Un incidente di sicurezza, o evento di sicurezza, è qualsiasi violazione digitale o fisica che minaccia la riservatezza, l'integrità o la disponibilità dei sistemi informativi o dei dati sensibili di un'organizzazione. Gli incidenti di sicurezza includono sia gli attacchi informatici intenzionali da parte di hacker o utenti non autorizzati sia le violazioni non intenzionali dei criteri di sicurezza da parte di utenti legittimi autorizzati.

Alcuni degli incidenti di sicurezza più comuni includono:

1. Ransomware
2. Phishing e ingegneria sociale
3. Attacchi DDoS (Distributed Denial-of-Service)
4. Attacchi alla supply chain
5. Minacce interne

Ransomware. Il ransomware è un tipo di software dannoso, o malware, che blocca i dati o il dispositivo informatico della vittima e minaccia di mantenerli bloccati, o peggio, a meno che la vittima non paghi un riscatto all'autore dell'attacco. Secondo il report Cost of a Data Breach 2022 di IBM, gli attacchi ransomware sono aumentati del 41% tra il 2021 e il 2022.

Scopri di più sui ransomware

Phishing e ingegneria sociale. Gli attacchi di phishing sono messaggi digitali o vocali che tentano di indurre con l'inganno i destinatari a condividere informazioni sensibili, scaricare software intenzionalmente dannosi, trasferire denaro o asset alla persona sbagliata o intraprendere altre azioni dannose. I truffatori creano abilmente messaggi di phishing in modo che abbiano caratteristiche grafiche e sonore che li facciano sembrare provenienti da un'organizzazione o da un individuo affidabile o credibile, a volte anche da un individuo che il destinatario conosce personalmente.

Secondo il report Cost of a Data Breach 2022 di IBM, il phishing è la causa più costosa e la seconda causa più comune di violazione dei dati. È anche la forma più comune di ingegneria sociale, una classe di attacco che sfrutta la natura umana, piuttosto che le vulnerabilità della sicurezza digitale, per ottenere l'accesso non autorizzato a dati o asset personali o aziendali sensibili.

Scopri di più sull'ingegneria sociale

Attacchi DDoS. In un attacco DDoS (Distributed Denial-of-Service), gli hacker ottengono il controllo remoto di un gran numero di computer e li utilizzano per aumentare il volume del traffico in modo da sovraccaricare la rete o i server dell'organizzazione bersaglio, rendendo tali risorse non disponibili per gli utenti legittimi.

Scopri di più sugli attacchi DDoS

Attacchi alla supply chain. Gli attacchi alla supply chain sono attacchi informatici che consistono nell'infiltrarsi in un'organizzazione bersaglio e attaccare i suoi fornitori, ad esempio rubando dati sensibili dai sistemi di un fornitore o utilizzando i servizi di un fornitore per distribuire malware. Nel luglio 2021, dei criminali informatici hanno approfittato di un errore nella piattaforma VSA di Kaseya (link esterno a ibm.com) per colpire i clienti con un ransomware con il pretesto di un aggiornamento software legittimo. Nonostante gli attacchi alla supply chain siano sempre più frequenti, secondo il Cyber Resilient Organization Study 2021 di IBM, solo il 32% delle organizzazioni dispone di piani di risposta agli incidenti predisposti per questa particolare minaccia informatica.

Scopri di più sulla sicurezza della supply chain

Minacce interne. Ci sono due tipi di minacce interne. Gli insider malevoli sono dipendenti, partner o altri utenti autorizzati che compromettono intenzionalmente la sicurezza delle informazioni di un'organizzazione. Gli insider negligenti sono utenti autorizzati che compromettono involontariamente la sicurezza non mettendo in pratica le best practice per la sicurezza, ad esempio utilizzando password deboli o memorizzando i dati sensibili in luoghi non sicuri. 

Maggiori informazioni sulle minacce interne

Pianificazione della risposta agli incidenti

Come abbiamo visto, le misure di risposta agli incidenti di un'organizzazione vengono attuate sulla base di un piano di risposta agli incidenti. Normalmente, vengono create ed eseguite da un CSIRT (Computer Security Incident Response Team) costituito da stakeholder provenienti da tutta l'organizzazione: CISO (Chief Information Security Officer), SOC (Security Operations Center) e personale IT, ma anche da rappresentanti della dirigenza e dei dipartimenti di ufficio legale, risorse umane, conformità normativa e gestione del rischio.

