Skip to content
Natuurondernemer
    Giugno 30, 2020 by admin

    Pianificazione della risposta agli incidenti: A Checklist for Building Your Cyber Security Incident Response Plan

    Pianificazione della risposta agli incidenti: A Checklist for Building Your Cyber Security Incident Response Plan
    Giugno 30, 2020 by admin

    Questo post è stato aggiornato l’ultima volta il 10 marzo 2021 alle 09:27

    La tua organizzazione è pronta a rispondere a una violazione della sicurezza o a un attacco informatico? Secondo molti esperti di sicurezza, è una questione di “quando” e non di “se” la vostra azienda subirà un grave incidente di cybersecurity. Un piano di risposta agli incidenti è la vostra migliore possibilità di difendere la vostra organizzazione dal subire gli effetti di una violazione dei dati. Il momento di pianificare e preparare la risposta agli incidenti di sicurezza, qualunque essi siano, è molto prima che accadano.

    Che cos’è un piano di risposta agli incidenti di sicurezza?

    Un piano di risposta agli incidenti di cybersecurity (o piano IR) è un insieme di istruzioni progettato per aiutare le aziende a prepararsi, rilevare, rispondere e recuperare da incidenti di sicurezza della rete. La maggior parte dei piani IR sono incentrati sulla tecnologia e affrontano questioni come il rilevamento di malware, il furto di dati e le interruzioni di servizio. Tuttavia, qualsiasi attacco informatico significativo può colpire un’organizzazione attraverso le funzioni in più modi, quindi il piano dovrebbe comprendere anche aree come HR, finanza, servizio clienti, comunicazioni con i dipendenti, legale, assicurazioni, pubbliche relazioni, regolatori, fornitori, partner, autorità locali e altre entità esterne.

    Ci sono framework di risposta agli incidenti standard di settore da organizzazioni come NIST e SANS che forniscono linee guida generali su come rispondere a un incidente attivo. Il piano di IR della vostra organizzazione, tuttavia, dovrebbe essere molto più specifico e fattibile, specificando chi dovrebbe fare cosa e quando. Abbiamo messo insieme una lista di controllo per delineare i componenti chiave di un piano IR informatico per aiutarvi a costruire il giusto tipo di guida per la vostra organizzazione.

    In entrambi i casi – sia che si utilizzi un modello di piano di risposta agli incidenti o un piano IR fatto in casa – gli obiettivi rimangono gli stessi: minimizzare i danni, proteggere i vostri dati e aiutare la vostra organizzazione a riprendersi dall’incidente il più rapidamente possibile.

    Come creare un piano di risposta agli incidenti

    Ogni organizzazione con risorse digitali (computer, server, carichi di lavoro cloud, dati, ecc.) ha il potenziale per subire un attacco informatico o una violazione dei dati. Sfortunatamente, la maggior parte delle organizzazioni non si rende conto di aver subito una violazione dei dati finché non è troppo tardi. Creare un piano di risposta agli incidenti di cybersecurity vi aiuta a prepararvi all’inevitabile e ad attrezzare il vostro team di sicurezza IT per rispondere prima, durante e dopo un attacco informatico. Anche se questo post del blog non entrerà nella profondità e nei dettagli necessari in un vero piano di risposta agli incidenti, vi aiuterà a capire i fattori chiave e le considerazioni in ogni fase del processo di risposta agli incidenti: preparazione, rilevamento, risposta, recupero e follow-up post-incidente.

    In definitiva, il vostro piano di risposta agli incidenti di sicurezza dovrebbe essere utilizzato su base continuativa – un documento vivo – che guida le attività ricorrenti di rilevamento e risposta (caccia alle minacce, indagini sugli incidenti informatici, risposta agli incidenti e rimedio/recupero). Eseguendo le attività di rilevamento continuo e di risposta agli incidenti, è possibile migliorare l’igiene dell’IT e della sicurezza e proteggere meglio l’organizzazione dalle minacce sconosciute, dagli aggressori nascosti e potenzialmente prevenire una violazione dei dati.

    Per lo scopo di questo blog, abbiamo diviso il processo di pianificazione della risposta agli incidenti in cinque fasi: Preparazione, rilevamento, risposta, recupero e follow-up.

