Salta al contenuto

Temi di tendenza

Chiudere il gap della “response” – ecco come le organizzazioni possono ridurre l’impatto di un attacco informatico

Marzia Romeo

23.08.19 9 minuti di lettura

La capacità di rilevamento degli attacchi informatici ha fatto passi da gigante negli ultimi anni e sta migliorando ancora. Tuttavia, vi è ancora un ampio intervallo di tempo che intercorre tra il rilevamento di un attacco e le azioni di risposta appropriate da mettere in atto per contenerlo e porre rimedio.

Secondo il Ponemon Institute, servono in media 69 giorni per rispondere a un attacco una volta rilevato (il rilevamento da solo richiede in media 100 giorni dal momento in cui si verifica il compromesso iniziale). Il costo medio per risolvere una violazione è di oltre 18.000 euro al giorno, senza contare i costi associati al tempo di inattività dei sistemi, al recupero dei dati persi o compromessi, al ripristino delle funzioni aziendali critiche, al pagamento delle sanzioni amministrative e alla gestione delle relazioni pubbliche e dell’aumento da parte dei clienti di domande e richieste di informazioni.

Più velocemente è possibile contenere una violazione dei dati, minore sarà il costo e l’impatto sul business aziendale.

Il cosiddetto “gap” che si verifica nei tempi di risposta deriva da una serie di motivazioni complesse. Molte riguardano l’assetto strutturale di un’organizzazione, tra cui la quantità di investimenti per la “response” e il modo in cui i compiti, i ruoli e le responsabilità associati ad essa sono assegnati, finanziati e supportati. Vediamo queste motivazioni.

Prima motivazione: gli attacchi vengono rilevati ma non affrontati in modo appropriato

Il rilevamento degli attacchi comprende una vasta gamma di funzioni, sia che si tratti di malware conosciuto che attiva un alert dell’antivirus o di un threat hunter che pone una query per verificare se una funzione legittima di Windows sta mascherando attività dannose. Indipendentemente da come viene rilevata un’attività sospetta, molte organizzazioni non dispongono poi delle risorse in grado di capire come l’attività sospetta va affrontata e scalata.

Seconda motivazione: gli attacchi vengono rilevati ma l’organizzazione non ha la tecnologia giusta per la risposta

Gli attacchi vengono rilevati in molti modi diversi. A volte vengono scoperti mentre sono in corso, ma il più delle volte il compromesso viene rivelato solo quando l’azienda subisce (o ha subito) un impatto. Dal punto di vista della risposta, tutti gli scenari possono essere molto sfidanti e critici se manca la tecnologia giusta. Agenti di rilevamento degli endpoint, in grado di coprire il maggior numero possibile di asset e di estrarre dati forensi e una varietà di log, possono venire in aiuto durante un’indagine.

Configurare l’agente affinché conservi i dati e i log può essere un fattore determinante nelle violazioni di lunga data: le prove infatti si attenuano nel tempo. Inoltre, gli ambienti IT sono in continua evoluzione, le aziende vengono acquisite; tutto ciò rende molto più difficile avere piena visibilità se la risposta arriva dopo mesi – o talvolta anche dopo anni – dall’attacco.

Terza motivazione: gli attacchi vengono rilevati ma la carenza di cyber competenze impedisce la risposta dell’organizzazione

Rilevare e rispondere agli attacchi richiede un alto livello di capacità che vanno costantemente aggiornate. Tuttavia, metà di tutte le organizzazioni dichiara di soffrire di un gap di competenze di cybersecurity che va dai team responsabili delle patch e della manutenzione del sistema, fino a chi deve rispondere agli incidenti, compresi i “first responders” che sono il primo punto di riferimento. I “primi soccorritori” sono cruciali nella preparazione alla risposta e assicurano che tu abbia una serie di persone rilevanti in tutta l’organizzazione che possono attivarsi al bisogno; questo dovrebbe estendersi oltre il semplice team IT.