Generalmente, un piano di risposta agli incidenti include

• I ruoli e le responsabilità di ciascun membro del CSIRT;
• Le soluzioni di sicurezza, ovvero software, hardware e altre tecnologie, da installare in tutta l'azienda.
• Un piano di continuità aziendale che delinea le procedure per ripristinare i sistemi e i dati critici colpiti il più rapidamente possibile in caso di interruzione;
• Una metodologia dettagliata di risposta agli incidenti che stabilisce le misure specifiche da adottare in ogni fase del processo di risposta agli incidenti e da chi;
• Un piano di comunicazione per informare i leader aziendali, i dipendenti, i clienti e persino le forze dell'ordine sugli incidenti;
• Istruzioni per la documentazione per la raccolta di informazioni e la documentazione degli incidenti per la revisione post-mortem e (se necessario) per i procedimenti legali. 

Non è raro che il CSIRT elabori piani di risposta agli incidenti diversi per diversi tipi di incidenti, poiché ciascuno di essi può richiedere una risposta specifica. Secondo l'IBM® 2021 Cyber Resilient Organization Study, la maggior parte delle organizzazioni dispone di piani specifici di risposta agli incidenti relativi ad attacchi DDoS, malware e ransomware e phishing, e quasi la metà prevede piani per le minacce interne.

Alcune organizzazioni integrano i CSIRT interni con partner esterni che forniscono servizi di risposta agli incidenti. Questi partner spesso lavorano su commissione e forniscono assistenza in vari aspetti del processo di gestione degli incidenti, compresa la preparazione e l'esecuzione degli IRP.

Il processo di risposta agli incidenti

Anche la maggior parte degli IRP segue lo stesso framework generale di risposta agli incidenti basato sui modelli di risposta agli incidenti sviluppati dal SANS Institute, dal National Institute of Standards and Technology (NIST) e dalla Cybersecurity and Infrastructure Agency (CISA).

Preparazione. Questa prima fase della risposta agli incidenti è una fase che viene eseguita in modo continuo, per assicurarsi che il CSIRT disponga sempre delle migliori procedure e dei migliori strumenti possibili per identificare, contenere e riprendersi da un incidente nel più breve tempo possibile e con un'interruzione minima delle attività.

Attraverso una valutazione regolare del rischio, il CSIRT identifica le vulnerabilità della rete, definisce i vari tipi di incidenti di sicurezza che rappresentano un rischio per la rete e assegna priorità a ciascun tipo in base al suo potenziale impatto sull'organizzazione. Sulla base di questa valutazione del rischio, il CSIRT può aggiornare i piani di risposta agli incidenti esistenti o redigerne di nuovi.

Rilevamento e analisi.Durante questa fase, i membri del team di sicurezza monitorano la rete per individuare attività sospette e potenziali minacce. Analizzano i dati, le notifiche e gli avvisi raccolti dai registri dei dispositivi e dai vari strumenti di sicurezza (software antivirus, firewall) installati sulla rete, filtrando i falsi positivi e classificando gli avvisi effettivi in ordine di gravità.

Oggi, la maggior parte delle organizzazioni utilizza una o più soluzioni di sicurezza, come SIEM (Gestione delle informazioni e degli eventi di sicurezza) ed EDR (Rilevamento e risposta degli endpoint), per aiutare i team di sicurezza a monitorare e analizzare gli eventi di sicurezza in tempo reale e automatizzare i processi di rilevamento e risposta agli incidenti. (Per maggiori informazioni, vedi "Tecnologie di risposta agli incidenti".)

Anche il piano di comunicazione entra in gioco in questa fase. Una volta che il CSIRT ha determinato il tipo di minaccia o violazione con cui ha a che fare, informerà il personale appropriato prima di passare alla fase successiva del processo di risposta agli incidenti. 

Contenimento. Il team di risposta agli incidenti adotta misure per impedire che la violazione causi ulteriori danni alla rete. Le attività di contenimento possono essere suddivise in due categorie:

• Le misure di contenimento a breve termine si concentrano sulla prevenzione della diffusione della minaccia attuale isolando i sistemi interessati, ad esempio mettendo offline i dispositivi infetti.
• Le misure di contenimento a lungo termine si concentrano sulla protezione dei sistemi non colpiti mediante l'applicazione di controlli di sicurezza più rigorosi, come la segmentazione dei database sensibili dal resto della rete.

In questa fase, il CSIRT può anche creare backup dei sistemi colpiti e non colpiti per prevenire ulteriori perdite di dati e per acquisire prove forensi dell'incidente per studi futuri. 

Eliminazione. Dopo che la minaccia è stata contenuta, il team passa alla correzione e alla rimozione completa della minaccia dal sistema. Questo implica l'eliminazione attiva della minaccia, ad esempio distruggendo il malware, espellendo un utente non autorizzato o malintenzionato dalla rete ed esaminando i sistemi, colpiti e non, per garantire che non vengano lasciate tracce della violazione. 

