua Azienda è Pronta?
La preparazione informatica garantisce che le aziende dispongano di un piano per rispondere alle minacce imminenti. Per le piccole e medie imprese (PMI), la risposta agli incidenti e la gestione delle emergenze correttamente implementate possono fare la differenza tra recupero e insolvenza.
Sebbene il rischio informatico non possa essere eliminato completamente, le aziende possono gestirlo in modo efficace con le persone, i processi e la tecnologia giusti.
Il primo passo per costruire un solido piano di risposta agli incidenti informatici (IRP) è valutare il livello di preparazione dell'organizzazione.
Persone
Team di Risposta – È chiaro chi sono i membri del team di risposta agli incidenti? Il team di risposta include: un responsabile tecnico, analisti di dati, consulente di comunicazione/PR, specialista delle risorse umane, ecc.?
Stakeholder – Gli stakeholder interni ed esterni sono chiaramente identificati? I contatti chiave per terze parti, vendor, clienti e fornitori sono identificati? Tutti i membri del consiglio di amministrazione e i C-level rivolti al pubblico sono tutti esperti nel rivolgersi ai media?
Ruoli e Responsabilità – Tutti nell'organizzazione comprendono il proprio ruolo nell'IRP? Tutte le aspettative sono state comunicate, spiegate e documentate?
Matrice di Comunicazione – È in atto un piano di comunicazione e in un formato/ubicazione facilmente accessibile in caso di interruzioni delle reti? Include punti di contatto centrali per ciascun team dell'organizzazione?
Processi
Policy – Le politiche di risposta agli incidenti sono in linea con le politiche generali e i requisiti di conformità dell'organizzazione? I dirigenti senior hanno rivisto, approvato e comunicato a tutti i dipendenti?
Miglioramento Continuo e Lezioni Apprese – Dopo ogni pratica, esercitazione o incidente reale, i risultati e i feedback sono documentati e archiviati in una piattaforma facilmente accessibile? Gli elementi di azione e le carenze sono assegnati e comunicati ad amministratori e dirigenti? I report post-incidente sono utilizzati per i processi di formazione e onboarding?
Tecnologie
Assessment Post-Evento – Esiste un servizio gestito o un centro operativo di sicurezza (SOC) in grado di fornire valutazioni approfondite della risposta agli incidenti (IR)? Queste valutazioni individuano le prove all'interno dell'ambiente?
Backup – I backup sono pianificati regolarmente, archiviati offline o archiviati in un cloud sicuro? I backup sono regolarmente rivisti e protetti con password e crittografia? I backup sono accessibili per la modifica o l'eliminazione dalla rete principale?
Analisi dei Dati e Risposta agli Incidenti – Lo stack di sicurezza dell'organizzazione include analisi forensi digitali, risposta agli incidenti e/o consulenze sulla sicurezza in caso di attacco?
Informazioni Contestuali – Lo stack di sicurezza è in grado di raccogliere registri dettagliati? I dati di registro sono archiviati in sola lettura con la crittografia standard in atto?
Cosa Fare per Prepararsi ad un Attacco Informatico
Una delle cose più importanti che i dirigenti della sicurezza informatica possono fare per prepararsi a un attacco informatico è istituire una task force e nominare individui specifici responsabili della risposta a una violazione.
Questa task force dovrebbe includere membri chiave dell'organizzazione, come professionisti IT, consulenti legali, dirigenti ed eventuali partner esterni o fornitori di servizi che potrebbero dover essere coinvolti nella risposta.
Prima che si verifichi una violazione, è essenziale sviluppare un protocollo completo di sopravvivenza agli attacchi informatici che delinei i passaggi da intraprendere durante un attacco. Ciò dovrebbe includere informazioni sull'identificazione, il contenimento e il recupero dall'attacco. Dovrebbe anche includere dettagli sulla comunicazione con le parti interessate, inclusi dipendenti, clienti e media.
Oltre a istituire una task force, ci sono altri passaggi fondamentali per aumentare la preparazione a un attacco informatico:
1. Condurre Regolari Assessment di Sicurezza – Valutazioni periodiche della sicurezza possono aiutare a identificare le vulnerabilità nei sistemi e nelle reti che gli aggressori potrebbero sfruttare.