Quarta motivazione: gli attacchi non vengono rilevati affatto

La maggior parte delle organizzazioni, dalle imprese alle PMI, non è in grado di allocare risorse per il team della sicurezza. Ciò significa – in definitiva – che gli attacchi non vengono rilevati fino a quando, in alcuni casi, le forze dell’ordine non bussano alla porta. Di solito avviene mesi e talvolta anni dopo che gli aggressori hanno raggiunto il loro obiettivo.

Perché questo gap nella risposta rappresenta un problema?

Ci sono una serie di ragioni per le quali queste lacune nella risposta non sono sostenibili rispetto al panorama attuale e in evoluzione delle minacce.

Le evidenze – e ciò che possiamo apprendere da queste – svaniscono nel tempo

Più tempo serve per rispondere e meno un’organizzazione potrà raccogliere informazioni cruciali sull’attacco, compreso il modo in cui gli aggressori sono entrati, cosa hanno preso di mira e se hanno avuto successo – tutti fattori cruciali per minimizzare gli impatti potenziali. Le evidenze che emergono dalla forensica e dai log svaniscono con il passare del tempo: ciò è dovuto in molti casi a policy di conservazione dei log non in linea con il profilo delle minacce di un’organizzazione. Gli ambienti IT oggi sono molto fluidi: la tecnologia viene aggiornata periodicamente, i dipendenti vanno e vengono, e le aziende vengono acquisite – tutto ciò contribuisce a rendere quelle evidenze obsolete o ad eliminarle.

L’impatto cresce nel tempo

Quanto più un aggressore resta nascosto nei tuoi sistemi, tanto maggiore sarà la conoscenza che otterrà della tua attività, compresi gli asset di maggior valore. Molti aggressori – in particolare i gruppi sponsorizzati dallo stato – si nascondono per anni nei sistemi, ottenendo pieno accesso ai piani strategici a lungo termine.

Cosa possono fare le aziende per restringere il gap della risposta?

Per molte organizzazioni, il restringimento del gap della risposta richiede una completa reimpostazione della strategia di sicurezza informatica. Tuttavia, ci sono anche una serie di approcci di buon senso che possono portare a una migliore prontezza di risposta per tutte le organizzazioni.

1) Dare priorità alla risposta con approccio top down

Un sondaggio di MWR InfoSecurity ha rivelato che solo il 12% delle aziende dà priorità alla spesa per la risposta all’interno del framework “Prediction, Prevention, Detection and Response (PPDR)”, mentre le restanti assegnano uguale importanza di spesa alle quattro aree.

Le decisioni per questo tipo di spesa devono provenire dai vertici dell’organizzazione, dal consiglio di amministrazione e dal management aziendale. Tuttavia, il board e l’alta dirigenza non arrivano necessariamente a questo tipo di comprensione da soli. Andrebbe coinvolta una terza parte esperta per assistere qualsiasi gruppo dirigente che abbia bisogno di supporto nella comprensione del perché (e dove) siano necessari ulteriori investimenti.

2) Verificare cosa c’è già

Una buona risposta deriva in parte dalla capacità di interrogare le evidenze quando si verifica un incidente, sfruttando gli strumenti giusti per accelerare le azioni del team. Spesso gli strumenti necessari per una vasta porzione dell’attività di risposta sono già presenti nell’organizzazione: ad esempio, se si ha già un agente endpoint, basta accertarsi di avere gli elementi corretti attivati per migliorare la capacità di risposta.

3) Aumentare la prontezza di base di persone, processi e tecnologia

Persone – verifica chi fa cosa

Abbiamo detto che tra i “primi responders” non dovrebbe esserci solo il team tecnologico, ma dovrebbero esserci altre risorse all’interno dell’organizzazione. È fondamentale che – quando si verifica un incidente – ci sia un capo (o capi) designato e dei delegati, tenendo conto del fatto che gli attacchi si verificano spesso nelle ore più scomode e quando le persone sono in vacanza. I primi responders dovrebbero anche essere esperti nelle policy della sicurezza informatica aziendale; ad esempio, se si sospetta che una macchina o un server siano stati compromessi, una policy aziendale dovrebbe stabilire che questa macchina non deve essere disattivata, altrimenti l’evidenza potrebbe andare perduta.