    Preparazione

    La preparazione è la prima fase della pianificazione della risposta agli incidenti e probabilmente la più cruciale per proteggere la vostra azienda e le risorse digitali. Durante la fase di preparazione documenterai, delineerai e spiegherai i ruoli e le responsabilità del tuo team IR, stabilendo anche la politica di sicurezza sottostante che guiderà lo sviluppo del tuo piano IR.

    • Determina l’esatta posizione, la sensibilità e il valore relativo di tutte le informazioni della tua organizzazione che devono essere protette.
    • Valutate se attualmente avete risorse IT sufficienti per rispondere a un attacco o se sarebbe necessario il supporto di terzi.
    • Assegnate il buy-in esecutivo in modo che il piano abbia la piena approvazione dai vertici dell’organizzazione.
    • Assegnate ruoli e responsabilità per tutti gli stakeholder rilevanti, inclusi IT, HR, comunicazioni interne, supporto clienti, legale, PR e consulenti.
    • Stabilire una catena di comando che includa sia l’IT che i leader aziendali. Chi è il comandante dell’incidente? Chi lancia il piano di risposta all’incidente? Chi ha l’autorità di “fermare il lavoro”, come la chiusura di emergenza dei siti web aziendali? Quando sono coinvolte le risorse umane? Quando è coinvolto l’ufficio legale? Quando vengono avvisati i media? Quando vengono coinvolte le autorità esterne?
    • Raccogliete e aggiornate le informazioni di contatto 24/7/365 (e-mail, testo, VOIP, ecc.) per tutti i membri del team di risposta all’incidente, i loro rinforzi e i manager. Stabilire canali alternativi di comunicazione se i canali regolari sono compromessi o non disponibili.
    • Identificare i requisiti normativi di cybersecurity per l’organizzazione in tutte le funzioni e sviluppare una guida su come interagire con le forze dell’ordine e altre autorità governative in caso di incidente.

    • Sviluppare e mantenere un elenco di venditori di tecnologia preferiti per le analisi forensi, la sostituzione dell’hardware e i servizi correlati che potrebbero essere necessari prima, durante o dopo un incidente.
    • Stabilire procedure per i team IT per ricevere avvisi chiari e attuabili di tutto il malware rilevato. Spiegazioni specifiche possono aiutare i membri del team ad evitare di liquidare l’allarme come un falso positivo.
    • Memorizzare le credenziali privilegiate, comprese le password e le chiavi SSH, in un caveau sicuro e centralizzato.
    • Ruotare automaticamente le credenziali privilegiate, isolare le sessioni di account privilegiati per i dipendenti temporanei e scansionare regolarmente gli account orfani degli ex dipendenti che potrebbero ancora fornire accesso non autorizzato.
    • Richiedere ai dipendenti di segnalare e-mail sospette e attività che potrebbero compromettere la sicurezza della rete.
    • Assicurarsi di avere un sistema pulito pronto per il ripristino, magari coinvolgendo un reimage completo di un sistema o un ripristino completo da un backup pulito.
    • Eseguire un piano di comunicazione completo e integrato per informare il pubblico interno ed esterno sugli incidenti in modo rapido, preciso e coerente.

    Rilevamento & Analisi

    La fase di rilevamento della risposta agli incidenti di sicurezza e della pianificazione IR comporta il monitoraggio, il rilevamento, l’allerta e la segnalazione degli eventi di sicurezza. Questo include l’identificazione di minacce conosciute, sconosciute e sospette – quelle che sembrano di natura malevola, ma non sono disponibili abbastanza dati al momento della scoperta per fare una determinazione in entrambi i casi.

    Quando viene rilevata una pista, una minaccia o un incidente di sicurezza, il vostro team di risposta agli incidenti dovrebbe immediatamente (se non automaticamente con l’aiuto di un software di risposta agli incidenti informatici) raccogliere e documentare ulteriori informazioni – prove forensi, artefatti e campioni di codice – per determinare la gravità, il tipo e il pericolo dell’incidente, e memorizzare tali dati per utilizzarli nel perseguire l’attaccante o gli attaccanti in un momento successivo.

