Cos'è la risposta agli incidenti?

La risposta agli incidenti è la reazione sistematica di un'organizzazione a un tentativo di violazione della sicurezza delle informazioni.

Vista di un grattacielo

La risposta agli incidenti spiegata

Una violazione della sicurezza può paralizzare la funzionalità operativa, causare perdite di dati, danneggiare la reputazione di un'azienda e causare complicazioni normative. E per le minacce che superano le difese, le organizzazioni hanno bisogno degli strumenti e del know-how per rispondere rapidamente ed efficacemente. Purtroppo, la maggior parte delle organizzazioni si affida a processi ad hoc per indagare anche incidenti informatici semplici come gli attacchi di phishing ai dipendenti. Solo il 26% delle organizzazioni ha un piano di risposta agli incidenti a livello aziendale, secondo il quarto rapporto annuale"The Cyber Resilient Organization", come riassunto in "Cyber Resilience Study: Incident Response Plans and Security Automation Set High Performers Apart" (collegamento esterno a ibm.com). E a causa del gap di competenze, le organizzazioni con i giusti strumenti e tecnologie potrebbero faticare a trovare abbastanza risorse per gestire il dilagare di incidenti in modo efficiente.

Man mano che le organizzazioni aggiungono dati integrati e fonti di intelligence delle minacce ai loro interventi di risposta agli incidenti, le opportunità di orchestrare risposte in modo sofisticato crescono, a partire dall'automazione dei compiti ripetitivi e di basso livello. Tre sono le sfide principali: il volume degli incidenti, i lavori non completati e la complessità degli strumenti.

Volume degli incidenti
Il volume degli incidenti di sicurezza informatica è in aumento. I professionisti della sicurezza informatica dicono che il volume degli avvisi di sicurezza è aumentato negli ultimi due anni. E prima, hanno detto che la loro organizzazione ignora un numero significativo di avvisi di sicurezza perché non possono tenere il passo con il loro volume.¹

Carenza di competenze
I team di sicurezza stanno facendo fatica a riempire le posizioni aperte. 500.000 posti di lavoro di cybersecurity rimarrano scoperti in tutto il settore a partire dal 2020.²

Complessità degli strumenti
I team stanno gestendo un ambiente di sicurezza complesso con un numero vertiginoso di tool scollegati. Secondo ESG, il 35% delle organizzazioni utilizza 26 o più tecnologie disparate di ben 13 fornitori per l'analisi e le operazioni di sicurezza (ESG Global, SOAPA: Unifying SIEM and SOAR with IBM Security QRadar and IBM Security Resilient).

Le organizzazioni possono affrontare le loro sfide in tre modi fondamentali:

  1. Definire processi di risposta agli incidenti che siano coerenti, ripetibili e misurabili, anziché ad hoc.
  2. Fare della comunicazione, del coordinamento e della collaborazione una priorità per tutta l'organizzazione.
  3. Usare una tecnologia che aiuti il team di risposta a fare il proprio lavoro in modo più veloce e accurato.

 


Cosa sono gli incidenti di sicurezza?

Un incidente di sicurezza si verifica quando un'entità tenta di ottenere un accesso non autorizzato all'infrastruttura dati di un'organizzazione o alla politica di sicurezza, mettendo a rischio informazioni sensibili. All'interno o all'esterno, gli hacker rappresentano la fonte principale dei tentativi. Gli hacker sono una minaccia per le organizzazioni perché possono prendere di mira qualsiasi punto vulnerabile dell'infrastruttura utilizzando varie tecniche in qualsiasi momento.

Quattro incidenti di sicurezza frequenti sono gli attacchi DDoS (distributed denial-of-service), malware, ransomware, phishing e le minacce dall'interno.

Attacco DDoS

Un attacco DDoS è il tentativo di un hacker di congestionare il traffico verso un'applicazione target o un'applicazione internet, bombardandola con un alto volume di richieste.

Malware e ransomware

Il software maligno, o malware, è un software creato per danneggiare, interrompere o ottenere un accesso illegittimo a un client, computer, server o rete di computer. Il ransomware, una forma di malware, minaccia di distruggere o trattenere i dati o i file di una vittima a meno che non venga pagato un riscatto per sbloccare e ripristinare l'accesso.

