Che cos'è la risposta agli incidenti?

L'obiettivo della risposta agli incidenti è prevenire gli attacchi informatici prima che si verifichino e ridurre al minimo i costi e le interruzioni delle attività derivanti da eventuali attacchi informatici. La risposta agli incidenti è la parte tecnica della gestione degli incidenti, che include anche la gestione esecutiva, delle risorse umane e legale di un incidente grave.

Idealmente, un'organizzazione definisce i processi e le tecnologie di risposta agli incidenti in un piano formale di risposta agli incidenti (IRP) che specifica come identificare, contenere e risolvere i diversi tipi di attacchi informatici.

Un efficace piano di risposta agli incidenti può aiutare i team di risposta alle minacce informatiche a rilevare e contenere le minacce informatiche, ripristinare i sistemi interessati e ridurre i mancati guadagni, le sanzioni normative e altri costi.

Il report Cost of a Data Breach  di IBM ha rilevato che poter contare su un team di risposta agli incidenti e su piani formali di risposta agli incidenti consente alle organizzazioni di ridurre il costo di una violazione di quasi mezzo milione di USD (473.706 USD) in media.

Un incidente di sicurezza, o evento di sicurezza, è qualsiasi violazione digitale o fisica che minaccia la riservatezza, l'integrità o la disponibilità dei sistemi informativi o dei dati sensibili di un'organizzazione. Gli incidenti di sicurezza includono sia gli attacchi informatici intenzionali da parte di hacker o utenti non autorizzati sia le violazioni non intenzionali dei criteri di sicurezza IT da parte di utenti legittimi autorizzati.

Alcuni degli incidenti di sicurezza più comuni includono:

Ilransomware è un tipo di software dannoso, o malware, che blocca i dati o il dispositivo informatico della vittima e minaccia di mantenerli bloccati, o peggio, a meno che la vittima non paghi un riscatto. L'ultimo X-Force Threat Intelligence Index di IBM riporta che il 20% degli attacchi di rete ha utilizzato il ransomware e che gli attacchi basati sull'estorsione sono una forza trainante della criminalità informatica, superati solo dal furto e dalla fuga di dati.

Gli attacchi di phishing sono messaggi digitali o vocali che cercano di indurre i destinatari a condividere informazioni sensibili, scaricare software dannoso, trasferire denaro o risorse alle persone sbagliate o intraprendere altre azioni dannose.  

I criminali informatici creano abilmente messaggi di phishing con caratteristiche grafiche e sonore che li facciano sembrare provenienti da un'organizzazione o da una persona affidabili o credibili, talvolta anche da qualcuno che il destinatario conosce personalmente.

Secondo il report Cost of a Data Breach di IBM, i due vettori di attacco più diffusi sono il phishing e le credenziali rubate o compromesse. Il phishing è anche la forma più comune di ingegneria sociale, una classe di attacco che sfrutta la natura umana, piuttosto che le vulnerabilità della sicurezza digitale, per ottenere l'accesso non autorizzato a dati o asset personali o aziendali sensibili.

In un attacco DDoS (Distributed Denial-of-Service), gli hacker ottengono il controllo di un gran numero di computer e li utilizzano per aumentare il volume del traffico in modo da sovraccaricare la rete o i server dell'organizzazione bersaglio, rendendo tali risorse non disponibili per gli utenti legittimi.

Gli attacchi alla supply chain sono attacchi informatici che consistono nell'infiltrarsi in un'organizzazione bersaglio attaccando i suoi fornitori. Ad esempio, ciò potrebbe includere il furto di dati sensibili dai sistemi di un fornitore o l'utilizzo dei servizi di un fornitore per distribuire malware.

Ci sono due tipi di minacce interne. Gli insider malevoli sono dipendenti, partner o altri utenti autorizzati che compromettono intenzionalmente la sicurezza delle informazioni di un'organizzazione. Gli insider negligenti sono utenti autorizzati che compromettono involontariamente la sicurezza non mettendo in pratica le best practice per la sicurezza, ad esempio utilizzando password deboli o memorizzando i dati sensibili in luoghi non sicuri.

In questo tipo di attacco, un aggressore ottiene privilegi limitati in un sistema e li utilizza per spostarsi lateralmente, ricevendo privilegi più elevati e ottenendo l'accesso a dati più sensibili lungo il percorso.