    • Sviluppare una strategia di rilevamento proattiva basata su strumenti che possono scansionare automaticamente i vostri host fisici e virtuali, sistemi e server per qualsiasi applicazione, identità o account vulnerabile.
    • Considera le soluzioni tradizionali come le piattaforme Endpoint Detection and Response (EDR), il software Next-gen antivirus (NGAV) o gli strumenti User/Entity Behavior Analytics (UEBA/UBA) per individuare il malware.

    • Condurre valutazioni di compromesso per verificare se una rete è stata violata e identificare rapidamente la presenza di malware noti o zero day e di minacce persistenti attive o dormienti – che hanno eluso le vostre difese di cybersecurity esistenti.

    Risposta

    La risposta agli incidenti di sicurezza può assumere diverse forme. Le azioni di risposta agli incidenti possono includere il triage degli avvisi dagli strumenti di sicurezza degli endpoint per determinare quali minacce sono reali e/o la priorità con cui affrontare gli incidenti di sicurezza. Le attività di risposta agli incidenti possono anche includere il contenimento e la neutralizzazione della minaccia (o delle minacce), isolando, spegnendo o “disconnettendo” in altro modo i sistemi infetti dalla rete per impedire la diffusione dell’attacco informatico. Inoltre, le operazioni di risposta agli incidenti includono l’eliminazione della minaccia (file dannosi, backdoor nascoste e artefatti) che ha portato all’incidente di sicurezza.

    • Contenere immediatamente sistemi, reti, archivi di dati e dispositivi per ridurre al minimo l’ampiezza dell’incidente e isolarlo dal causare danni diffusi.
    • Determinare se qualche dato sensibile è stato rubato o corrotto e, in tal caso, quale potrebbe essere il rischio potenziale per la vostra azienda.
    • Eliminare i file infetti e, se necessario, sostituire l’hardware.
    • Tenere un registro completo dell’incidente e della risposta, compreso il tempo, i dati, il luogo e l’entità del danno dell’attacco. È stato interno, esterno, un allarme di sistema o uno dei metodi descritti in precedenza? Chi l’ha scoperto e come è stato riportato l’incidente? Elenca tutte le fonti e i tempi in cui l’incidente è passato. In quale fase è stato coinvolto il team di sicurezza?
    • Riserva tutti gli artefatti e i dettagli della violazione per ulteriori analisi dell’origine, dell’impatto e delle intenzioni.
    • Prepara e rilascia dichiarazioni pubbliche il prima possibile, descrivendo il più accuratamente possibile la natura della violazione, le cause principali, la portata dell’attacco, i passi verso il rimedio e una descrizione dei futuri aggiornamenti.
    • Aggiornare tutti i firewall e la sicurezza della rete per catturare le prove che possono essere utilizzate in seguito per la scientifica.
    • Interpellare il team legale ed esaminare la conformità e i rischi per vedere se l’incidente ha un impatto su qualsiasi regolamento.
    • Contattare le forze dell’ordine, se applicabile, poiché l’incidente può avere un impatto anche su altre organizzazioni. Ulteriori informazioni sull’incidente possono aiutare a sradicare, identificare la portata o assistere nell’attribuzione.

    Recupero e follow-up

    Le attività successive all’incidente (azioni di recupero e follow-up) comprendono l’eliminazione del rischio per la sicurezza, la revisione e il reporting di quanto accaduto, l’aggiornamento della tua intelligence sulle minacce con nuove informazioni su ciò che è buono e ciò che è cattivo, l’aggiornamento del tuo piano IR con le lezioni apprese dall’incidente di sicurezza e la certificazione e la ri-certificazione che il tuo ambiente è effettivamente privo di minacce tramite una valutazione del rischio di cybersecurity post-incidente o una valutazione del rischio IT e di sicurezza.

    Recupero

    • Eliminare il rischio di sicurezza per garantire che l’attaccante non possa riguadagnare l’accesso. Questo include la patch dei sistemi, la chiusura dell’accesso alla rete e la reimpostazione delle password degli account compromessi.
    • Durante la fase di eliminazione, creare un’identificazione della causa principale per aiutare a determinare il percorso di attacco utilizzato in modo che i controlli di sicurezza possano essere migliorati per prevenire attacchi simili in futuro.
    • Fare un’analisi delle vulnerabilità a livello aziendale per determinare se possono esistere altre vulnerabilità.
    • Ripristinare i sistemi allo stato pre-incidente. Controllare la perdita di dati e verificare che l’integrità, la disponibilità e la riservatezza dei sistemi siano state recuperate e che l’azienda sia tornata alle normali operazioni.
    • Continuare a raccogliere log, memory dump, audit, statistiche sul traffico di rete e immagini disco. Senza un’adeguata raccolta di prove, la digital forensics è limitata, quindi non ci sarà un’indagine di follow-up.