Phishing

Il phishing è un tentativo fraudolento, di solito via e-mail, di ottenere informazioni sensibili mascherandosi come un'entità o una persona rispettabile. Fa leva sull'emozione umana per creare un senso di urgenza e suscitare una reazione. Poiché il phishing è onnipresente negli ambienti di lavoro, è una minaccia costante, classificandosi come il primo vettore di infezione nell'IBM X-Force Threat Intelligence Index 2020. 

Minacce interne

Le minacce interne provengono da utenti che hanno accesso autorizzato e legittimo alle risorse di un'azienda e ne abusano deliberatamente o accidentalmente. Gli insider tipicamente sanno dove risiedono i dati sensibili di un'organizzazione e hanno elevati livelli di accesso, indipendentemente dal fatto che abbiano intenzioni malevole o meno.


Registrazione dei dati di sicurezza

In che modo esattamente i tentativi vengono riconosciuti come potenziali minacce e quindi considerati incidenti di sicurezza?

L'unico modo per risalire agli eventuali incidenti di sicurezza è attraverso la raccolta completa dei dati di log. La raccolta centralizzata dei log e il rilevamento degli eventi di sicurezza di qualsiasi organizzazione dovrebbero includere, ma non essere limitati a, questo elenco di fonti di log:

Raccolta interna dei dati

  • Firewall
  • Router e switch
  • Sistemi di prevenzione delle intrusioni (Intrusion prevention system, IPS)
  • Sistemi di flusso di rete
  • Filtri web
  • Sistemi di Prevenzione perdita dei dati (Data loss prevention, DLP)
  • Server di posta elettronica e filtri spam
  • Server, sistemi e applicazioni di gestione dei database
  • Endpoint
  • Sistemi di sicurezza fisici
  • Sistemi di controllo ambientale
  • Proxy
  • Access point Wireless
  • Scansioni delle vulnerabilità

Raccolta esterna dei dati

  • Avvisi sulla sicurezza dei fornitori: I produttori evoluti di prodotti hardware e software pubblicano i propri avvisi sulla sicurezza per avvisare i propri clienti di minacce e soluzioni, di solito sotto forma di patch, ma a volte anche in altre forme.
  • Avvisi di sicurezza open-source: Organizzazioni come MITRE e Secunia pubblicano informazioni sulle minacce. A volte questi avvisi vengono rilasciati prima di quelli dei produttori.
  • Forze dell'ordine e media: Le grandi organizzazioni delle forze dell'ordine come lo U.S. Department of Homeland Security e il Federal Bureau of Investigation pubblicano avvisi al pubblico o a soggetti attendibili.
  • Soluzioni commerciali: le fonti da cui provengono le informazioni sulle minacce, tra cui IBM X‐Force Exchange, sono disponibili sotto forma di avvisi e feed elettronici.

Analisi dei dati di sicurezza

Si può fare molto di più per la prevenzione, il rilevamento e la risposta che immagazzinare gigabyte o petabyte di dati di log. È necessaria un'analisi in tempo reale, in modo che le minacce reali possano essere identificate immediatamente, permettendo al personale di rispondere e fermare la minaccia.

Un mezzo efficace per rilevare le minacce è osservare i sistemi e le reti alla ricerca di anomalie. L'osservazione a lungo termine del comportamento del sistema e del traffico di rete crea una linea di base di attività per un programma di rilevamento delle minacce. Ogni volta che nel sistema o nella rete accade qualcosa che non è mai stato visto prima, l'applicazione di rilevamento delle minacce genera un avviso in modo che il personale possa agire e indagare.

Le anomalie possono essere scoperte attraverso regole automatiche e criteri di ricerca specifici, ma è importante identificare cambiamenti significativi nel modo di agire delle persone. Le regole o i criteri possono anche analizzare il numero di connessioni di rete che si verificano per le applicazioni, la quantità di dati che vengono trasferiti tra gli indirizzi IP locali ed esterni o accessi anomali durante orari insoliti. Tutte queste circostanze richiedono un'indagine.

