Consultlocus

Rispondere

Rispondi alle violazioni della sicurezza informatica

Securitylocus aiuta la tua azienda a rispondere alle violazioni della sicurezza informatica.

Questa immagine ha un attributo alt vuoto; il suo nome file è Logo-400x400-1.jpg
Vettore dei loghi Microsoft in (. SVG, . EPS. AI, . CDR. PDF) download gratuito

Panoramica

Incident Response (IR) è la pratica di preparare un'organizzazione per l'evento di una sicurezza o di una violazione dei dati attraverso una moltitudine di mezzi. Non tutti gli incidenti saranno uguali e, in quanto tali, i soccorritori devono avere la capacità di reagire a situazioni diverse. Ciò richiede un piano attentamente documentato e facilmente eseguibile per consentire a un'organizzazione di sradicare rapidamente malware, ransomware o simili.

Risposta a una violazione della sicurezza – Panoramica

Le sei fasi del processo di risposta agli incidenti

CREST – un'organizzazione senza scopo di lucro che garantisce la qualità dei servizi offerti dalle società di sicurezza – ha sviluppato un modello ben definito per valutare la maturità di ciascuna delle sei fasi di Incident Response.

Il grafico seguente mostra come questo modello affronta i controlli in sei fasi del processo di Incident Response. Esamineremo, in dettaglio, i controlli per ciascuna di queste fasi.

Grafico della risposta agli incidenti

Preparazione

La chiave per la fase di preparazione è condurre un'attenta analisi durante i test di incidente simulati.

Ciò consente a un'organizzazione di creare una sequenza temporale di risposta agli incidenti attentamente costruita con tutte le responsabilità assegnate allo stakeholder più appropriato.

Un piano di Incident Response dovrebbe anche includere un'analisi delle risorse IR che un'azienda ha a sua disposizione come elenchi di porte, analizzatori di protocollo, diagrammi di rete ecc.

Questa analisi dovrebbe concludersi nella preparazione di un kit di strumenti IR, pronto per l'uso in caso di violazione.

Identificazione

Un'organizzazione dovrebbe assicurarsi che le relative difese siano in atto per garantire che vengano identificati gli indicatori di compromesso.

Tali identificatori includono:

  • Traffico di rete in uscita insolito
  • Nuovi utenti amministratori creati
  • Anomalie nell'attività dell'account utente privilegiato (primo accesso a un sistema)
  • Irregolarità geografiche (tentativi di accesso non standard)
  • Aumento del volume di lettura del database (dump del database)
  • Elevato numero di richieste per lo stesso file
  • Modifiche sospette al Registro di sistema o ai file di sistema
  • Patch impreviste
  • Segni di attività DDoS

Se un team di sicurezza IT non ritiene che questi indicatori vengano visualizzati nel proprio sistema di sicurezza, potrebbe essere necessaria un'ulteriore revisione.

Arginamento

Una volta che un'organizzazione è sicura che un incidente può / sarà identificato, l'attenzione si rivolge quindi al contenimento di tale incidente. Un'organizzazione dovrebbe allocare linee d'azione definite in base al potenziale impatto di vari incidenti.

L'IT deve esaminare se ha il controllo di aspetti come il blocco dell'accesso non autorizzato, il blocco di indirizzi IP ed e-mail pericolosi o persino l'isolamento dei sistemi sulla rete, tra gli altri. Questo esercizio garantisce che la funzione IT abbia il controllo completo e la visibilità di tali azioni.

Estirpazione

Il passo successivo è quello di eliminare la causa dell'incidente : questa fase potrebbe sovrapporsi alla fase di contenimento.

L'obiettivo qui è quello di sradicare la causa, l'incidente reale e il compromesso stesso. Una volta fatto questo, è imperativo che l'eradicazione sia verificata (ad esempio monitorando il traffico e rivedendo i registri critici).

Il processo IR dovrebbe consentire fasi di eradicazione quali:

  • Rimozione dell'attacco dalla rete
  • Eliminazione di malware
  • Disabilitazione degli account utente violati
  • Identificazione delle vulnerabilità sfruttate
  • Mitigazione delle vulnerabilità sfruttate
  • Esiste un processo formale per la gestione delle prove quando si ha a che fare con un incidente?
  • Ci sono passi da seguire per preservare le prove quando si affronta l'incidente?

Restauro

Dovrebbe essere preparato e rivisto un piano di ripristino dettagliato per determinare che tutti i processi di ripristino siano eseguiti per garantire il ripristino del sistema il prima possibile, ad esempio: ripristino del sistema dai registri di backup, notifica alle parti interessate pertinenti e risoluzione di vulnerabilità identificate simili sulla rete, ecc.

La fase di ripristino deve anche considerare la convalida che i sistemi siano tornati ad essere pienamente operativi e protetti.

Il piano IR dovrebbe prendere in considerazione l'inclusione di elementi come un test di penetrazione esterno per valutare che le correzioni ripristinate siano sufficienti. Si dovrebbe inoltre prendere in considerazione il livello di dettaglio fornito alle parti interessate e il calendario per le stesse.

Lezioni apprese

Questa è spesso considerata la fase più importante del processo IR in quanto le lezioni apprese possono fare molto per prevenire incidenti futuri.

In breve, questa fase comporta:

1) Esecuzione di una revisione post incidente per identificare tutte le azioni intraprese nel corso del processo di recupero

2) Documentare formalmente queste lezioni, identificare dove sono state apprese le lezioni e comunicarle alle parti interessate

3) Aggiornare e modificare il piano IR esistente per consentire l'applicazione di queste lezioni a incidenti futuri

Conclusione

Sebbene non sia possibile prepararsi completamente per incidenti futuri sconosciuti, ci sono elementi di un processo di risposta agli incidenti che richiedono una preparazione, per consentire un'efficace mitigazione degli incidenti.

La linea di fondo è che un piano di incident response non solo deve essere formalmente definito, ma deve essere valutato periodicamente per garantire che sia ancora efficace.

L'applicazione di un quadro di risposta agli incidenti ben definito e maturo, come quello sviluppato da CREST, aiuta a coprire tutti gli aspetti importanti di tale valutazione.