Collaborazione, contesto, controllo: le fondamenta della continuous response

Un grammo di prevenzione vale un chilo di cura. Non è vero?

Pochi potrebbero obiettare a questa logica, compresi molti CISO. E non hanno completamente torto. Ma la realtà della questione è che la prevenzione da sola non funziona nella sicurezza informatica. Con capacità ingenti sponsorizzate dagli Stati e strumenti nuovi che si fanno strada nelle mani dei criminali informatici, sempre più attaccanti ora hanno molti modi per aggirare la normale protezione degli endpoint e altre misure preventive.

E mentre le segnalazioni di attacchi di successo avvengono ora ad un ritmo allarmante, poche aziende sembrano dare abbastanza valore allo sviluppo di forti capacità di risposta agli incidenti. Il 44% degli intervistati in un’indagine recente di MWR Infosecurity ha dichiarato di spendere meno in capacità di risposta agli incidenti che in quelle di previsione, prevenzione o rilevamento. Ma avere l’approccio giusto può ripagare di più che non investire altro denaro. In che modo team diversi lavorano insieme, che tipo di visibilità quei team hanno del loro patrimonio e degli eventi, quanto velocemente possono mobilitarsi per affrontare potenziali minacce? Rispondere a queste domande può dare un’idea di come un’azienda sia realmente in grado di resistere e respingere un attacco.

“Avere strumenti e tecniche capaci di rilevare velocemente, contenere e ostacolare gli attacchi mentre si stanno svolgendo ti fa guadagnare tempo e ti offre l’opportunità di avere un quadro completo su come gli attaccanti stiano sfruttando i tuoi punti deboli e si stiano muovendo attraverso la rete. Devono essere abbastanza sofisticate per evitare di far capire all’attaccante che le stai usando, e preparate per rimuoverle con una sola azione concertata,” spiega Orchard. “Ed è importante mettere questi strumenti e tecniche nelle mani del team giusto se vuoi che funzionino.”

La metodologia Continuous Response di F-Secure, illustrata in un nuovo white paper, descrive come le aziende possano applicare le tre C della Continuous Response: collaborazione, contesto e controllo.

In pratica, l’applicazione delle tre C può significare coinvolgere il personale della sicurezza nelle decisioni aziendali, introdurre processi standardizzati per l’escalation degli eventi e la comunicazione tra gli stakeholder, garantire la visibilità del team di sicurezza nell’intero ambiente IT dell’azienda, garantendo una transizione graduale dalla rilevazione degli incidenti alla risposta agli incidenti, e molto altro ancora.

Le aziende potrebbero non spendere tanto in capacità di risposta quanto in altri aspetti della loro sicurezza, ma questo va bene se hanno le persone, i processi e i servizi giusti in atto. Perché tutti in un’azienda, dal CEO al personale di prima linea, apprezzeranno i vantaggi di un’efficace strategia di continuous response quando la vedranno in azione.