Legare tutto con SIEM e SOAR
Un sistema SIEM (security information and event management) rappresenta il fulcro di qualsiasi ambiente di gestione delle minacce. Acquisendo gigabyte o terabyte di dati di log ogni giorno, un SIEM raccoglie dati di log da ogni tipo di sistema e dispositivo. Aiuta un team di analisti di sicurezza a rilevare anomalie e tendenze che possono indicare precocemente un tentativo di attacco, di sfruttamento tentato o riuscito delle vulnerabilità, di comando e controllo o di fuoriuscita di dati. Poi esegue l'analisi e la correlazione in tempo reale per avvisare velocemente il personale di attività indesiderate che si verificano nell'ambiente e che richiedono un'attenzione prioritaria. Quando vengono rilevati degli incidenti di sicurezza, un SIEM fa un'escalation di avvisi a uno strumento di orchestrazione, automazione e risposta di sicurezza (SOAR) affinché il team di risposta agli incidenti possa indagare e porre rimedio.


Automazione della risposta agli incidenti

L'automazione è un metodo utile per lo streaming di compiti monotoni e ripetitivi per consentire al tuo team di lavorare più velocemente e dare priorità agli avvisi di importanza maggiore. Quando viene utilizzata in una più ampia strategia di orchestrazione della risposta agli incidenti, l'automazione può consentire a un team di sicurezza di essere più efficiente, permettendogli di prendere decisioni strategiche.

Per esempio, in un focolaio di malware, un campione sospetto rilevato su un endpoint può essere automaticamente catturato e inviato a un agente endpoint o a una piattaforma di rilevamento delle minacce di prossima generazione per osservarlo e classificarlo. In base dell'esito di tale analisi, è possibile mettere in coda altri processi automatizzati e manuali:

  • Identificazione di altri host infetti sulla rete e richiesta di autorizzazione per la messa in quarantena
  • Identificazione di una vulnerabilità associata ad un'infezione da malware
  • Pianificazione dell'applicazione di patch di emergenza sui sistemi vulnerabili o invio di notifiche sui requisiti al personale interno o ai monitor esterni.

E, in ogni fase, le richieste, le risposte e le azioni possono essere documentate per riferimento futuro. Tuttavia, è importante notare che mentre l'automazione basata sulla tecnologia può far risparmiare tempo, è potente solo nella misura in cui una funzione globale di risposta agli incidenti fa parte di una strategia di risposta agli incidenti orchestrata.

Risorse umane

  • Hai verificato che il tuo team di risposta agli incidenti e le parti interessate siano ben coordinate e addestrate?
  • Hanno le competenze giuste per affrontare tutti gli aspetti del ciclo di vita di un incidente?
  • Hanno un strutture di collaborazione e analisi?

Process

  • Sono stati definiti degli IRP ripetibili e coerenti?
  • Sono facili da aggiornare e perfezionare?
  • Li verifichi e misuri con regolarità?

Tecnologia

 

  • La tua tecnologia fornisce insight e intelligence preziosi in modo diretto?
  • Consente al tuo team di prendere decisioni intelligenti e di agire rapidamente in base a tali decisioni?

Come funziona un piano di risposta agli incidenti (IRP) di base

Come rispondono le organizzazioni quando si verificano gravi minacce o incidenti informatici? Anche se la risposta agli incidenti di sicurezza è un processo ben noto, molte organizzazioni sono impreparate anche per incidenti minori. Come parte dell'orchestrazione della risposta agli incidenti, hanno bisogno di un efficace piano di risposta agli incidenti (IRP).

Di seguito sono riportati alcune fasi standard del piano di risposta agli incidenti che le organizzazioni devono seguire:

Fase 1: Rilevazione precoce
Si verifica un incidente di sicurezza e il sistema lo rileva. La piattaforma SIEM fa scattare un allarme e lo trasmette al team di risposta agli incidenti.

Fase 2: Analisi
Gli analisti reagiscono agli elementi caratteristici delle minacce di compromissione associati all'incidente per determinarne la legittimità. Spesso studiano anche i precursori, per vedere se sono collegati. Per costruire un quadro completo del sospetto incidente, gli analisti potrebbero eseguire ulteriori test, triage delle minacce e filtrare i falsi positivi.

Fase 3: Attribuzione delle priorità
Gli analisti cercano di capire l'effetto dell'incidente sulla capacità dell'organizzazione di continuare ad elaborare le informazioni critiche e il suo effetto sull'integrità e la riservatezza dei dati. Attribuire la priorità a un incidente aiuta i team a capire come gestire le risorse nelle fasi successive.