Le credenziali rubate possono aiutare l'aggressore con l'accesso iniziale o con l'aumento dei propri privilegi. Secondo l'X-Force Threat Intelligence Index, l'abuso di account validi è attualmente il modo più comune utilizzato dagli hacker per violare i sistemi.

In un attacco MITM, l' attore delle minacce intercetta una comunicazione, spesso un'e-mail contenente informazioni sensibili come nomi utente o password, e ruba o altera tale comunicazione. L'aggressore utilizza direttamente le informazioni rubate o inietta malware da inoltrare al destinatario previsto.

Le normali misure di gestione degli incidenti di un'organizzazione vengono solitamente attuate sulla base di un piano di risposta agli incidenti. In genere, i piani vengono creati ed eseguiti da un team di risposta agli incidenti di sicurezza informatica (CSIRT) composto da stakeholder di tutta l'organizzazione.

Il team del CSIRT può includere il Chief Information Security Officer (CISO), il Security Operations Center (SOC), gli analisti della sicurezza e il personale IT. Può anche includere rappresentanti della leadership esecutiva, dell'ufficio legale, delle risorse umane, della conformità normativa, della gestione del rischio ed eventualmente esperti provenienti da fornitori di servizi terzi.

Il report Cost of a Data Breach sottolinea che, "investendo nella preparazione alla risposta, le organizzazioni possono contribuire a ridurre gli effetti costosi e dirompenti di una violazione dei dati, supportare la continuità operativa e contribuire a preservare le relazioni con clienti, partner e altri stakeholder importanti".

Generalmente, un piano di risposta agli incidenti include:

•  Un playbook di risposta agli incidenti che include i ruoli e le responsabilità di ciascun membro del CSIRT durante l'intero ciclo di vita della risposta agli incidenti.

• Le soluzioni di sicurezza, ovvero software, hardware e altre tecnologie, installate in tutta l'azienda.

• Un piano di continuità aziendale che delinea le procedure per ripristinare i sistemi e i dati critici colpiti il più rapidamente possibile in caso di interruzione.

• Una metodologia di risposta agli incidenti che stabilisce le misure specifiche da adottare in ogni fase del processo di risposta agli incidenti, e da chi.

• Un piano di comunicazione per informare i leader aziendali, i dipendenti, i clienti e le forze dell'ordine sugli incidenti.

• Istruzioni per la raccolta e la documentazione delle informazioni sugli incidenti ai fini dell'esame post-mortem e (se necessario) delle procedure legali.

Il CSIRT potrebbe elaborare piani di risposta agli incidenti diversi per diversi tipi di incidenti, dal momento che ciascuno potrebbe richiedere una risposta unica. Molte organizzazioni dispongono di piani specifici di risposta agli incidenti relativi ad attacchi DDoS, malware, ransomware, phishing e minacce interne.

Disporre di piani di risposta agli incidenti personalizzati in base all'ambiente o agli ambienti di un'organizzazione è fondamentale per ridurre i tempi di risposta, correzione e recupero da un attacco.

Alcune organizzazioni integrano i CSIRT interni con partner esterni che forniscono servizi di risposta agli incidenti. Questi partner spesso lavorano su commissione e forniscono assistenza in vari aspetti del processo di gestione complessiva degli incidenti, compresa la preparazione e l'esecuzione dei piani di risposta agli incidenti.

La maggior parte dei piani di risposta agli incidenti segue lo stesso quadro framework di risposta agli incidenti basato su modelli sviluppati dal National Institute of Standards and Technology (NIST)¹ e dal SANS Institute². Le procedure comuni di risposta agli incidenti includono:

Anche questa prima fase di risposta agli incidenti è un processo continuo. Il CSIRT seleziona le migliori procedure, strumenti e tecniche per rispondere, identificare, contenere e riprendersi da un incidente nel più breve tempo possibile e con una minima interruzione delle attività.

Attraverso una valutazione periodica dei rischi, il CSIRT identifica l'ambiente aziendale da proteggere, le potenziali vulnerabilità della rete e i vari tipi di incidenti di sicurezza che rappresentano un rischio per la rete. Il team definisce la priorità di ciascun tipo di incidente in base al suo impatto potenziale sull'organizzazione.