2. Implementare Controlli di Sicurezza Robusti – Ciò include la sicurezza della rete e del cloud, il software di sicurezza degli endpoint, la protezione dell'identità dell'utente e la crittografia per proteggere sistemi e dati.
3. Formazione dei Dipendenti – Educare i dipendenti sull'importanza della sicurezza informatica e su come identificare e segnalare potenziali minacce può fare molto per proteggere un'organizzazione da un attacco.
4. Stabilire Protocolli di Risposta agli Incidenti – Avere un piano in atto su come rispondere a un attacco informatico può aiutare a ridurre al minimo i danni e ripristinare il funzionamento dei sistemi e delle operazioni il più rapidamente possibile.
5. Esegui una Simulazione di Risposta agli Incidenti Forensi – Le simulazioni aiutano a gestire le conseguenze di un attacco informatico. I risultati possono fornire un valido supporto nell'affrontare le complesse sfide legali e tecniche che spesso sorgono a seguito di una violazione.
Cosa Fare Dopo un Attacco Informatico
L'obiettivo generale del processo post-attacco è mitigare eventuali vulnerabilità sfruttate, garantire che la minaccia sia stata neutralizzata o sradicata e ripristinare i servizi interessati alla normalità operativa.
Dopo un attacco di sicurezza informatica confermato, i seguenti passaggi contribuiranno a garantire che l'incidente sia adeguatamente contenuto e a ridurre al minimo le perdite di dati.
1. Valuta l’Identità dell’Attacco
Il primo step del team di sicurezza è determinare l'estensione dell'attacco e identificare quali sistemi, dati e/o utenti sono stati interessati. Quanto segue aiuterà a determinare il tipo di attacco e valutare l'entità del danno:
- Determinare il tipo di attacco – Una risposta efficace deve innanzitutto comprendere il tipo di attacco specifico che si è verificato. I tipi di attacco includono tentativi di phishing, attacchi Denial of Service, ransomware/esfiltrazione di dati e appropriazione di account/utenti. Se è stato utilizzato un malware, identificare il tipo specifico. Questo spesso può portare a una migliore comprensione di altri elementi dell'attacco.
- Identificare la fonte dell’attacco – È importante identificare il vettore iniziale di compromissione. I criminali informatici potrebbero aver preso piede o essere presenti in altre parti della rete che non sono ancora venuti alla luce. Per farlo in modo efficace, collabora con un team di risposta agli incidenti forensi per analizzare l'attacco e risalire alla sua origine. Comprendere la fonte dell'attacco aiuta anche a informare la strategia di sicurezza dell'azienda in modo che possano essere implementate misure per impedire che attacchi simili si verifichino in futuro.
- Valutare l'entità del danno – Una volta contenuto e identificato il tipo di attacco, è il momento di valutare l'entità del danno. Ciò può includere la valutazione dell'impatto su sistemi e dati e l'identificazione di eventuali informazioni sensibili che potrebbero essere state compromesse. Comprendere l'intera portata dell'attacco aiuterà l'organizzazione a pianificare una risposta efficace.
2. Contenere l’Attacco
Il passaggio successivo consiste nell'impedire agli aggressori di ottenere un ulteriore accesso alla rete. Alcuni passaggi consigliati sono:
- Isolare i dispositivi e i sistemi infettati – Qualsiasi sistema o dispositivo che potrebbe essere stato compromesso dovrebbe essere isolato dal resto della rete per impedire alla minaccia di diffondersi ad altri sistemi. Le organizzazioni che hanno implementato SentinelOne possono utilizzare la funzionalità di quarantena della rete per bloccare qualsiasi altra comunicazione da e verso gli endpoint che potrebbero essere stati compromessi.
- Disconnessione dalla rete (se necessario) – In alcuni casi, potrebbe essere necessario disconnettere l'intera rete da Internet per impedire al criminale informatico di accedere ai sistemi.
- Arrestare i servizi interessati – Se alcuni servizi (ad es. e-mail, server Web) fossero stati compromessi, potrebbe essere necessario portare questi servizi offline in tutta l'organizzazione per impedire al criminale informatico di utilizzarli come punto d'appoggio.
- Implementare qualsiasi misura d’emergenza necessaria – A seconda della gravità dell'attacco, potrebbe essere necessario attivare il piano di risposta agli incidenti, che dovrebbe delineare i passaggi necessari per contenere l'attacco e ridurre al minimo i danni.
