Vulnerability Management e Incident Response: una relazione fondamentale

Vulnerability Management e Incident Response: una relazione fondamentale

Il Vulnerability Management è uno degli strumenti a disposizione delle aziende per agevolare la risposta agli incidenti di sicurezza. Scopriamo in che modo gestire le vulnerabilità in modo ben strutturato favorisce il successo dell’Incident Response.

 

Come il Vulnerability Management migliora l’Incident Response?

Sono due le principali ragioni per cui la gestione delle vulnerabilità supporta la risposta agli incidenti di sicurezza. Il vulnerability management:

  • riduce la superficie d’attacco
  • è una preziosa fonte d’informazione per il SOC.

Riduzione della superficie d’attacco

Anche nel 2020 le vulnerabilità non risolte si sono dimostrate uno dei principali vettori di attacco sfruttati dai cybercriminali per entrare nei sistemi informatici aziendali. Secondo Kaspersky, le vulnerabilità sono state la porta d’ingresso nel 37,8% dei casi.

Se consideriamo che

  • il numero di vulnerabilità continua ad aumentare inesorabilmente assieme alla complessità dei sistemi IT in uso nelle aziende,
  • per sfruttare le vulnerabilità, l’interazione di un utente nella maggior parte dei casi non è più necessaria (in più di 2/3 dei casi nel 2020)
  • e che l’adozione sempre più spinta di nuove tecnologie, quali cloud e IoT, porta con sé la presenza di vulnerabilità intrinseche nelle applicazioni,

l’importanza di una gestione strutturata ed efficace delle vulnerabilità risulta lampante. In che modo questo agevola l’Incident Response?

Le aziende hanno la possibilità di diminuire la superficie vulnerabile esposta agli attacchi grazie a un vulnerability management efficace, che comporta cioè una correzione e gestione continuativa e puntuale delle vulnerabilità individuate. La diretta conseguenza è la riduzione della quantità di eventi di sicurezza su cui è necessario indagare. In questo modo il team specializzato dedicato all’incident response potrà operare in modo più focalizzato e senza dispersione di energie.

La tua azienda è preparata a gestire un’incidente di sicurezza?

Scopri come agire.

 

Fonte d’informazione per il SOC

Grazie al vulnerability management le aziende hanno a disposizione una panoramica sempre aggiornata dei propri punti deboli. Sfruttare al meglio queste informazioni è indispensabile. Alimentando il SOC con le informazioni sulle vulnerabilità presenti in azienda:

  • da un lato si potranno prevenire eventuali incidenti di sicurezza, implementando delle regole di monitoraggio aggiuntive e avvisi specifici sulle vulnerabilità. Nel caso qualcuno tenti di sfruttare una vulnerabilità monitorata, l’incident response team riceverà immediatamente tutte le informazioni necessarie, abbattendo i tempi di reazione e risposta.
  • Dall’altro, nel caso si verifichi un evento o incidente di sicurezza, il team di incident response avrà a disposizione le necessarie informazioni su cui indagare, relative alle possibili criticità presenti in azienda, che potranno subito essere relazionate con quelle derivanti dalle fonti di threat intelligence.

 

Cybersecurity: un approccio proattivo con Vulnerability Management e Incident Response

Come abbiamo più volte ribadito, l’unico approccio efficace alla sicurezza informatica oggi è quello proattivo.

Proteggersi dalle minacce informatiche, significa agire in anticipo, prima che una minaccia venga rilevata all’interno della rete informatica aziendale. Adottare una strategia di vulnerability management, per testare costantemente la sicurezza di sistemi aziendali, e un piano di incident response, per essere in grado di gestire in modo efficace un eventuale incidente di sicurezza, sono due tasselli fondamentali per un approccio proattivo alla cybersecurity.

Per garantire che incident response e vulnerability management siano realmente efficaci in azienda, è imprescindibile valutare la security posture desiderata e le priorità, focalizzandosi sulla propria realtà ed esigenze. Solo in questo modo il team del SOC, al cui interno di solito sono gestite le attività di vulnerability management e incident response, potrà agire nel modo più appropriato per proteggere l’azienda nel migliore dei modi.