Fase 4: Notifica
In primo luogo, i gestori dell'incidente informano il personale appropriato all'interno dell'organizzazione. Se necessario, l'organizzazione informa soggetti esterni, quali clienti, business partner, autorità di controllo, forze dell'ordine o il pubblico in generale. In genere, la decisione di informare qualsiasi soggetto esterno spetta a un alto dirigente.

Fase 5: Contenimento e perizie
Gli addetti alla risposta agli incidenti adottano misure per fermare l'incidente e impedirne il ripetersi. Inoltre, se necessario, raccolgono prove per effettuare ulteriori indagini e per gli eventuali procedimenti legali futuri.

Fase 6: Ripristino
Gli addetti alla risposta agli incidenti rimuovono il malware (eradicazione) dai sistemi colpiti, ricostruiscono i sistemi, recuperano dai backup, applicano patch ai sistemi e prendono provvedimenti per tornare alle normali operazioni e prevenire il ripetersi di incidenti simili.

Fase 7: Riesame dell'incidente
Per prevenire il ripetersi dell'incidente e migliorare una risposta futura, lo staff della sicurezza rivede i passi che hanno portato al rilevamento e alla risposta dell'incidente recente e ne identifica la causa principale. Essi identificano gli aspetti che hanno funzionato bene e cercano opportunità per migliorare i sistemi, gli strumenti, i processi e la formazione del personale, comprese le raccomandazioni di rimedio e mitigazione


Cos'è l'orchestrazione della risposta agli incidenti?

L'orchestrazione della risposta agli incidenti richiede tre elementi essenziali: persone addestrate, processi collaudati e tecnologie integrate. L'orchestrazione allinea le persone, i processi e la tecnologia giusti, in modo che gli analisti della risposta agli incidenti capiscano chi è responsabile di quali compiti, quando i compiti devono essere svolti e come farli. Le persone - sotto forma di un team di risposta agli incidenti di sicurezza informatica (CSIRT - computer security incident response team) - possono includere risorse umane, personale legale e di pubbliche relazioni.

L'orchestrazione permette agli analisti di sicurezza di avere a portata di mano i processi tecnologici e gli strumenti di risposta agli incidenti. Possono accedere a importanti informazioni sugli incidenti in un istante, prendere decisioni accurate e intraprendere azioni decisive. E l'automazione della tecnologia aumenta la produttività degli analisti di sicurezza e di altri strumenti, attenuando il gap di competenze e il volume degli avvisi.

Ecco sei principi per costruire una robusta funzione di risposta agli incidenti per l'orchestrazione. Nota: l'orchestrazione si applica in modo diverso ad ogni specifica organizzazione. Dovrebbe corrispondere al panorama unico delle minacce, alle valutazioni dei rischi IT e di sicurezza e alle priorità dell'azienda.

Comprendere le minacce
I sondaggi indicano che una pianificazione e una preparazione insufficienti sono ancora oggi il più grande ostacolo alla resilienza informatica. Non è quindi sorprendente che la maggior parte delle organizzazioni non abbia un IRP adeguato. Il piano dovrebbe essere standardizzato, documentato e ripetibile. Vedere la sezione: come funziona un piano base di risposta agli incidenti.

Definire un IRP
Gli analisti reagiscono agli elementi caratteristici delle minacce di compromissione associati all'incidente per determinarne la legittimità. Spesso studiano anche i precursori, per vedere se sono collegati. Per costruire un quadro completo del sospetto incidente, gli analisti potrebbero eseguire ulteriori test, triage delle minacce e filtrare i falsi positivi.

Testare e migliorare i processi
Gli aggressori informatici si sforzano continuamente per ottenere dei nuovi vantaggi, e i team di sicurezza informatica devono fare in modo di restare al passo con i tempi. Pertanto, i team devono testare e migliorare in modo proattivo i processi di risposta agli incidenti per soddisfare e superare le esigenze di sicurezza di un'organizzazione.