Ripristino. Quando il team di risposta agli incidenti è sicuro che la minaccia sia stata completamente eliminata, ripristina le normali operazioni dei sistemi colpiti. Ciò può comportare l'implementazione di patch, la ricostruzione dei sistemi dai backup e il ripristino online dei sistemi e dei dispositivi corretti.

Revisione post-incidente. In ogni fase del processo di risposta agli incidenti, il CSIRT raccoglie le prove della violazione e documenta le misure adottate per contenere ed eliminare la minaccia. In questa fase, il CSIRT esamina queste informazioni per comprendere meglio l'incidente. Il CSIRT cerca di determinare la causa principale dell'attacco, identificare come ha violato con successo la rete e risolvere le vulnerabilità in modo che non si verifichino incidenti futuri dello stesso tipo. 

Il CSIRT esamina anche ciò che è andato bene e cerca opportunità per migliorare sistemi, strumenti e processi per rafforzare le iniziative di risposta agli incidenti contro gli attacchi futuri. A seconda delle circostanze della violazione, anche le forze dell’ordine possono essere coinvolte nelle indagini successive all’incidente. 

Come accennato in precedenza, oltre a descrivere i passi che i CSIRT devono intraprendere nel caso in cui si verificasse un incidente di sicurezza, i piani di risposta agli incidenti di norma descrivono le soluzioni di sicurezza di cui i team di risposta agli incidenti devono disporre per eseguire o automatizzare i flussi di lavoro chiave di risposta agli incidenti, quali la raccolta e la correlazione dei dati di sicurezza, il rilevamento degli incidenti in tempo reale e la risposta agli attacchi in corso.

Alcune delle tecnologie di risposta agli incidenti più comunemente utilizzate includono:

• SIEM (security information and event management): SIEM aggrega e correla i dati degli eventi di sicurezza da strumenti di sicurezza interni eterogenei (ad es. firewall, rilevatori di vulnerabilità, feed di intelligence sulle minacce) e dai dispositivi sulla rete. SIEM può aiutare i team di risposta agli incidenti a contrastare il cosiddetto 'affaticamento da avvisi' mediante degli indicatori delle minacce effettive dall'enorme volume di notifiche generato da questi strumenti.
• SOAR (security orchestration, automation and response): SOAR consente ai team di sicurezza di definire dei playbook - ossia dei flussi di lavoro formalizzati che coordinano le diverse operazioni e i diversi strumenti di sicurezza in risposta agli incidenti di sicurezza - e di automatizzare parte di tali flussi di lavoro laddove possibile.
• EDR (endpoint detection and response): EDR è un software progettato per proteggere automaticamente gli utenti finali, i dispositivi endpoint e gli asset IT di un'organizzazione dalle minacce informatiche che superano il software antivirus e altri strumenti di sicurezza degli endpoint tradizionali. EDR raccoglie continuamente i dati da tutti gli endpoint sulla rete, li analizza in tempo reale per rilevare eventuali prove di minacce informatiche note o sospette ed è in grado di rispondere automaticamente per evitare o ridurre al minimo i danni derivanti dalle minacce che identifica.
• XDR (extended detection and response): XDR è una tecnologia di sicurezza informatica che unifica sicurezza, punti di controllo, fonti di dati e telemetria e analytics nell'intero ambiente IT ibrido (endpoint, reti, cloud privati e pubblici) per creare un singolo sistema aziendale centrale per la prevenzione, il rilevamento e la risposta alle minacce. XDR è una tecnologia ancora emergente che ha il potenziale di aiutare i team di sicurezza e i SOC (security operations center) già sovraccarichi a fare di più con meno eliminando i silos tra gli strumenti di sicurezza e automatizzando la risposta lungo l'intera catena d'attacco della minaccia informatica.
• UEBA (user and entity behavior analytics): UEBA utilizza l'analytics comportamentale, gli algoritmi di machine learning e l'automazione per identificare comportamenti di utenti e dispositivi anomali e potenzialmente pericolosi. UEBA è particolarmente efficace nell'identificare le minacce interne - utenti interni malintenzionati oppure hacker che utilizzano credenziali di utenti interni compromesse - che possono eludere altri strumenti di sicurezza perché simulano il traffico di rete autorizzato. La funzionalità UEBA è spesso inclusa nelle soluzioni SIEM, EDR e XDR.
• ASM (attack surface management): le soluzioni ASM automatizzano il rilevamento, l'analisi, la correzione e il monitoraggio continui delle vulnerabilità e dei potenziali vettori d'attacco in tutti gli asset della superficie di attacco di un'organizzazione. ASM può scoprire asset di rete precedentemente non monitorati e mappare le relazioni tra gli asset.