Incident response: cos'è e come proteggere l'azienda da cyber attacchi

Gli attacchi cyber aumentano costantemente in termini di volume e di pericolosità. La difesa preventiva è un pilastro della cybersecurity moderna, ma il costante aumento delle minacce e della superficie d’attacco fa sì che le aziende debbano concentrarsi anche sulla reazione agli eventi potenzialmente dannosi per la business continuity e/o la protezione dei loro dati. La capacità di reazione si traduce con l’espressione incident response.

Approfondisci

Cos'è l'incident response?

Di tutte le definizioni di cyber incident response, riteniamo quella di TechTarget particolarmente efficace e incisiva. Lo definisce un approccio organizzato e strategico finalizzato alla rilevazione e alla gestione degli attacchi cyber per minimizzare gli effetti dannosi, i tempi di ripristino e i costi. Formalmente, si tratta di un sottoinsieme del processo di incident management.

Adottare una struttura, dei processi, delle competenze e dei tool dedicati alla risposta agli incidenti è fondamentale per qualsiasi azienda moderna, soprattutto di una certa complessità. Il motivo è semplice da comprendere: non è possibile prevenire tutti gli attacchi, né sperare di non essere un obiettivo degli stessi. Inoltre, una risposta disorganizzata e frammentata rischia di creare ulteriori vulnerabilità facilmente sfruttabili dai malintenzionati.

Per definizione, il cyber incident response è un approccio organizzato che, come detto, comprende processi, strutture, documentazione, competenze e tool dedicati. Nello strutturare il proprio approccio, le aziende hanno a disposizione alcuni incident response framework cui ispirarsi: i più famosi sono quelli del NIST (NIST incident response) e del SANS.

Come preparare un piano efficace di incident response

L’incident response plan è uno dei pilastri che abilitano la capacità aziendale di risposta agli incidenti cyber. Ma non è l’unico: il plan funziona se esiste un team dedicato, e quindi un’organizzazione ad hoc con ruoli e responsabilità chiare, ma devono esistere anche delle policy su cosa sia considerato un incident e su quali siano i requisiti per avviare le segnalazioni del caso, sia quelle interne che verso gli organi esterni.

L’incident response plan, in senso stretto, è sì un elenco di fasi, processi e attività che devono essere attuate per la risposta efficace agli incidenti, ma va oltre integrando tutti i fattori necessari per massimizzare le possibilità di successo. Vi rientrano quindi indicazioni chiare circa le attività di formazione (continua) del personale dei team, i KPI per misurare l’efficacia della struttura e molto altro.

Per quanto concerne la procedura di incident response, le fasi dipendono dall’incident response framework adottato. Per esempio, il SANS ne riporta 6, mentre il NIST incident response (su cu ci soffermiamo) ne prevede quattro:

  1. Preparazione;
  2. Rilevazione e analisi;
  3. Contenimento, eradicazione e ripristino;
  4. Attività post-incidente.

Fase di preparazione

All’interno della procedura di incident response, la preparazione getta le basi per la capacità di un'organizzazione di rispondere efficacemente agli incidenti di sicurezza. Il raggio d’azione è molto ampio: qui, infatti, vanno identificati gli asset di valore, si cerca di comprenderne le vulnerabilità e, soprattutto, di capire quali siano le misure di sicurezza già in essere (es, monitoring tramite SOC) così da valutarne l’efficacia e, nel caso, potenziarla. Ci si accerta che l’azienda abbia una sufficiente capacità di ripristino dei sistemi (es, backup) e che tutte le misure preventive siano attive. In caso contrario, vanno acquisite infrastrutture e tool, e attivati servizi dedicati come, appunto, il SOC.

Nella fase di preparazione viene inoltre definito e creato il team di risposta agli incidenti (CSIRT, Computer Security Incident Response Team), con tanto di ruoli e responsabilità precise, e si sviluppa il plan che, come detto, funge da pilastro per i processi operativi di risposta agli incident. In altri termini, in questa fase si sviluppano policy, procedure, strumenti e competenze essenziali per garantire che il team di sicurezza sia pronto a riconoscere e contenere rapidamente qualsiasi minaccia.