Utilizzare la threat intelligence
I criminali informatici spesso lavorano insieme, collaborando e condividendo informazioni attraverso il dark web. Anche i professionisti della sicurezza dovrebbero lavorare insieme. Rivolgersi e collaborare con fonti esterne quali i consulenti per la sicurezza di fornitori e open-source, le forze dell'ordine e i media e le soluzioni commerciali.

Semplificare l'indagine e la risposta agli incidenti
Con processi ad hoc, gli incidenti informatici possono passare inosservati per settimane o mesi, permettendo ai malintenzionati di stabilire una testa di ponte sulle reti compromesse che può essere difficile da rimuovere. Quindi, le organizzazioni dovrebbero automatizzare. Per iniziare ad automatizzare, snellisci i compiti che richiedono tempo, monotoni e inefficienti che richiedono un grosso dispendio di tempo da parte degli analisti e che possono essere automatizzati in modo sicuro e affidabile.

Orchestrazione
L'orchestrazione supporta e ottimizza gli elementi umani della sicurezza informatica. Crea un contesto per un processo decisionale migliore e dà la possibilità agli analisti di essere al centro delle operazioni di sicurezza. Consente al team di risposta agli incidenti di sapere esattamente cosa fare quando un incidente di sicurezza colpisce e di avere i processi e gli strumenti necessari per agire rapidamente, efficacemente e correttamente.


Soluzioni

Soluzioni di risposta agli incidenti

Quasi tre quarti delle organizzazioni non dispone di un piano coerente di risposta agli incidenti di sicurezza informatica a livello aziendale. Eppure le organizzazioni che hanno un team e dei test di risposta agli incidenti hanno avuto un costo medio di violazione dei dati inferiore di 2 milioni di dollari rispetto a quelle che non ce l'hanno. IBM può aiutarti ad orchestrare la risposta agli incidenti per unificare l'organizzazione in caso di un attacco informatico.


Servizi di risposta agli incidenti

Assicurati la protezione di sicurezza di cui la tua organizzazione ha bisogno per migliorare la prontezza in caso di violazione con un abbonamento al servizio di risposta agli incidenti di IBM Security. Collaborando con il nostro team specializzato di consulenti IR, avrai dei partner fidati che ti aiuteranno a ridurre il tempo necessario per rispondere a un incidente, limitare al minimo il suo impatto e aiutarti a recuperare più velocemente, prima ancora che si sospetti un incidente di sicurezza informatica.


SOAR (Security Orchestration, Automation and Response)

Il rilevamento delle minacce è solo una metà dell'equazione di sicurezza. È necessaria anche una risposta intelligente agli incidenti a fronte del crescente volume di segnalazioni, dei molteplici strumenti e delle carenze di personale. Accelera insieme ad IBM la risposta agli incidenti con l'automazione, la standardizzazione dei processi e l'integrazione con gli strumenti di sicurezza esistenti.


Servizi di risposta e rilevamento gestito

Con il crescente numero di computer portatili, desktop e lavoratori remoti, i sofisticati criminali informatici hanno ancora più porte aperte per entrare nella tua organizzazione. Da questi punti d'ingresso, spesso possono procedere in profondità e inosservati. IBM fornisce una funzionalità chiavi in mano di prevenzione, rilevamento e risposta rapida alle minacce attiva 24x7 e pronta all'uso che si avvale di threat intelligence e ricerca delle minacce proattiva per identificare e fronteggiare le minacce avanzate.


Proteggiti da ransomware

I recenti attacchi sono molto più sofisticati del tipico malware. Sfruttano le fughe di notizie utilizzando una cifratura complessa. Sei al sicuro da attacchi ransomware? IBM può aiutarti a proteggere i dati della tua organizzazione dalle minacce ransomware che possono tenerla in ostaggio.


Servizi di intelligence sulle minacce

La scarsa qualità dell'intelligence, la mancanza di fiducia e l'integrazione minima con altre fonti di dati e organizzazioni rendono difficile ottenere informazioni utili per contrastare gli attacchi informatici. Gli esperti di intelligenza globale IBM possono indirizzare i clienti con analisi leader del settore.



¹ "ESG Technical Review: Respond Analyst - The Virtual Security Analyst", Jack Poller, Enterprise Strategy Group, 24 febbraio, 2020, (link esterno a ibm.com).

² CyberSeek, (link esterno a ibm.com).