Vuoi implementare un programma di vulnerability management in azienda?

Come migliorare il vulnerability management

Come migliorare il vulnerability management

Grazie a un programma di vulnerability management ben strutturato, le aziende sono in grado di ridurre la superficie vulnerabile alle minacce informatiche, più esposta a eventuali tentativi di attacco. Negli ultimi anni sono sempre più le organizzazioni lungimiranti che hanno intrapreso questa strada, con risultati altalenanti.

Quand’è che un programma di vulnerability management (VM) si può considerare davvero efficace?

Capiamo come dovrebbe essere strutturato un VM efficace e quali sono le buone pratiche per migliorare questo processo.

 

Come dovrebbe essere strutturato il Vulnerability Management?

Come abbiamo visto, il vulnerability management deve essere un processo che si ripete nel tempo in modo ciclico. Solo così un’azienda sarà in grado di gestire le possibili vulnerabilità nella sua infrastruttura informatica.

Per sottolineare l’importanza della ciclicità di questo processo, facciamo alcune considerazioni:

  • Nel 2020 sono state registrate oltre 18mila vulnerabilità, ci dice un report basato sul database del NIST.
  • Lo scorso anno RiskSense ha rilevato che il 96% delle vulnerabilità sfruttate negli attacchi ransomware è stata identificata prima del 2019: la maggior parte delle vulnerabilità era quindi nota da oltre un anno. Per esempio, anche nell’attacco ransomware che ha colpito Luxottica è stata sfruttata una vulnerabilità nota da diversi mesi (sui prodotti VPN di Citrix) per ottenere l’accesso alla rete.
  • Se prendiamo in considerazione le vulnerabilità zero-day, da un’analisi di Google emerge che il 25% di quelle sfruttate nel 2020, erano strettamente legate a vulnerabilità già conosciute: se le aziende avessero applicato una corretta politica di gestione delle vulnerabilità, non avrebbero potuto essere sfruttate da utenti malintenzionati.

Non devono preoccupare solo le nuove vulnerabilità, quindi. Le aziende, ma anche gli hacker, si trovano a fare i conti anche e soprattutto con vulnerabilità note, se non correttamente gestite.

 

Le fasi del Vulnerability Management

Per impostare un corretto programma di Vulnerability Management, dovrai creare un processo basato sulle seguenti fasi:

 

  • Identificare: La prima fase è quella di ricerca e scoperta delle possibili vulnerabilità presenti, operazione di solito automatizzata attraverso strumenti di scanning delle vulnerabilità.
  • Valutare: Una volta identificate, è necessario valutare e capire la possibile gravità dei danni per l’azienda, se la vulnerabilità fosse sfruttata. In base a questo, si procederà assegnando una priorità per la risoluzione.
  • Risolvere: A questo punto sarà necessario applicare una patch, aggiornare il sistema o mitigare la vulnerabilità nel modo più indicato.
  • Verificare: Infine, è fondamentale ricordarsi di verificare che la vulnerabilità sia stata effettivamente bonificata. Solo a questo punto il processo potrà ripartire.
Fasi del processo di vulnerability management VM

Vuoi implementare un programma di vulnerability management in azienda?

Buone pratiche per migliorare il Vulnerability Management

Una volta impostato il vulnerability management, per assicurarsi che continui a svolgere la sua funzione in modo adeguato, è fondamentale che la tua azienda si chieda: “Come so che il mio programma di vulnerability management è efficace?”

Ecco alcune buone pratiche da tenere a mente per strutturare al meglio e ottimizzare il vulnerability management.