Detection & Analysis: come rilevare e analizzare un attacco informatico

Il team deve essere in grado di rilevare gli incidenti informatici minimizzando i falsi positivi. A tal proposito, il NIST pone l’attenzione sui precursori e sugli indicatori, ovvero sulla capacità di interpretare correttamente dei segnali che indicano la possibilità di un attacco futuro (precursori) o di uno già avvenuto (indicatori).

Per quanto concerne i primi, è fondamentale l’analisi continua dei vettori di attacco (es, nuove vulnerabilità introdotte nell’elenco dei CVE), mentre gli indicatori di attacco vanno monitorati in tempo reale. In questa fase, emerge con chiarezza il valore centrale del SOC (Security Operations Center), come struttura dedicata al monitoraggio, alla prevenzione e alla risposta di ogni tipologia di incidente. Per quanto concerne l’analisi, il personale deve essere in grado di evitare i falsi positivi e di definire le priorità di intervento basandosi su dimensioni di analisi come l’impatto sul business e la tipologia di dato interessato.

Containment, eradication & recovery: strategie di contenimento, eradicazione e ripristino dopo un attacco

Il NIST fa rientrare in un’unica fase l’insieme delle attività finalizzate ad affrontare concretamente l’indicente informatico, a risolverlo e a minimizzare i suoi effetti.

  • Il contenimento, in particolare, è l’azione che argina l'incidente, impedendogli di propagarsi. Alcune attività di contenimento a breve termine sono l’isolamento della rete o dei device compromessi, mentre un contenimento a lungo termine si potrebbe attuare attraverso l'implementazione di nuove regole d’accesso ai sistemi e/o al network.
  • Nella fase di eradicazione, il team si attiva per eliminare completamente la minaccia, che potrebbe essere un malware, un exploit, account compromessi e molto altro. Ciò è preceduto da un’analisi accurata della minaccia e dei suoi vettori di attacco, per individuare tutte le aree compromesse e le vulnerabilità esistenti, così da risolverle nel minor tempo possibile.
  • Nella fase di ripristino, l’obiettivo è riportare i sistemi alla loro operatività regolare. Il team verifica che le minacce siano state completamente eliminate ed effettua un ripristino tramite diverse attività come il rollback delle modifiche di configurazione applicate nel contenimento, la reinstallazione del software e, se necessario, il ripristino da backup sicuri.

La fase post-incident, ovvero cosa fare dopo un incidente informatico

La risoluzione dell’incidente informatico non chiude la questione. Il team di Incident Response effettua l’analisi di tutto il decorso, per identificare eventuali punti deboli dei sistemi e, soprattutto, delle procedure. È una fase determinante poiché consente all’azienda di migliorare in modo indefinito le proprie procedure di incident response.

SOC as a service: una risorsa centrale per l'incident response

Il Security Operations Center è la struttura che si fa carico della sicurezza informatica di ecosistemi IT di elevata complessità. È una delle armi più affilate contro la moltiplicazione delle minacce, che puntano proprio sull’aumento di complessità delle infrastrutture IT per massimizzare le probabilità di successo. Grazie alla sua capacità di monitoraggio continuo e all'analisi avanzata degli eventi di sicurezza, il SOC è in grado di individuare rapidamente anomalie e di rispondere in tempo reale, mitigando i rischi prima che si trasformino in incidenti realmente dannosi per l’azienda.

 Il SOC è dunque una struttura specializzata in cybersecurity che basa la propria operatività sulla sinergia tra competenze, processi e tool, tra cui i SIEM. Il suo punto di forza è proprio la massima specializzazione, cosa peraltro necessaria in un settore che evolve su base quotidiana.

Non tutte le aziende possono però permettersi di creare una struttura dedicata, né dispongono della capacità di attrarre (e trattenere) le competenze iper-specialistiche necessarie per la gestione avanzata della sicurezza. Per questo motivo, il SOC è evoluto in un servizio managed, erogato da operatori specializzati e usufruito da aziende di svariate dimensioni e settori di operatività. È nato così il SOC as-a-service, ovvero il servizio di Security Operations Center le cui componenti di servizio, e il relativo costo, sono proporzionate alle esigenze delle imprese. Parliamo di parametri come la finestra temporale di monitoraggio (anche 24/7), la complessità dell'infrastruttura IT da proteggere, le risorse tecniche impiegate e il livello di automazione attivabile. Questo permette a un numero molto maggiore di aziende di accedere a un servizio di sicurezza avanzato, aumentando di fatto la resilienza a livello di sistema.

