Gli attacchi informatici hanno un costo enorme per le organizzazioni che li subiscono. Qualche volta l’impatto economico si sente immediatamente; altre volte si sente dopo anni a causa della lenta erosione sul prezzo delle azioni e sulla fiducia dei clienti.
Secondo una delle ultime indagini, servono in media 69 giorni perché un attacco informatico venga risolto una volta rilevato. Questo divario tra rilevamento e risposta sta a significare le organizzazioni perdono una finestra importante di opportunità per bloccare gli attacchi prima che gli hacker raggiungano il loro obiettivo che potrebbe essere la crittografia del server, la sottrazione di dati e la distribuzione dei ransomware.
La prontezza di risposta richiede tempo e investimenti su persone, processi e tecnologia. Sebbene raggiungere una prontezza del 100% nella capacità di risposta richieda un alto livello di tempo e investimenti, questo articolo ti fornirà i principi fondamentali su come le organizzazioni dovrebbero prepararsi per rispondere e rimediare un attacco informatico.
Prima di un attacco informatico
Identifica di quali endpoint e server non puoi fare a meno
Prima che si verifichi una violazione, pensa a cosa nella tua organizzazione potrebbe rappresentare un valore per gli aggressori, come ad esempio i dati riservati dei clienti e dei dipendenti, le informazioni sulla proprietà intellettuale, su fusioni e acquisizioni e piani di crescita. Unisci queste informazioni con gli endpoint e i server che sono fondamentali per il corretto funzionamento delle tue attività. L’insieme di queste informazioni ti guiderà verso la corretta allocazione dell’investimento sulla sicurezza informatica per difendere le tue risorse più importanti, che può includere il monitoraggio degli endpoint e il backup di server business-critical.
Proteggi i tuoi endpoint
Gli attacchi informatici più moderni iniziano con la compromissione di un endpoint. Ecco perché l’implementazione di un agente di rilevamento per endpoint prima di un attacco informatico è fondamentale. Aiuta chi deve rispondere a un attacco a ottenere visibilità immediata e dati sul modo in cui l’aggressore è entrato, a cosa ha accesso e a cosa potrebbe cercare di ottenere.
Prepara chi deve rispondere per primo
Ogni organizzazione dovrebbe formare un “team di prima risposta”, ossia risorse che sono chiamate ad entrare in azione quando si sospetta un incidente. Il tuo team di risposta deve essere preparato sui seguenti punti:
-Quali passi bisogna compiere per investigare l’incidente sospetto;
-Come accedere ai dati e alla telemetria per confermare se l’incidente deve essere investigato;
-Come gestire l’incidente nelle prime 48 ore;
-Quando coinvolgere i team di incident response, sia interni che esterni.
La formazione di chi deve rispondere per primo non dovrebbe essere limitata alle persone che si occupano della sicurezza e al personale IT. Molti ruoli diversi all’interno dell’azienda dovrebbero essere formati nelle attività di prima risposta – dagli assistenti alle risorse umane, dagli office manager agli analisti.
Assicurati che il tuo primo team di responder ricomprenda tutte le risorse IT, inclusa una mappa di tutti gli endpoint, hardware e software, con ruoli e responsabilità ben chiari.
Durante un attacco informatico
Una volta che l’incidente è confermato, quali sono i passi successivi?
Non chiudere l’host
Quando viene rilevato un compromesso, uno dei passi falsi molto comune consiste nello staccare il cavo di alimentazione. Se spegnere l’alimentazione può sembrare una buona cosa dal punto di vista del contenimento, rende molto più difficile il lavoro di chi deve rispondere. Se l’attacco è interamente residente nella memoria, chiudendo l’host si finisce col rimuovere completamente la prova di come l’hacker abbia avuto accesso all’endpoint, impedendo così la raccolta di informazioni sull’origine dell’attacco e sui potenziali obiettivi.
Questa regola dovrebbe essere continuamente ricordata a tutti i dipendenti.
Identifica il contatto (o contatti) principale nel team di incident response
Non possiamo sottolineare abbastanza quanto questo sia cruciale. Quando le organizzazioni non lo fanno – e un incidente è in corso – si può finire con lo sprecare un sacco di tempo per capire chi è l’owner dei sistemi, a chi deve rispondere chi si sta occupando della risposta e chi deve sottoscrivere il budget necessario. Spesso è necessario intraprendere azioni difensive per proteggere l’azienda, ad esempio eliminando elementi critici dell’infrastruttura – se un’azienda non è preparata a tale scopo in anticipo può essere difficile discutere dei pro e dei contro mentre un aggressore è in azione.
Espellere subito l’attaccante non è sempre la mossa giusta
Se da un lato l’impulso di allontanare l’attaccante dalla tua rete il più rapidamente possibile è comprensibile, dall’altro non è sempre la mossa giusta da fare. Questo è particolarmente importante quando si tratta di attaccanti sofisticati, perché ciò li avvisa del fatto che sono stati rilevati e potrebbero distribuire il ransomware, oppure potrebbero ritirarsi per tornare con un metodo più nascosto. Una risposta misurata e coordinata può garantire che le risorse siano protette e l’attaccante sia espulso senza ritorno.
Dopo un attacco informatico
Prendi fiato
Le violazioni – anche se stressanti e potenzialmente dannose – a volte possono portare a cose positive, come i miglioramenti della sicurezza in tutta l’organizzazione, l’assunzione di risorse aggiuntive e una comprensione più ampia che la sicurezza deve essere incorporata in ogni aspetto di un’organizzazione. Tuttavia, alcune azioni sono fondamentali.
Azioni raccomandate
Forniamo raccomandazioni post-incidente sui miglioramenti che possono ridurre l’impatto di attacchi futuri. Un buon esempio di ciò è la ricerca di F-Secure sulla sicurezza di Active Directory che utilizza l’architettura Red Forest, che è qualcosa che – una volta implementata correttamente – può avere un impatto importante sull’efficacia di un utente malintenzionato che ha compromesso quell’ambiente. Se da una parte richiede investimenti in tempo e denaro, dall’altra il back-end di un incidente è spesso un’opportunità per apportare tali miglioramenti. Tuttavia, a volte le organizzazioni non adottano queste raccomandazioni, tornando allo stesso profilo di rischio che avevano prima di essere attaccate.
Fai continui miglioramenti e valutazioni
La sicurezza informatica è un ciclo di vita. Uno dei modi migliori per assicurarti di essere protetto dal panorama delle minacce consiste nell’imparare dalle lezioni apprese dalle indagini e nel creare un programma in grado di attuare tali raccomandazioni. Tuttavia, i vincoli ai budget e al tempo rendono difficile implementare ogni singola raccomandazione. Tuttavia, il 10% di preparazione è meglio di nessuna preparazione. Non si tratta solo di investimenti in denaro, ma di apportare miglioramenti interni ai processi e alle procedure.
Categorie