  • Determinare l’ambito di azione. Il vulnerability management sarà applicato su tutta la rete e le risorse aziendali? Prima di iniziare, è necessario chiarire il livello di rischio che l’azienda è disposta ad accettare ed è in grado di permettersi dal punto di vista economico e strategico. Questo sarà l’ambito di azione iniziale, che l’azienda potrà perfezionare di pari passo con il maturare del processo.
  • Asset discovery. Questo punto è strettamente collegato al precedente. Se non sappiamo dell’esistenza di un rischio, non saremo in grado di risolverlo. Ecco perché uno dei punti di partenza del vulnerability management è l’inventario delle risorse da controllare e proteggere in azienda. Inventario che deve essere costantemente aggiornato per essere davvero utile. Inoltre è importante coinvolgere i responsabili degli asset nel processo.
  • Definire una policy. Senza una policy e procedure ufficiali, il processo potrebbe risultare poco chiaro e non applicabile. Definire responsabili, azioni e processi e condividere queste decisioni con tutte le persone interessate è fondamentale per la buona riuscita del processo: abilita il vulnerability management e lo rende più fluido e rapido.
  • Conoscenza delle vulnerabilità. Perché i punti 2) e 3) del processo di VM illustrato sopra siano davvero efficaci, la tua azienda dovrà disporre di strumenti che permettano al team incaricato di essere informato sulle vulnerabilità in circolazione. Fonti utili a questo scopo sono, per esempio, i servizi di threat intelligence, mailing list dei principali vendor su nuovi aggiornamenti e patch disponibili, il database delle vulnerabilità del Mitre, …
  • Frequenza dei vulnerability scan. Con quale frequenza ricercare nuove vulnerabilità? Se consideriamo che eseguiamo questa attività per impostare le attività di remediation o per identificare nuovi possibili rischi, la frequenza dovrà essere collegata a questi due obiettivi. Se nella tua azienda le attività di remediation sono attuate ogni mese, effettuare lo scanning ogni settimana non porterà nessun vantaggio. Nella situazione ottimale, le attività di ricerca di nuove vulnerabilità dovrebbero avvenire con la stessa cadenza delle operazioni di rimedio e ogniqualvolta c’è una modifica all’infrastruttura.
  • Gestione delle eccezioni. Potrebbero esserci delle vulnerabilità che non possono essere risolte. Le motivazioni possono essere varie: il rischio è basso e non ne vale la pena, richiedono un investimento di tempo e denaro troppo alto, il vendor non garantisce per il funzionamento dell’applicazione con quella determinata patch, … L’importante è che queste eccezioni siano davvero delle eccezioni, siano poche quindi. Per una maggiore sicurezza dell’organizzazione sarebbe auspicabile che presto venissero dismesse, in modo che nessuna parte dell’infrastruttura sia esclusa dalla scansione e che l’ambiente IT sia interamente sotto controllo.
  • Contesto. Come abbiamo sottolineato in varie occasioni, il rischio non è assoluto, ma va calato nella realtà della tua azienda. Le vulnerabilità e le risorse assumeranno un rischio maggiore o minore in base alle tue esigenze: per dare la corretta priorità alle azioni di remediation, è necessario valutare con attenzione quali sarebbero gli scenari se una determinata vulnerabilità all’interno di una tua risorsa fosse sfruttata per un attacco.
  • Centralizza. È importante che ci sia una gestione centralizzata per il processo di VM, possibilmente con un team dedicato. Questo sia per quanto riguarda la gestione tecnica, quindi un unico punto in cui vengono raccolte le vulnerabilità e le azioni intraprese per risolverle e mitigarle, sia per quanto riguarda la gestione delle persone coinvolte, in modo che ci sia un responsabile che tiene conto della distribuzione dei compiti e della verifica degli stessi.
  • Azioni di remediation. Un punto da non dare per scontato è che all’azione di identificazione e valutazione delle vulnerabilità, magari inserite in un report, segua effettivamente l’azione di rimedio e bonifica delle vulnerabilità riscontrate. Per assicurarsi che ciò accada, una policy ufficiale e condivisa e la centralizzazione delle attività di VM sono fondamentali.
  • Miglioramento continuo. Infine, per rendere davvero efficace il programma di VM nella tua azienda è necessario renderlo misurabile: stabilire dei KPI, non solo quantitativi, ma anche qualitativi, ti permetterà di capire se il programma funziona o meno e di intervenire prontamente per migliorarlo.