Il CSIRT potrebbe simulare diverse strategie di attacco e quindi creare modelli delle risposte più efficaci per accelerare l'azione durante un attacco reale. Il tempo di risposta potrebbe essere monitorato per stabilire parametri per esercitazioni future e possibili attacchi. Sulla base di una valutazione completa del rischio, il CSIRT può aggiornare i piani di risposta agli incidenti esistenti o redigerne di nuovi.

Durante questa fase, i membri del team di sicurezza monitorano la rete per individuare attività sospette e potenziali minacce. Analizzano i dati, le notifiche e gli avvisi raccolti dai registri dei dispositivi e da vari strumenti di sicurezza (software antivirus, firewall) per identificare gli incidenti in corso. Il team lavora per filtrare i falsi positivi dagli incidenti reali, classificando gli avvisi effettivi in ordine di gravità.

Oggi, la maggior parte delle organizzazioni utilizza una o più soluzioni di sicurezza, come la gestione delle informazioni e degli eventi di sicurezza (SIEM) e il rilevamento e risposta degli endpoint (EDR), per monitorare gli eventi di sicurezza in tempo reale e automatizzare le iniziative di risposta. (Per maggiori informazioni, vedi la sezione "Tecnologie di risposta agli incidenti".)

Anche il piano di comunicazione entra in gioco in questa fase. Una volta che il CSIRT ha determinato il tipo di minaccia o violazione con cui ha a che fare, informerà il personale appropriato per poi passare alla fase successiva del processo di risposta agli incidenti.

Il team di risposta agli incidenti adotta misure per impedire che la violazione o qualsiasi altra attività dannosa causi ulteriori danni alla rete. I piani di risposta agli incidenti di emergenza entrano quindi in azione. Esistono due categorie di attività di contenimento:

• Le misure di mitigazione a breve termine si concentrano sulla prevenzione della diffusione della minaccia attuale isolando i sistemi interessati, ad esempio mettendo offline i dispositivi infetti.

• Le misure di contenimento a lungo termine si concentrano sulla protezione dei sistemi non colpiti mediante l'applicazione di controlli di sicurezza più rigorosi, come la segmentazione dei database sensibili dal resto della rete.

In questa fase, il CSIRT può anche creare backup dei sistemi colpiti e non colpiti per prevenire ulteriori perdite di dati e per acquisire prove forensi dell'incidente per studi futuri.

Dopo che la minaccia è stata contenuta, il team passa alla correzione e alla rimozione completa della minaccia dal sistema. Ciò potrebbe includere la rimozione del malware o l'espulsione di un utente non autorizzato o malintenzionato dalla rete. Il team esamina anche i sistemi interessati e quelli non interessati per garantire che non rimanga alcuna traccia della violazione.

Quando il team di risposta agli incidenti è sicuro che la minaccia sia stata completamente eliminata, ripristina le normali operazioni dei sistemi colpiti. Questa correzione potrebbe comportare l'implementazione di patch, la ricostruzione dei sistemi dai backup e il ripristino online dei sistemi e dei dispositivi. Una registrazione dell'attacco e della sua risoluzione viene conservata per l'analisi e il miglioramento del sistema.

In ogni fase del processo di risposta agli incidenti, il CSIRT raccoglie le prove della violazione e documenta le misure adottate per contenere ed eliminare la minaccia. In questa fase, il CSIRT esamina queste informazioni per comprendere meglio l'incidente e raccogliere le "lezioni apprese". Il CSIRT cerca di determinare la causa principale dell'attacco, identificare come ha violato con successo la rete e risolvere le vulnerabilità in modo che non si verifichino incidenti futuri dello stesso tipo.

Il CSIRT esamina anche ciò che è andato bene e cerca opportunità per migliorare sistemi, strumenti e processi per rafforzare le iniziative di risposta agli incidenti contro gli attacchi futuri. A seconda delle circostanze della violazione, anche le forze dell’ordine possono essere coinvolte nelle indagini successive all’incidente.

Oltre a descrivere le azioni che i CSIRT dovrebbero intraprendere in caso di incidente di sicurezza, i piani di risposta agli incidenti in genere delineano le soluzioni di sicurezza che i team di risposta agli incidenti devono attuare per implementare o automatizzare i workflow chiave, come la raccolta e la correlazione dei dati di sicurezza, il rilevamento degli incidenti in tempo reale e la risposta agli attacchi in corso.

