Come prepararsi per le prime 24 ore di un cyber attacco
Quello che fai nelle prime 24 ore di un attacco informatico potrebbe determinare il destino della tua attività.
Un attacco informatico è inevitabile per quasi tutte le organizzazioni. I preparativi che si fanno per gli incidenti sono la chiave per garantire che un evento drammatico non diventi una crisi. Senza una pianificazione efficace, finirai semplicemente per giocare a “whack-a-mole”, afferma Matt Lawrence, Director of Detection and Response in F-Secure.
“Velocità, visibilità e competenza sono fondamentali”, ha detto ai professionisti della sicurezza durante un webinar dal titolo “Preparing for the First 24 Hours of a Cyber Attack”, tenuto da F-Secure e dal Cyber Intelligence Director di Mishcon de Reya, Mark Tibbs.
E le potenziali conseguenze di una pianificazione inadeguata stanno crescendo in gravità. La più grande preoccupazione per molti è la crescente diffusione e sofisticazione del ransomware. Un sondaggio dei partecipanti al webinar ha rilevato che il 50% si aspettava che le minacce ransomware fossero la principale preoccupazione per la sicurezza quest’anno.
Lawrence ha notato che il tipo di ransomware in più rapida crescita è gestito dall’uomo, ovvero gli hacker lanciano un attacco mirato in più fasi. In genere ciò potrebbe iniziare con una campagna di phishing commodity per ottenere l’accesso alla tua rete; a quel punto gli operatori umani subentrano e utilizzano tutte le tecniche che possono per spostarsi lateralmente all’interno dei tuoi sistemi, assumendo sempre più controllo sull’ambiente fino a quando non sono pronti ad innescare il ransomware con il massimo effetto.
Anche altre gravi minacce stanno iniziando a profilarsi. Lawrence ha affermato che il recente attacco di Solar Winds ha svegliato molte organizzazioni sul problema degli attacchi alla catena di approvvigionamento, ad esempio.
Ma in qualsiasi modo gli hacker entrino, devi essere in grado di buttarli fuori velocemente. “Quando un utente malintenzionato è all’interno della tua rete e può spostarsi nel tuo ambiente e potenzialmente trovare i gioielli della tua corona, la tua capacità di mitigare è fondamentale”, ha affermato Lawrence.
Ciò significa avere un piano completo di ciò che farai quando succederà alla tua organizzazione, in particolare nelle prime 24 ore dopo la scoperta. Quasi tutti i nostri intervistati (il 97%) hanno concordato:
Come si fa a elaborare ed eseguire quel piano?
Innanzitutto, è necessario definire correttamente i fondamenti, ad esempio assicurandosi che tutti i log siano attivati e assicurandosi che la propria amministrazione IT sia all’altezza. “La condivisione delle password di amministratore, ad esempio, è una ricetta per il disastro. Stai effettivamente offrendo un buffet all-you-can-eat agli attaccanti”, ha affermato Lawrence.
È inoltre necessario essere preparati tecnicamente, in termini di strumenti, processi e competenze (sia interni che esterni) per garantire capacità di rilevamento delle minacce e risposta agli incidenti efficaci.
Allo stesso modo, devi anche essere preparato culturalmente. Il co-presentatore del webinar Mark Tibbs, direttore della Cyber Intelligence presso Mishcon de Reya LLP, ha dichiarato: “Pratica! Non avere piani che restino lì a prendere polvere. È necessario condurre regolari esercitazioni con tutte le parti interessate coinvolte”,
Tibbs ha aggiunto che una forte leadership è fondamentale e nessuno dovrebbe avere dubbi su chi deve essere coinvolto nella risposta a un incidente e quando. Oltre al personale IT e della sicurezza, dovrebbero essere inclusi team legali, PR, partner in outsourcing, addetti alla protezione dei dati e alla conformità, cyber-assicuratori e altri, a seconda della natura dell’organizzazione e delle minacce specifiche che devi affrontare.
“Una buona preparazione significa farti guadagnare tempo”, ha detto Lawrence. “La risposta agli incidenti deve diventare parte del ‘business as usual’.”
Per scoprire come, perché non guardare la registrazione completa del webinar e scoprire come Lawrence e Tibbs hanno affrontato le questioni che devi considerare se vuoi che la tua attività sia in grado di rispondere agli attacchi? Discutono anche di tematiche correlate, come il ruolo dell’assicurazione informatica e se ha senso piegarsi alle richieste di riscatto di un attaccante.
Guarda il webinar Preparing for the First 24 Hours of a Cyber attack qui.
Categorie