È cruciale non concentrarsi solo sulla prevenzione dalle intrusioni: la corretta gestione delle vulnerabilità evita infatti all’azienda le importanti conseguenze derivanti da un data breach o incidente informatico, come danni all’infrastruttura IT, perdita di reputazione e perdite finanziarie.

Come valutare quindi l’efficacia del VM?

Una volta implementato, il programma di vulnerability management potrà dirsi davvero efficaceper la tua azienda se ti permette di mantenere la security posture desiderata e stabilita.

Il tuo vulnerability management è davvero efficace?

Perché il vulnerability management è meglio del vulnerability assessment?

Perché il vulnerability management è meglio del vulnerability assessment?

Ogni giorno si scoprono nuovi tipi di attacchi informatici. Il punto da cui riescono a fare breccia gli hacker? Di solito, attraverso vulnerabilità di sicurezza che lasciano libero accesso a sistemi e applicazioni IT aziendali.

Identificare quali debolezze sono presenti nella propria infrastruttura IT e porvi rimedio, prima che possano essere sfruttate, è un’azione indispensabile per prevenire ed evitare eventi di sicurezza potenzialmente molto dannosi per l’azienda.

Vulnerability management e vulnerability assessment sono due degli strumenti a disposizione delle aziende per individuare e gestire in modo appropriato le vulnerabilità di sicurezza. Per inserire consapevolmente queste due attività all’interno di una strategia di cybersecurity, dobbiamo prima comprenderne la differenza. Scopriamo insieme in cosa si distinguono vulnerability management e vulnerability assessment.

 

Cos’è il vulnerability assessment?

Come abbiamo descritto in modo approfondito in precedenza, il vulnerability assessment identifica le vulnerabilità di sicurezza presenti nella rete, nei sistemi o hardware aziendali. È un progetto che si verifica un’unica volta: ha infatti una specifica data di inizio e una di fine.

Ci sono diversi tipi di assessment: possono essere rivolti per esempio alla rete IT o alle applicazioni. Di solito l’attività di ricerca delle vulnerabilità è svolta in modo automatico, attraverso strumenti di vulnerability scanning.

Al termine dell’assessment, l’azienda disporrà di un report che identifica le criticità presenti nel momento in cui si è svolto l’assessment, con un’indicazione del possibile rischio che tale minaccia pone per l’azienda e indicazioni su eventuali azioni da intraprendere per rimediare. Prima che avvenga qualsiasi evento di sicurezza.

 

Cos’è il vulnerability management?

Al contrario del vulnerability assessment, il vulnerability management è un processo ciclico e continuo, che si ripete regolarmente nel tempo, a volte quasi senza interruzioni tra un assessment e quello successivo. Il vulnerability assessement è infatti una parte fondamentale del processo di vulnerability management.

In questo processo, le vulnerabilità di sicurezza vengono identificate, valutate, risolte e verificate in modo continuativo. A ogni nuovo controllo, si andranno a verificare eventuali cambiamenti e nuove vulnerabilità rispetto all’assessment precedente. In questo modo si riescono a misurare i progressi, o la loro assenza, nell’ottica di mantenere la security posture definita in azienda.

 

Perché il vulnerability management è meglio del vulnerability assessment?

Come abbiamo capito, anche l’ambiente IT più sicuro può presentare delle vulnerabilità di sicurezza: nessun sistema è escluso.

Questo avviene, per esempio, a causa di cambiamenti costanti come aggiornamenti dei software o delle configurazioni di sistema: ogni aggiornamento introduce un nuovo potenziale rischio per la sicurezza informatica aziendale.

Nel momento in cui un’azienda riceve il report risultante dal vulnerability assessment, molto probabilmente le vulnerabilità esistenti saranno già cambiate: il report quindi non rappresenta già più la situazione aggiornata e non comprende tutte le vulnerabilità esistenti. Il cambiamento è continuo e inarrestabile.