Tra le tecnologie di risposta agli incidenti più comunemente utilizzate figurano:

Le soluzioni ASM automatizzano il rilevamento, l'analisi, la correzione e il monitoraggio continui delle vulnerabilità e dei potenziali vettori di attacco in tutti gli asset presenti nella superficie di attacco di un'organizzazione. L'ASM è in grado di scoprire asset di rete precedentemente non monitorati e mappare le relazioni tra gli asset.

L'EDR (rilevamento e risposta degli endpoint) è un software progettato per proteggere automaticamente gli utenti finali, i dispositivi endpoint e gli asset IT di un'organizzazione dalle minacce informatiche che superano i software antivirus e altri strumenti tradizionali di endpoint security.

EDR raccoglie continuamente dati da tutti gli endpoint della rete. Esegue anche l'analisi dei dati in tempo reale alla ricerca di prove di minacce informatiche note o sospette e può rispondere automaticamente per prevenire o ridurre al minimo i danni causati dalle minacce che identifica.

Il SIEM aggrega e correla i dati degli eventi di sicurezza da strumenti di sicurezza interni eterogenei (ad esempio firewall, scanner di vulnerabilità e feed di threat intelligence) e dai dispositivi della rete.

Il SIEM può aiutare i team di risposta agli incidenti a combattere lo "stress da avvisi" distinguendo gli indicatori delle minacce effettive dall'enorme volume di notifiche generate dagli strumenti di sicurezza.

SOAR consente ai team di sicurezza di definire dei playbook, ovvero workflow formali che coordinano diverse operazioni e strumenti di sicurezza in risposta agli incidenti di sicurezza. Dove possibile, le piattaforme SOAR possono anche automatizzare parti di questi workflow.

L'UEBA utilizza l'analytics comportamentale, algoritmi di machine learning e automazione per identificare comportamenti anomali e potenzialmente pericolosi degli utenti e dei dispositivi.

L'UEBA è efficace nell'individuazione di minacce interne, insider malevoli o hacker che usano credenziali di insider compromesse, in grado di eludere altri strumenti di sicurezza perché imitano il traffico di rete autorizzato. Le funzioni UEBA sono spesso incluse nelle soluzioni SIEM, EDR e XDR.

XDR è una tecnologia di cybersecurity che unifica gli strumenti di sicurezza, i punti di controllo, le fonti di dati e telemetria e l'analytics in tutto l'ambiente IT ibrido. XDR crea un unico sistema aziendale centrale per la prevenzione, il rilevamento e la risposta alle minacce. XDR può aiutare i team di sicurezza e i SOC sovraccarichi di lavoro a fare di più con meno, eliminando i silos tra gli strumenti di sicurezza e automatizzando le risposte lungo l'intera kill chain delle minacce informatiche.

L'intelligenza artificiale (IA) può aiutare le organizzazioni a sviluppare una difesa più efficace contro le minacce informatiche, proprio come i ladri di dati e gli hacker utilizzano l'AI per potenziare i loro attacchi.

I risparmi sui costi derivanti dall'utilizzo di una protezione AI aggiuntiva possono essere significativi. Secondo il report Cost of a Data Breach di IBM, le organizzazioni che utilizzano soluzioni di sicurezza basate sull'AI possono risparmiare fino a 2,2 milioni di USD sui costi di una violazione.

I sistemi di sicurezza di livello aziendale, basati sull'AI, possono migliorare le capacità di risposta agli incidenti attraverso:

I sistemi basati sull'AI possono accelerare il rilevamento e la mitigazione delle minacce monitorando enormi volumi di dati per velocizzare la ricerca di modelli di traffico o comportamenti degli utenti sospetti.

I sistemi basati sull'AI possono supportare processi di risposta agli incidenti più proattivi fornendo insight in tempo reale al team di cybersecurity, automatizzando il triage degli incidenti, coordinando le difese contro le minacce informatiche e persino isolando i sistemi sotto attacco.

L'analisi dei rischi basata sull'AI può produrre riepiloghi degli incidenti per accelerare l'analisi degli avvisi e aiutare a trovare la causa principale di un guasto. Questi riepiloghi degli incidenti possono aiutare a prevedere quali minacce è più probabile che si verifichino in futuro, in modo che il team di risposta agli incidenti possa mettere a punto un piano più efficace per affrontare tali minacce.