3. Eliminare la Minaccia
Dopo il contenimento, lo step successivo è quello di rimuovere qualsiasi malware o software malevolo installato durante l’attacco e di assicurarsi che l’infezione iniziale sia bloccata.
- Rimuovere malware o altri software malevoli – Le organizzazioni che hanno implementato SentinelOne possono impostare un criterio che rimuove automaticamente il malware oppure può essere eseguito in remoto se il criterio non era già stato impostato. Le organizzazioni senza SentinelOne potrebbero dover rimuovere manualmente il malware dai sistemi infetti o ricostruire il sistema da zero.
- Applicare patch ad eventuali vulnerabilità – Se il criminale informatico ha sfruttato le vulnerabilità del software per ottenere l'accesso, queste dovranno essere riparate il prima possibile. Ciò potrebbe richiedere l'applicazione di patch o aggiornamenti software, la riconfigurazione delle impostazioni di rete o la sostituzione di sistemi obsoleti o non supportati.
L'applicazione delle patch alle vulnerabilità può comportare tempi di inattività, che possono essere dannosi per le operazioni aziendali. Tuttavia, è essenziale impedire agli aggressori di sfruttare nuovamente lo stesso vettore di infezione e interferire con il processo di ripristino.
- Reset password – Se gli account utente o le credenziali del servizio sono stati compromessi prima o durante l'attacco, è necessario assicurarsi che vengano reimpostati e che le identità degli utenti siano confermate e protette utilizzando chiavi biometriche, MFA e altre tecniche di autenticazione.
4. Ripristinare Dati e Servizi
Una volta mitigato l'attacco, il passaggio successivo consiste nel ripristinare tutti i sistemi o i dati danneggiati o persi durante l'attacco. Ciò può comportare il ripristino da backup, la ricostruzione di sistemi o il ripristino di dati utilizzando un software specializzato. La priorità dovrebbe essere data a quanto segue:
- Ripristinare sistemi e servizi – Ripristina tutti i sistemi o servizi che sono stati arrestati per contenere l'attacco e che sono stati danneggiati o persi. È importante testare e convalidare attentamente tali servizi per garantire che siano completamente funzionali e sicuri prima di renderli nuovamente disponibili agli utenti.
- Ripristinare i dati persi (se necessario) – Se l'attacco ha provocato la perdita di dati essenziali, ripristinali il prima possibile. Ciò può comportare il ripristino da backup puliti noti, l'utilizzo di software di recupero dati specializzato o la ri-creazione manuale dei dati persi.
- Ricostruisci i sistemi interessati (se necessario) – Se l'attacco ha causato danni ai sistemi che non possono essere riparati, potrebbe essere necessario ricostruirli da zero. Sebbene ciò possa richiedere molto tempo, è necessario garantire che tutti i sistemi siano sicuri e perfettamente funzionanti.
5. Segnala l’Evento
Man mano che l'indagine forense sui dati procede, i dirigenti senior e le altre parti interessate dovrebbero essere tenuti informati dei risultati del team. Quando incarichi il team di risposta agli incidenti, assicurati che le cadenze dei report siano impostate.
Durante questa fase, i comunicatori chiave raggiungeranno le forze dell'ordine e le agenzie assicurative. I C-level collaboreranno con gli specialisti delle pubbliche relazioni e dei media per emettere un comunicato stampa e informare i dipendenti, i clienti interessati e i fornitori di terze parti.
Le organizzazioni possono mantenere la fiducia e la trasparenza fornendo aggiornamenti regolari sulla situazione e sui progressi compiuti. Ecco i passaggi da tenere a mente:
- Imposta la cadenza e le aspettative in merito ai rapporti – Dopo che l'attacco è stato contenuto e il team di risposta agli incidenti ha avviato la sua indagine, è importante stabilire una cadenza del report e definire le aspettative su come e quando le informazioni saranno condivise con le parti interessate.
Ciò contribuirà a garantire che il team tecnico possa concentrarsi sui propri compiti senza essere interrotto da richieste di comunicazione, che possono sprecare risorse preziose durante questo momento critico.
- Identificare report determinati per ogni stakeholder – Nell'ambito degli sforzi di risposta e risoluzione, è importante che dipendenti, clienti e partner siano informati della situazione e dei progressi compiuti. Tuttavia, ciascun gruppo di stakeholder può avere esigenze e preferenze di comunicazione diverse.