Per garantire sempre un adeguato livello di protezione dell’infrastruttura informatica aziendale, è necessario che il processo di identificazione e bonifica delle vulnerabilità sia continuo, sia creato dunque un vero e proprio processo di gestione delle vulnerabilità, il vulnerability management.

 

La sicurezza informatica non è qualcosa che si può impostare e poi può essere dimenticata. Solo grazie a un monitoraggio e valutazione continuativa delle vulnerabilità presenti in azienda, si potrà avere in ogni momento una chiara visione dei rischi e punti di debolezza della security aziendale e delle attività che si stanno facendo per rimediarvi.

 

Quindi, perché il vulnerability management è meglio del vulnerability assessment? In sintesi, perché completa le attività di assessment.

Inserendo il vulnerability assessment all’interno di un processo di vulnerability management, potrai monitorare e migliorare stabilmente la sicurezza dell’infrastruttura IT della tua azienda e tenere sotto controllo le vulnerabilità di sicurezza.

Vuoi impostare un percorso di vulnerability management?

5 motivi per fare un security assessement

5 motivi per fare un security assessement

Nessuna organizzazione, indipendentemente dalle sue dimensioni, può ritenersi immune da incidenti di sicurezza, come attacchi informatici e data breach. Condurre un security assessment è fondamentale per proteggere l’azienda dai rischi IT e mantenere una corretta “igiene informatica” in azienda.

Perché il security assessment è così importante? Ecco i 5 principali motivi per fare un security assessment.

 

1)     Identificare le vulnerabilità di sicurezza nel sistema IT aziendale

Senza un’adeguata conoscenza della propria infrastruttura IT, risulta difficile per un’azienda proteggersi in modo adeguato.

La prima ragione per fare un security assessment è che aiuta a conoscere la propria rete e i propri asset e identificare possibili vulnerabilità critiche all’interno dell’infrastruttura IT aziendale.

Attraverso un’analisi approfondita delle misure di protezione in uso, si verificherà la coerenza di processi, tecnologie e sistemi all’interno dell’architettura di sicurezza. Il report dettagliato che ne risulterà, delinea i possibili rischi di sicurezza a cui è esposta l’organizzazione e sarà la base per costruire la strategia di cybersecurity.

 

2) Impostare e/o verificare la strategia di cybersecurity

Come anticipato, un security assessment è il primo passo per impostare una strategia di cybersecurity o verificarne l’andamento, se già presente.

Analizzando i propri controlli e strumenti di sicurezza, l’azienda avrà il quadro completo su ciò che funziona o meno. Con i risultati dell’analisi potrà valutare le priorità, anche in base agli obiettivi aziendali, e pianificare o correggere la strategia di cybersecurity.

Questo processo predispone anche a un contenimento dei costi. Infatti, strutturare una strategia in base alle conclusioni del security assessment, permette anche di investire in modo più oculato il budget dedicato alla cybersecurity e, correggendo eventuali vulnerabilità o mitigando i rischi, di risparmiare sulla risoluzione di possibili incidenti di sicurezza. 

Verifica la tua strategia di cybersecurity con un security assessment

3) Verificare il piano di Disaster Recovery

Sempre in tema prevenzione, un security assessment permette di verificare se il piano esistente di Disaster Recovery è ancora efficace o se necessita qualche aggiornamento.

È bene ricordare quanto potrebbe costare un blocco delle attività a un’azienda: aggiornare il piano per proteggere le proprie informazioni e garantire la business continuity ridurrà i rischi e garantirà livelli di produttività più elevati.

 

4) Aumentare la consapevolezza sul tema della cybersecurity

Condurre un security assessment approfondito può essere utile per un’ulteriore motivo. Spesso vengono condotte delle interviste all’interno dell’azienda per informarsi e verificare il livello di conoscenza delle misure di sicurezza IT attive in azienda. Durante queste interviste, da un lato si rinnova l’attenzione sugli aspetti della sicurezza informatica tra i dipendenti, dall’altro, in base alle risposte, è possibile sviluppare un programma di security awareness.