Incident response per i servizi cloud

L’incident response per i servizi cloud, o cloud incident response è il processo con cui vengono gestiti gli incidenti di sicurezza all’interno degli ambienti cloud. Molte aziende affidano al cloud i propri ambienti IT, creando ecosistemi distribuiti, con componenti pubbliche e private (cloud ibrido) anche di provider differenti (multicloud).

Per quanto il concetto di incident response sia lo stesso, i nuovi ecosistemi IT cloud-based presentano delle sfide inedite e significative. Per esempio, i dati sono distribuiti in più infrastrutture, e occorre un monitoraggio assiduo per identificare configurazioni non sicure o errori in grado di ampliare la superficie d’attacco. In termini più generici, però, le procedure di IR devono adattarsi a una nuova realtà, molto più complessa e dinamica di un tempo, cosa che implica la necessità di più competenze, una gestione diversa rispetto ai sistemi tradizionali e lo sviluppo di procedure iper-dettagliate (i cosiddetti playbook) che tengano conto di tutte le componenti dell’architettura e l’intreccio di relazioni esistenti tra le stesse.

Come prevenire i cyber attacchi prima che si verifichino incidenti

Insieme alla risposta agli incidenti, la prevenzione è l’altro grande pilastro della cybersecurity moderna, che, come detto, è soggetta a evoluzioni repentine. È difficile ricondurre un tema così ampio a una descrizione sommaria, ma potremmo focalizzare l’attenzione sugli elementi che rafforzano la security posture aziendale, sviluppando così capacità preventiva.

In primis, sicuramente la security awareness, ovvero i percorsi di formazione e di consapevolezza della sicurezza rivolti al personale aziendale. Gli errori, spesso dovuti a scarsa conoscenza, sono alla base della maggior parte degli incidenti, e la security awareness serve proprio a rendere le persone un elemento di difesa e non una vulnerabilità.

Certamente, l’awareness non basta. A livello tecnico, un elemento chiave della sicurezza moderna è il monitoring degli ambienti IT: delle reti, dei server, degli ambienti cloud e delle applicazioni. Oggi, possiamo contare anche sull’intelligenza artificiale per il rilevamento delle anomalie, così da intercettare comportamenti sospetti prima che diventino incidenti. Il tutto, insieme a una corretta gestione delle vulnerabilità (vulnerability management), che sono presenti in tutti gli ambienti IT e rappresentano un canale d’accesso prioritario per i malintenzionati.

Dopo di che, è fondamentale adottare un approccio moderno alla sicurezza informatica, che tenga conto di ambienti IT sempre più complessi e del dissolvimento dei perimetri di rete tradizionali. Firewall, crittografia, autenticazione multifattoriale e (micro) segmentazione della rete sono alcuni degli elementi chiave della sicurezza moderna in grado di creare barriere multiple contro i potenziali attaccanti.

Come fermare un attacco ransomware attraverso una risposta rapida

I ransomware sono malware distruttivi e pericolosi, in grado di bloccare l'accesso ai dati e ai sistemi critici delle organizzazioni. In questo modo, mettono seriamente a rischio l’operatività aziendale e la sua reputazione.

Fermare un attacco ransomware richiede una risposta rapida ed efficace. A livello metodologico, andrebbero seguite le fasi di incident response delineate dal framework NIST (o equivalente) di cui si è detto nei paragrafi precedenti, adattando le misure concrete alle caratteristiche peculiari di questo malware. Nella fase di preparazione, per esempio, sono fondamentali i backup e la verifica costante della loro integrità, nonché un vulnerability management progettato e gestito con cura. In aggiunta, organizzare percorsi di security awareness aiuta il personale a riconoscere segnali di potenziali minacce come il phishing, che rappresenta un vettore molto comune per la diffusione dei ransomware.

