Gestire un incidente di cybersicurezza con le sole risorse interne all’azienda spesso si rivela difficoltoso e inefficace, soprattutto in caso di attacchi sofisticati. Quali sono le cause?

Abbiamo individuato 8 sfide che CISO, responsabili della sicurezza IT e loro collaboratori devono affrontare per gestire un incidente di sicurezza con successo.

Prima di esaminarle nel dettaglio, ci soffermiamo su due elementi chiave che di frequente sono decisivi nel determinare la buona o cattiva riuscita della risposta all’incidente: fattore emotivo e budget.

Fattore emotivo

Nel momento in cui avviene un incidente di sicurezza, rimanere lucidi, razionali e agire con tempismo non è il primo istinto. Le nostre emozioni davanti al rischio di rovinare la propria buona reputazione, intaccare la fiducia dei clienti e perdere denaro potrebbero rallentare la risposta e renderla meno efficace. Per evitare che i nostri impulsi prendano il sopravvento, dotarsi di un piano di incident response è determinante.

Budget

In altri casi, capita invece che per il team sicurezza non sia possibile agire in modo adeguato a causa della mancanza di fondi. Così i programmi di incident management non si concretizzano o vengono implementati parzialmente, perdendo efficacia. In questi casi, è bene ricordare che giocare d’anticipo fa risparmiare. Se avvenisse un incidente e la sua gestione non fosse preventivamente coperta da adeguati investimenti in esperti e soluzioni di sicurezza, i costi sarebbero di gran lunga superiori.

E ora entriamo nel vivo del tema e scopriamo gli 8 elementi critici per il buon esito della risposta a un incidente di sicurezza.

8 sfide nella gestione della risposta agli incidenti di sicurezza

 1) Identificare l’incidente

Saper riconoscere un incidente è fondamentale per poterlo gestire e mitigare in modo tempestivo. Cosa ne rende difficile l’identificazione?

Un incidente di sicurezza può presentarsi con forme diverse: per riconoscerle sono necessarie competenze specifiche e aggiornate. Il comportamento insolito di un utente con privilegi, il tentativo di accesso non autorizzato a dati sensibili o ai server di un dipendente, una difformità nel traffico in uscita, l’alterazione di una configurazione: queste e molte altre sono le forme che può assumere un incidente, e che spesso passano inosservate.

Oltre alla varietà degli elementi da riconoscere come potenzialmente dannosi, a complicare ulteriormente la situazione collabora il numero crescente di minacce. Secondo il Rapporto Clusit, nel primo semestre 2020, a livello mondiale, si è registrato un aumento del 6,8% degli attacchi gravi rispetto allo stesso periodo dell’anno precedente. Se consideriamo il numero totale di minacce rilevate, comprese quelle che non sono andate a segno o hanno avuto risultati meno gravi, il trend continua ad essere in crescita.

La combinazione dei due fattori appena citati impedisce alle aziende di avere un numero sufficiente di persone per investigare sulle segnalazioni in tempi ragionevoli. Come riportato nel rapporto annuale sul costo dei Data Breach di IBM Security, prendendo come riferimento l’Italia, sono necessari in media 203 giorni per identificare un attacco informatico e 65 per contenerlo.

Strumenti di protezione avanzata come le soluzioni EDR, correttamente implementate, assicurano ai team security di rilevare le minacce e riconoscere eventuali incidenti in modo proattivo.

2) Determinare cosa è successo

Una volta identificato un evento o comportamento come sospetto, è necessario raccogliere il maggior numero di informazioni possibili relative al contesto dell’incidente e analizzare i dati raccolti per determinare cosa è accaduto. Solo così il team di risposta all’incidente potrà definire quali azioni intraprendere per risolvere la situazione.

Per ottenere questo risultato, i team di sicurezza devono essere in grado di:

  1. avere una visibilità completa sulle attività di ogni componente della rete aziendale;
  2. correlare tra loro tutti gli avvisi di sicurezza provenienti dalle diverse risorse protette.

Dotarsi di un SIEM è un ottimo punto di partenza. Affiancargli poi un SOC, permetterà di risalire più agevolmente alla catena degli eventi correlati all’incidente.

3) Individuare quali asset sono stati compromessi

Per le aziende che tengono traccia e categorizzano i propri sistemi, reti e informazioni, individuare un eventuale compromissione degli asset sarà semplice. Per le altre invece, il percorso sarà in salita.

Senza una lista degli asset aziendali, di quelli considerati critici, per i team di gestione degli incidenti non è possibile stabilire cosa difendere da potenziali cyber minacce e soprattutto con che livello di protezione farlo. In questi casi, capire quali risorse possono essere state compromesse è praticamente impossibile.