 

5) Compliance con regolamenti, standard e normative

Diversi regolamenti, standard e normative richiedono di garantire la sicurezza e integrità delle informazioni. Attraverso un security assessment è possibile identificare gli eventuali rischi e predisporre le misure per mitigarli, rispettando così quanto richiesto.

 

Ogni azienda dovrebbe determinare le proprie debolezze e limiti in merito alla sicurezza IT: non sarà in grado di evitare tutti gli attacchi, ma attraverso gli esiti del security assessment potrà delineare la strategia migliore per proteggersi e minimizzare i rischi.

Vuoi valutare il livello di sicurezza IT della tua azienda?

Security Assessment e Vulnerability Assessment a confronto

Security Assessment e Vulnerability Assessment a confronto

Nella maggior parte dei casi, oggi, il rischio di un’interruzione delle attività aziendali è strettamente collegato all’infrastruttura IT. Ecco perché, tra le priorità delle organizzazioni, quella di adottare soluzioni per la sicurezza informatica ha scalato rapidamente la classifica.

Per ottimizzare i risultati di questo processo, è necessario inserire l’adozione e implementazione di queste soluzioni all’interno di un piano: una strategia di cybersecurity che tenga conto delle necessità e delle peculiarità dell’azienda.

Security Assessment e Vulnerability Assessment sono due strumenti propedeutici alla definizione di questa strategia. Entrambi aiutano a individuare le debolezze dell’azienda a livello di sicurezza IT, ma operano secondo un approccio diverso. Capiamo qual è la differenza tra queste due attività e qual è quella più adatta a impostare una corretta strategia di cybersecurity in azienda.

 

Security Assessment e Vulnerability Assessment: le differenze

Sia security assessment che vulnerability assessment sono importanti e utili strumenti per proteggere i dati aziendali. Approcciano però la sicurezza dei sistemi da due differenti angolazioni: l’una strategica, mentre l’altra tecnica.

 

Cos’è un Vulnerability Assessment?

Il vulnerability assessment è uno scanning di sicurezza dei sistemi informatici in uso in azienda. Il suo scopo è quello di identificare quali parti del sistema risultano deboli a livello di sicurezza, facendo emergere le possibili vulnerabilità dell’infrastruttura e della rete IT.

Durante una scansione di sicurezza delle reti aziendali gli esperti di sicurezza cercano configurazioni errate, patch mancanti e varchi attivi che potrebbero compromettere la sicurezza delle informazioni aziendali. Al termine della scansione, sarà disponibile un elenco delle vulnerabilità riscontrate, in alcuni casi (in base al metodo di lavoro del fornitore) accompagnate anche da indicazioni su possibili procedure di remediation.

Il vulnerability assessment si concentra quindi sugli aspetti più tecnici.

 

Cos’è un Security Assessment?

Un security assessment è l’analisi del livello di sicurezza dell’intero sistema informatico aziendale attraverso la verifica e valutazione dei processi e delle tecnologie in uso.

Al termine della verifica, più o meno dettagliata, gli esperti di sicurezza saranno in grado di proporre un piano d’azione per migliorare il livello di sicurezza IT aziendale, allineando la strategia di cybersecurity agli obiettivi di business.

Il risultato del security assessment sarà condiviso anche con il management: non limitare l’informazione al solo reparto IT o di sicurezza informatica, permette di elevare concretamente il livello di consapevolezza e di agire in modo più efficace.

L’obiettivo di un security assessment è dunque più strategico: si tratta di stabilire quanto l’azienda sia esposta a possibili eventi di sicurezza e delineare un percorso per potenziare la security posture.

 

Security assessment vs Vulnerability assessment: le differenze

Le differenze

Evidenziamo quindi le principali differenze tra security assessment e vulnerability assessment:

  1. Un security assessment è un’analisi più ampia e a lungo termine dei sistemi aziendali che delinea un percorso da seguire, mentre un vulnerability assessment è una fotografia, è più specifico e circoscritto a un determinato momento.
  2. Un vulnerability assessment è uno dei punti che vanno valutati durante un security assessment.
  3. Un vulnerability assessment può essere quasi completamente automatizzato, mentre un security assessment necessita di un’analista di sicurezza per essere efficace.