Nella fase di identificazione, si affronta la sfida n.1 del ransomware: la rilevazione tempestiva. Per identificare un attacco, le aziende possono utilizzare tecniche di monitoraggio di specifiche attività e di comportamenti sospetti, come l’encrypting non autorizzato o i trasferimenti di dati inusuali. Strumenti di detection avanzati, come gli endpoint detection and response (EDR), possono fornire alert in tempo reale alle squadre di incident response.

Per quanto concerne il contenimento e l’eradicazione, le strategie più impiegate includono l'isolamento dei sistemi compromessi e il blocco degli indirizzi IP per evitare movimenti laterali. Molto interessante è anche la formazione di un team ultra-specializzato nell’analisi dei malware al fine di identificare le chiavi di decifratura. Infine, la fase di ripristino da backup sicuri è una pratica comune per recuperare i dati compromessi.

Come fermare un attacco ransomware attraverso una risposta rapida

I ransomware sono malware distruttivi e pericolosi, in grado di bloccare l'accesso ai dati e ai sistemi critici delle organizzazioni. In questo modo, mettono seriamente a rischio l’operatività aziendale e la sua reputazione.

Fermare un attacco ransomware richiede una risposta rapida ed efficace. A livello metodologico, andrebbero seguite le fasi di incident response delineate dal framework NIST (o equivalente) di cui si è detto nei paragrafi precedenti, adattando le misure concrete alle caratteristiche peculiari di questo malware. Nella fase di preparazione, per esempio, sono fondamentali i backup e la verifica costante della loro integrità, nonché un vulnerability management progettato e gestito con cura. In aggiunta, organizzare percorsi di security awareness aiuta il personale a riconoscere segnali di potenziali minacce come il phishing, che rappresenta un vettore molto comune per la diffusione dei ransomware.

Nella fase di identificazione, si affronta la sfida n.1 del ransomware: la rilevazione tempestiva. Per identificare un attacco, le aziende possono utilizzare tecniche di monitoraggio di specifiche attività e di comportamenti sospetti, come l’encrypting non autorizzato o i trasferimenti di dati inusuali. Strumenti di detection avanzati, come gli endpoint detection and response (EDR), possono fornire alert in tempo reale alle squadre di incident response.

Per quanto concerne il contenimento e l’eradicazione, le strategie più impiegate includono l'isolamento dei sistemi compromessi e il blocco degli indirizzi IP per evitare movimenti laterali. Molto interessante è anche la formazione di un team ultra-specializzato nell’analisi dei malware al fine di identificare le chiavi di decifratura. Infine, la fase di ripristino da backup sicuri è una pratica comune per recuperare i dati compromessi.

Il nostro servizio di Incident Response

Mettiamo a disposizione delle aziende un servizio di Security Threat Orchestration Response and Monitoring (STORM) per la gestione tempestiva, professionale ed efficace degli incidenti di sicurezza.

Il servizio si basa sul framework NIST e copre le 4 fasi della procedura con attività definite in modo puntuale e dettagliato: per esempio, per la detection vengono rilevate costantemente le anomalie tramite strumenti dedicati (SIEM, MDR…), identificati gli indicatori di compromissione (IOC) e di attacco (IOA) tramite analisi forense e monitorato continuamente il dark/deep web alla ricerca di dati potenzialmente oggetto di esfiltrazione.

La stessa attenzione viene dedicata alle altre fasi. In preparation, allochiamo un team SOC e un incident manager dedicato, nonché (ove possibile) un team dedicato all’analisi del malware, mentre il contenimento e l’eradicazione si avvalgono di competenze e di tool MDR allo stato dell’arte, con inoltre il pieno supporto (recovery) per il ripristino dei sistemi.

Nella fase successiva all’incidente oltre alla condivisione del report sull’incidente, curiamo particolarmente la definizione del piano di remediation e degli improvement di sicurezza.

Se quanto abbiamo visto finora riguarda la parte esclusivamente IT, ciò tuttavia non è sufficiente da solo a coprire completamente le esigenze di Incident Response. Esistono aspetti legali e di comunicazione altrettanto importanti da considerare e che si muovono in parallelo a quelli in area IT.

A questo proposito il nostro team Legal Forense affianca dal primo istante le imprese attaccate con attività tra le quali: