Indice dei contenuti
Che cos’è e perché è importante l’incident response?
La varietà degli attacchi informatici continua a crescere, con un impatto sempre più dirompente e dannoso. La sicurezza informatica è fondamentale per qualsiasi tipo di business e nessuna azienda è immune dalla possibilità di diventare preda degli hacker.
Per far fronte agli aumentati rischi per la sicurezza, le aziende devono dotarsi di un Incident Response Plan, un piano di risposta agli incidenti che minano la riservatezza, l’integrità e la disponibilità dei propri sistemi informatici. Mitigare i rischi di un attacco informatico è utile per preservare non solo operatività e ricavi, ma anche reputazione e fiducia dei clienti, due dei principali asset di qualsiasi attività.
Riuscire a dare una risposta tempestiva è la chiave per minimizzare l’impatto di possibili intrusioni nei propri sistemi informatici, ma l’incident response è un approccio organizzato e strategico che comporta una corretta pianificazione. Un adeguato piano di risposta, infatti, va programmato per tempo e richiede una struttura ben definita capace di identificare le aree più a rischio e prevedere le contromisure da applicare in caso di attacco, per limitarne durata e danni prodotti, migliorare i tempi di recupero, ridurre le interruzioni dell’attività e i relativi costi per l’azienda.
L’importanza di una corretta politica di risposta agli incidenti non può essere sottovalutata. Basti pensare che, secondo il report Cost of a Data Breach 2022 di IBM, le aziende dotate di team di incident response e di incident response plan regolarmente testati hanno un costo medio di violazione dei dati inferiore di 2,66 milioni di dollari rispetto alle organizzazioni che ne sono sprovviste.
Incident Response o Incident Management?
Spesso le due espressioni Incident Response e Incident Management sono usate in maniera intercambiabile, perché in entrambi i casi l’obiettivo è garantire la continuità aziendale di fronte a una crisi di sicurezza, come un data breach.
Tuttavia, l’incident response è un sottoinsieme dell’Incident Management. Quest’ultimo si riferisce al più ampio concetto di gestione dell’intero ciclo di vita dell’incidente, dal rilevamento alla risoluzione, e coinvolge diversi attori, dal team esecutivo allo staff legale, dalle risorse umane ai reparti comunicazione e IT. La risposta agli incidenti è, invece, una parte del processo e si occupa delle attività e delle valutazioni tecniche che rientrano nell’ambito della cyber security.
Quali sono i tipi di incidenti di sicurezza?
Nello sviluppo di una strategia di incident response, è importante comprendere prima di tutto qual é il rapporto tra vulnerabilità, minacce e incidenti di sicurezza.
La vulnerabilità fa riferimento a una debolezza dell’ambiente IT aziendale. Una minaccia, invece, è un’entità – come un hacker o anche un dipendente dell’azienda – che sfrutta una vulnerabilità per avere accesso non autorizzato alle risorse aziendali e causare danni. Un incidente, infine, è un attacco che può causare una perdita di dati nel momento in cui un sistema è compromesso. Conoscere i diversi tipi di incidenti di sicurezza può aiutare a comprendere meglio l’esposizione al rischio e pianificare una risposta più efficiente in caso di attacco.
Alcuni degli incidenti di sicurezza più comuni sono:
- tentativi di accesso non autorizzato a sistemi o dati
- privilege escalation
- minacce interne
- phishing
- malware
- denial-of-service (DoS)
- man-in-the-middle
- attacchi alle password
- attacchi alle applicazioni web
Per una risposta efficace agli incidenti è necessario redigere, verificare e testare il piano di risposta agli incidenti. Il piano dovrebbe includere:
- ruoli e responsabilità di ciascun membro del team
- protocolli di comunicazione
- criteri di valutazione degli incidenti
- procedure di risposta agli incidenti
- elenchi dei contatti di stakeholder esterni
- fasi di identificazione, contenimento, mitigazione e recupero di un incidente
Le 6 fasi dell’Incident Response Plan
Per costruire un piano di risposta agli incidenti efficace, le aziende possono fare riferimento a framework consolidati che sono delle vere e proprie guide su come sviluppare la propria strategia di difesa.
I framework più noti sono stati messi a punto da organizzazioni che si occupano di fornire standard tecnici, come il NIST (National Institute of Standard and Technology), il SANS Institute (SysAdmin, Audit, Networking, and Security), l’ISO (International Organitazion for Standardization) e l’ISACA (Information Systems Audit and Control Association).
I vari framework differiscono leggermente nei loro approcci, ma le loro fasi sono simili e devono essere eseguite in sequenza poiché ognuna si basa sulla precedente. Tali fasi sono:
- Preparazione/pianificazione: sviluppare un piano di risposta agli incidenti e garantire la disponibilità di tutte le risorse necessarie, implementando gli strumenti e i processi utili per rilevare un potenziale incidente e rispondere in modo rapido ed efficiente.
- Rilevamento/identificazione: riconoscere un potenziale incidente, raccogliere informazioni sulla causa e sulla portata dell’attacco.
- Contenimento: adottare misure per fermare l’attacco prima che possa causare ulteriori danni e riprendere il controllo delle risorse IT.
- Sradicamento: ripulire i sistemi per rimuovere il codice e le attività dannose, applicare patch alle vulnerabilità e ripristinare i sistemi compromessi.
- Recupero: ripristinare le normali operazioni e ridurre le vulnerabilità rilevanti.
- Follow up: esaminare l’incidente per capire cosa è successo e identificare eventuali misure aggiuntive. Documentare i risultati e identificare le azioni correttive per prevenire incidenti simili in futuro. Quest’ultima fase serve a migliorare la strategia e i processi interni, per rispondere ancora meglio ai potenziali attacchi futuri.