Grazie a un vulnerability assessment sarà dunque disponibile una visione parziale e momentanea dei problemi di sicurezza della rete aziendali, in cui sono evidenziate le vulnerabilità dal punto di vista tecnico. Per avere una rappresentazione completa di punti di forza e debolezza dell’infrastruttura IT in tema sicurezza, lo strumento più adatto è invece un security assessment, in grado di mettere in evidenza gli aspetti strategici da considerare per raggiungere gli obiettivi posti.

 

Come funziona un Security Assessment?

Di solito un Security Assessment prevede 3 fasi:

  1. Fase investigativa iniziale: si raccolgono tutte le informazioni relative alla situazione attuale oltre che alle esigenze e agli obiettivi da raggiungere, tenendo conto anche di eventuali normative che l’azienda deve rispettare.
  2. Fase di analisi: si elaborano i dati raccolti per identificare punti di forza e debolezza, oltre a eventuali misure per mitigare potenziali rischi. In questa fase, gli analisti di sicurezza andranno a valutare se processi e tecnologie attualmente in uso in azienda coprono ogni aspetto della gestione del rischio informatico, dalla protezione alla risposta a eventuali incidenti di sicurezza. Per esempio, analizzando le misure difensive adottate, valuteranno se c’è un processo di vulnerability management attivo e il suo grado di efficacia.
  3. Fase di sviluppo e condivisione dell’assessment: si delineano e condividono le azioni di miglioramento necessarie per raggiungere il livello di sicurezza desiderato, determinando priorità e tempistiche in base alle esigenze e capacità di investimento raccolte nella fase investigativa.

Al termine del security assessment l’azienda avrà a disposizione un percorso con misure correttive o implementative per migliorare la sua security posture. Disporrà quindi di tutti gli elementi per delineare la più adatta strategia di cybersecurity.

 

Vuoi valutare il livello di sicurezza IT della tua azienda?

Come migliorare l’Incident Response grazie al SOC

Come migliorare l’Incident Response grazie al SOC

Il Security Operations Center (SOC) svolge un ruolo centrale nel garantire la sicurezza informatica in azienda.

Uno degli obiettivi del SOC è offrire il servizio chiave di incident response. Ciò significa monitorare l’infrastruttura IT aziendale, rilevare eventi di sicurezza e mettere in atto piani di risposta per risolvere eventuali incidenti.

Un SOC efficace è in grado di garantire una gestione proattiva e rapida degli incidenti di sicurezza.

Ma spesso ciò non avviene. E quello che dovrebbe essere un caccia, uno strumento robusto e reattivo per monitorare e migliorare la security posture dell’azienda, si rivela al contrario un carro armato, lento e privo di una reale visione d’insieme.

Quali caratteristiche deve avere un SOC per garantire un’incident response realmente efficace?

 

La tecnologia dietro a un SOC: c’è molto più di un SIEM

La gestione e mitigazione dei rischi informatici è una delle principali sfide che le aziende di tutto il mondo si trovano ad affrontare attualmente. Secondo l’Allianz Risk Barometer 2021, la gestione degli incidenti informatici (40%) si trova al terzo posto della classifica dei principali rischi aziendali, subito dopo le interruzioni dell’attività (41%) e la pandemia (40%).

Un SOC può essere la soluzione per affrontare questa sfida: se correttamente progettato e gestito, si rivelerà il corretto supporto ai processi di incident management e response. Ma le aziende dovranno compiere un passaggio fondamentale: cambiare prospettiva, passare da un modello di gestione e risposta agli incidenti di sicurezza reattivo a uno proattivo.

Ciò significa:

  • non limitarsi al monitoraggio di sicurezza, all’analisi di eventi sospetti e alla gestione degli incidenti,
  • ma dotarsi di una conoscenza approfondita e sempre aggiornata di minacce e tattiche, tecniche e procedure (TTPs), nonché degli indicatori di compromissione (IoC), oltre a processi di vulnerability management inseriti all’interno di una struttura organizzata.