Ad esempio, le parti interessate interne potrebbero aver bisogno di un feedback chiaro e attuabile, mentre le parti interessate esterne potrebbero richiedere un aggiornamento più generale. Identificare i diversi gruppi di stakeholder e sviluppare un piano di comunicazione che soddisfi le loro esigenze.
- Collaborare con specialisti dei media e delle pubbliche relazioni – Per mantenere la fiducia e la trasparenza, potrebbe essere necessario rilasciare un comunicato stampa o altre dichiarazioni pubbliche sull'attacco. I C-level dovrebbero lavorare a stretto contatto con i media e gli specialisti delle pubbliche relazioni per elaborare attentamente questa dichiarazione e garantire che rifletta accuratamente la situazione e gli sforzi di risposta dell'organizzazione.
I livelli dirigenziali dovrebbero inoltre assicurarsi di essere a conoscenza di eventuali regolamenti obbligatori che si applicano alla loro organizzazione in caso di attacco. A seconda delle leggi specifiche del settore e della legislazione statale, molte organizzazioni sono legalmente obbligate a segnalare attacchi informatici e violazioni dei dati. Coloro che gestiscono, archiviano e trasmettono informazioni di identificazione personale, ad esempio, saranno vincolati dai requisiti HIPAA e PCI-DSS a informare le persone interessate.
6. Tenere Sessioni Post-Evento sulle Lezioni Apprese
Tenere sessioni post-evento in cui si apprendono le lezioni è parte integrante del processo di sopravvivenza agli attacchi informatici perché consente alle organizzazioni di ridurre il rischio di attacchi futuri e proteggere meglio se stessi e i propri clienti.
Le lezioni apprese post-evento aiutano a migliorare i processi e le procedure di risposta agli incidenti. Esaminando gli eventi che hanno preceduto, durante e dopo l'attacco, le organizzazioni possono identificare eventuali colli di bottiglia o inefficienze nel proprio piano di risposta agli incidenti e adottare misure per semplificare e migliorare gli sforzi di risposta.
Ciò può includere la revisione dei ruoli e delle responsabilità del team, l'aggiornamento dei piani di comunicazione e l'integrazione di nuovi controlli o procedure di sicurezza.
- Impara dall'Attacco – L'indagine dovrebbe aver già identificato cosa è successo e come gli aggressori hanno ottenuto l'accesso. Le vulnerabilità dovrebbero essere state riparate e mitigate. È importante assicurarsi che i risultati dell'indagine siano utilizzati come lezioni per prevenire attacchi simili in futuro. Ciò può includere anche errori o passi falsi commessi durante lo sforzo di risposta.
- Aggiornare il piano di risposta agli incidenti – Sulla base delle lezioni apprese dall'attacco, il piano di risposta agli incidenti e la strategia di sicurezza aziendale complessiva dovrebbero essere aggiornati per garantire che riflettano le migliori pratiche più attuali e considerino eventuali nuove minacce o vulnerabilità.
Ciò può comportare la revisione dei ruoli e delle responsabilità del team IR, l'aggiornamento del piano di comunicazione e l'integrazione di nuovi controlli o procedure di sicurezza.
In Conclusione
Dato il crescente rischio di minacce informatiche per aziende di tutte le dimensioni e settori, sviluppare una preparazione alla sicurezza informatica è diventato un obiettivo urgente per molti leader della sicurezza di livello dirigenziale e proprietari IT.
Affrontare gli attacchi alla sicurezza informatica sarà un esercizio impegnativo per tutti i soggetti coinvolti, ma i leader possono fare molto per ridurre al minimo i danni e rendere la strada verso la ripresa il più agevole possibile.
Pianificare in anticipo e progettare un piano di risposta agli incidenti su misura per le esigenze specifiche dell'azienda garantisce che le aziende possano conservare i dati sensibili, la fiducia dei clienti e del pubblico e la credibilità a lungo termine.
Se vuoi scoprire di più su come SentinelOne può aiutarti nella protezione della tua azienda dagli attacchi informatici, invia una mail a cio@florence-consulting.it o chiama lo (055) 538-3250.
Visita la pagina dedicata sul nostro sito per ricevere ulteriore materiale informativo, in alternativa puoi compilare il form sottostante con la tua domanda.