Considera come comunicherai durante un incidente. Molto spesso i cyber-attacchi di oggi compromettono l’infrastruttura di comunicazione di un’organizzazione. L’attaccante può essere “live” e in grado di vedere tutte le comunicazioni, quindi un’alternativa predeterminata è cruciale per un’azione di rimedio di successo.

Processi – sviluppa un playbook

Un playbook per la risposta tiene tutti – letteralmente – sul pezzo. Nel white paper di F-Secure, Rethinking Response, è incluso un playbook di esempio, che potrebbe servire da punto di partenza. Il vantaggio principale di un playbook è che comporta il dover pensare a quanti più scenari possibili in termini di cosa fare in caso di sospetto di un attacco – come e quando scalarlo, a che punto viene confermato un incidente, chi deve quindi essere coinvolto e come comunicherai.

Se esiste già un playbook, occorre rivederlo e testarlo, per accertarti che sia ancora attuale per il suo scopo.

Tecnologia – visibilità, controllo, e flessibilità

Nel white paper, Rethinking Response, viene fornito un quadro generale per guidare le discussioni interne per delineare il profilo della minaccia. Una volta che l’organizzazione è d’accordo sui rischi che si affrontano, queste constatazioni devono tradursi nell’implementazione della tecnologia appropriata per rispondere a queste minacce. Le funzionalità principali per una risposta efficace sono:

  • Una copertura del 100% è difficile da ottenere, ma le organizzazioni dovrebbero avvicinarsi il più possibile a tale percentuale.
  • Occorre avere i dati giusti e la capacità di analizzare questi dati e agire il più rapidamente possibile. Molti strumenti aiuteranno nel dare priorità al recupero delle evidenze piuttosto che all’elaborazione che può aggiungere un ulteriore tempo di attesa quando si sta cercando di capire cosa sta succedendo.
  • La stragrande maggioranza degli strumenti dovrebbe consentire azioni che rallentano o frustrano l’attaccante senza renderlo consapevole della vostra presenza.

In base alla propensione al rischio e al profilo delle minacce, va identificata la quantità appropriata di logging degli asset per consentire agli investigatori forensi di trovare le informazioni corrette. I registri DNS, ad esempio, sono essenziali, poiché molte famiglie di malware diverse fanno ancora affidamento sul DNS per la loro comunicazione iniziale. Non avere la possibilità di rintracciare le query DNS dai log del gateway all’host iniziale può ritardare le attività di risposta.

Dove dovresti iniziare?

Vi sono molti esempi di aziende che hanno subito gli impatti a lungo termine di un attacco informatico. Anche se non bisogna creare panico, quando si discute della sicurezza informatica e della prontezza della risposta con il board aziendale, è importante aiutare queste persone a capire in che modo alcuni investimenti mirati possono aiutare non solo a risparmiare costi, ma nel tempo, anche sforzi e risorse. La velocità di risposta all’interno di una ristretta finestra di opportunità può cambiare radicalmente il modo in cui un’azienda si riprende dal compromesso.

E’ consigliabile coinvolgere una terza parte che può aiutare a individuare le metriche corrette. Rendere la propria organizzazione consapevole dei rischi e agire su questi elementi potrebbe fare la differenza tra il controllo di un attacco informatico e un attacco informatico che controlla la vostra azienda.

 

Marzia Romeo

23.08.19 9 minuti di lettura

Articolo in primo piano

Post correlati

Newsletter modal

Grazie del tuo interesse per la newsletter di F-Secure. Riceverai a breve un email per confermare la sottoscrizione.

Gated Content modal

Congratulazioni – ora puoi accedere al contenuto cliccando sul bottone sottostante.