    Follow-up

    • Compilare un rapporto di risposta all’incidente e includere tutte le aree dell’azienda che sono state colpite dall’incidente.
    • Determinare se la gestione è stata soddisfatta della risposta e se l’organizzazione ha bisogno di investire ulteriormente in persone, formazione o tecnologia per aiutare a migliorare la sua posizione di sicurezza.
    • Condividere le lezioni apprese. Cosa è andato bene, cosa no e come si possono migliorare le procedure in futuro?
    • Rivedere, testare e aggiornare il piano di risposta agli incidenti di cybersecurity su base regolare, magari annualmente se possibile.
    • Condurre una valutazione di compromesso o altre scansioni di sicurezza su base regolare per garantire la salute di sistemi, reti e dispositivi.
    • Aggiornare i piani di risposta agli incidenti dopo una ristrutturazione del dipartimento o un’altra importante transizione.
    • Mantenere tutte le parti interessate informate sulle ultime tendenze e sui nuovi tipi di violazioni dei dati che stanno accadendo. Promuovi il messaggio che “la sicurezza è il lavoro di tutti”

    Conclusione

    L’obiettivo della nostra checklist per il piano di risposta agli incidenti informatici è di aiutare il tuo team di sicurezza IT a sviluppare un piano di risposta agli incidenti che sia completo, coordinato, ripetibile ed efficace.

    Tenete a mente che lo sviluppo di un piano di IR per la sicurezza informatica non è mai un esercizio unico. Sfortunatamente, senza un regolare addestramento sulla risposta agli incidenti ed esercitazioni IR, compresi scenari di attacchi informatici dal vivo, le organizzazioni e i loro team di sicurezza IT possono trovarsi improvvisamente superati dagli hacker che fanno perno sulle loro strategie di attacco/TTP e sulla scelta del malware.

    Quello che ha funzionato in passato potrebbe non funzionare domani. Il giusto piano di risposta agli incidenti di sicurezza dovrebbe essere un documento vivente che sta al passo con la rapida evoluzione del panorama delle minacce di oggi.

    Scaricate la nostra lista di controllo del piano di sicurezza informatica per iniziare a costruire il vostro piano di risposta agli incidenti, oppure contattateci per richiedere una consulenza, una valutazione dei compromessi o per sapere come Infocyte consente un rilevamento delle minacce e una risposta agli incidenti veloce, flessibile e conveniente.

    Previous articleIGOR MAZURENKO - ALLENAMENTO PER I PRINCIPIANTI # 1 # Braccio di ferro # Armpower.netNext article Cura di un tubo di drenaggio ad aspirazione chiusa

    Lascia un commento Annulla risposta

    Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

    Articoli recenti

    • Trovare se stessi (e gli altri…) negli annuari online
    • Come impostare un bitcoin ASIC miner
    • Cos’è un sito Superfund?
    • I vermi sanguigni con esca da pesca hanno morsi di api
    • Ecolalia: I fatti oltre il “parlare a pappagallo”, lo scripting e l’eco
    • Citazioni del Signore delle Mosche
    • A Beginner’s Guide to Pegging
    • 42 ricette sane di zuppa Crockpot
    • 3 rischi sorprendenti della cattiva postura
    • Pesce Betta femmina

    Archivi

    • Aprile 2021
    • Marzo 2021
    • Febbraio 2021
    • Gennaio 2021
    • Dicembre 2020
    • Novembre 2020
    • Ottobre 2020
    • Settembre 2020
    • Agosto 2020
    • Luglio 2020
    • Giugno 2020
    • Maggio 2020
    • Aprile 2020
    • DeutschDeutsch
    • NederlandsNederlands
    • EspañolEspañol
    • FrançaisFrançais
    • PortuguêsPortuguês
    • ItalianoItaliano
    • PolskiPolski

    Meta

    • Accedi
    • Feed dei contenuti
    • Feed dei commenti
    • WordPress.org
    Posterity WordPress Theme