Gestire e catalogare correttamente le risorse aziendali è fondamentale.

4) Compliance con i regolamenti

Uno degli aspetti più spinosi per i team di risposta agli incidenti è assicurarsi che le proprie misure rispettino norme e regolamenti. È necessario rimanere al passo con i continui aggiornamenti, adeguando costantemente le misure adottate.

Alcuni regolamenti, come il GDPR, e standard internazionali, come ISO 27001 (sicurezza delle informazioni) e ISO 22301 (continuità aziendale), richiedono esplicitamente la creazione di un piano di risposta agli incidenti.

5) Determinare il potenziale impatto dell’incidente sull’azienda

Aspetto fondamentale nella gestione dell’incidente è assegnargli la corretta priorità.

Il livello di gravità dell’incidente è determinato da una combinazione di più fattori. Per essere in grado di associare correttamente tutte le informazioni raccolte, sono necessarie conoscenze costantemente aggiornate su autori di attacchi, motivazioni, metodi e strumenti utilizzati dai cybercriminali e al danno potenziale che possono infliggere. Difficilmente queste competenze possono essere mantenute all’interno di un’azienda che non affronta quotidianamente attacchi informatici di ogni tipo.

La difficoltà nello stabilire l’impatto delle conseguenze sul business può essere dovuta anche a una mancanza di competenze manageriali nel team di risposta all’incidente: senza un corretto bilanciamento tra competenze tecniche e manageriali, si corre il rischio che non sia data la giusta priorità all’evento.

Installare strumenti di gestione e monitoraggio delle minacce può essere di supporto per la corretta prioritizzazione degli avvisi, ma le giuste competenze fanno la differenza in questo caso.

6) Minacce interne

A volte nella creazione dei piani di gestione degli incidenti IT, le minacce provenienti dall’interno sono sottovalutate. Non dovrebbero esserlo: spesso si rivelano molto più pericolose di quelle esterne, perché rimangono nascoste più a lungo.

Tra i maggiori fattori di rischio identificati dagli esperti di sicurezza per questo tipo di minacce ci sono:

  • un elevato numero di utenti con privilegi di accesso eccessivi
  • un numero crescente di dispositivi con accesso a informazioni sensibili
  • la maggiore complessità del mondo IT.

I piani dovrebbero prevedere misure specifiche per la gestione della compromissione, del furto e del sabotaggio di dati sensibili e di valore da attaccanti interni.

7) Mancanza di test su strumenti e processi

Per le aziende è cruciale andare oltre alla creazione del piano o al primo setup degli strumenti di incident response. I piani spesso falliscono nel momento del bisogno perché non sono mai stati testati o non sono stati testati a sufficienza.

Per essere davvero preparati sono necessari decine di assessment di sicurezza, continue pratiche di monitoraggio e di incident response. Solo testando e ri-testando strumenti e processi, il team di risposta all’incidente potrà aggiustare eventuali passaggi bloccanti, ma soprattutto interiorizzare la procedura ed essere più efficiente nel momento del bisogno.

8) Piano non tarato sull’organizzazione

Un ultimo aspetto da non sottovalutare è quanto il piano rispecchia le caratteristiche dell’azienda.

La maggior parte delle aziende adotta piani di risposta agli incidenti generici: contengono tutte le possibili azioni che dovrebbero essere realizzate al verificarsi di un potenziale incidente di sicurezza. A prima vista, questa ampia disponibilità di informazioni potrebbe sembrare un vantaggio: in realtà, un piano così strutturato spesso complica e rallenta il processo di risposta.

Dunque, per una risposta efficace a un’eventuale incidente è necessario assicurarsi di creare un piano su misura per la propria azienda e personalizzarlo ulteriormente attraverso continui test.

 

Gestire un incidente di sicurezza con successo

Come essere sicuri che queste 8 sfide non siano più tali, bensì siano naturali passaggi di una procedura rodata?

Gestire questa procedura internamente comporta notevoli investimenti in tecnologie e competenze, che, con il continuo e rapido evolversi dello scenario delle minacce informatiche, si rivela di difficile manutenzione con le sole risorse aziendali.

Affidando la gestione della risposta degli incidenti di sicurezza a un fornitore di servizi esterno invece, l’azienda può disporre di tecnologie e competenze sempre aggiornate, a un costo contenuto. Matika, in qualità di Managed Security Service Provider certificata ISO/IEC 27035 per la risposta agli incidenti di sicurezza delle informazioni, può affiancare la tua azienda nello strutturare la strategia di prevenzione e gestione degli incidenti più adeguata.

 

Costruisci il tuo piano di risposta agli incidenti di sicurezza

Scopri come possiamo aiutarti

Share This