In pratica, oltre ad assicurarsi di raccogliere tutti i dati dall’infrastruttura aziendale, attraverso una tecnologia come il SIEM, dovranno essere in grado di metterli a confronto con informazioni di contesto, fornite da altre tecnologie avanzate.

 

Come la threat intelligence abilita una pronta incident response in un SOC

La mancanza di dati di contesto è proprio uno dei fattori che impediscono a un SOC di essere proficuo.

Per rendere in grado gli esperti di sicurezza del team SOC di intervenire con tempismo in caso di un incidente di sicurezza è necessario avere la possibilità di mettere in relazione

  • le informazioni raccolte internamente dalla tecnologia SIEM
  • con fonti esterne, che forniscano per esempio indicazioni su nuovi malware o campagne di attacco in corso nel mondo.

Questa possibilità è offerta dalla cyber threat intelligence.

Un team SOC così equipaggiato potrà agire più agevolmente sia a livello di SOC 1, per il riconoscimento dell’evento di sicurezza potenzialmente critico, che a livello SOC 2, per l’analisi della minaccia e l’impostazione delle azioni di remediation.

 

Threat feeds affidabili

Tra gli errori più comuni nella gestione dell’incident response c’è la mancanza di una vera intelligenza nelle soluzioni di threat intelligence utilizzate.

Nell’ultimo periodo “threat intelligence” è uno dei concetti più popolari nel mondo della sicurezza IT. Di conseguenza spopolano anche le soluzioni che la includono. Tuttavia, molte aziende si ritrovano con innumerevoli dati sulle minacce a disposizione, senza però essere in grado di rilevarle effettivamente.

Quindi è fondamentale che le fonti esterne che alimentano la threat intelligence siano affidabili, di qualità, diversificate e puntuali: in caso contrario, prevenire e rispondere prontamente ad eventuali incidenti di sicurezza non sarà possibile.

Fonti di qualità sono quelle che oltre ai puri dati (ad esempio un URL) forniscono anche le informazioni di contesto (quello specifico URL è malevolo perché è stato utilizzato per diffondere un malware).

È necessario inoltre considerare anche un ultimo aspetto: l’efficacia della threat intelligence migliora nel momento in cui si aumenta la varietà delle fonti che alimentano il sistema, diversificandone la provenienza anche da un punto di vista geopolitico.

 

Automatizzare il collegamento

Secondo IBM, di norma, un analista di sicurezza investiga su 20-25 incidenti al giorno. Per ognuno di questi impiega tra 13 e 18 minuti per confrontare i log con gli IoC e le informazioni di threat intelligence: questa ricerca manuale può risultare in falsi positivi per il 70% e oltre.

Considerato quindi il numero imponente, in continua crescita, di avvisi di sicurezza da un lato e di informazioni di threat intelligence dall’altro, senza uno strumento che colleghi automaticamente questi dati, per i team di sicurezza potrebbe rivelarsi ancora più complicato capire cos’è davvero importante per l’azienda.

Automatizzare questo processo di confronto doterà i team SOC di tutti gli strumenti necessari a riconoscere la pericolosità di una minaccia e di conseguenza la priorità con cui intervenire, ma anche le modalità con cui rispondere.

 

Processi, l’ultimo tassello per abilitare il SOC alla perfetta incident response

Le competenze delle persone attive nel SOC, supportate dalle tecnologie che abilitano un approccio intelligente all’incident response, potranno ottenere il massimo risultato solo basandosi su solidi processi e organizzazione.

Un Incident Response Team, all’interno del SOC, che basa le sue azioni per gestire eventi, incidenti e vulnerabilità di sicurezza su linee guida internazionali, come per esempio lo standard ISO/IEC 27035, garantirà un incident response più sicura e di qualità. Potrà così contribuire attivamente a garantire la resilienza del business dell’azienda. 

    Vuoi creare o migliorare il processo di incident response nella tua azienda?

    Scopri il servizio MaSS SOC-SIEM di Matika

    banner-matika-ibm