Risposta agli incidenti

Gestione del piano di risposta agli incidenti

La risposta agli incidenti non è diversa da qualsiasi altro aspetto della sicurezza delle informazioni. Richiede una pianificazione ponderata, una supervisione continua e metriche chiare in modo che gli sforzi possano essere adeguatamente misurati. Le iniziative di gestione in corso includono la definizione e la supervisione degli obiettivi di risposta agli incidenti, la verifica periodica dell’IRP per garantire la sua efficacia e la formazione di tutte le parti necessarie sulle procedure di risposta agli incidenti applicabili. Le metriche specifiche usate per misurare l’efficacia delle iniziative di risposta agli incidenti potrebbero includere:

• Numero di incidenti rilevati.
• Numero di incidenti mancati.
• Numero di incidenti che richiedono un intervento.
• Numero di incidenti ripetuti.
• Il tempo di riparazione.
• Numero di incidenti che hanno portato a violazioni.

Inoltre, gli obiettivi di risposta agli incidenti potrebbero includere aree che coinvolgono:

• Revisioni e aggiornamenti al piano di risposta agli incidenti di routine.
• La pianificazione e l’esecuzione di scenari di test di risposta agli incidenti.
• Le questioni di integrazione con le iniziative di sicurezza correlate, come la consapevolezza della sicurezza, i sistemi di rilevamento tecnico, la formazione dei dipendenti e i test di vulnerabilità e penetrazione.
• La segnalazione di eventi di sicurezza alla leadership esecutiva o a parti esterne.
• L’acquisto di tecnologie aggiuntive che possono fornire una maggiore visibilità e controllo della rete.

Piani di risposta agli incidenti vs. piani di continuità aziendale

Con l’obiettivo di mantenere le normali operazioni e minimizzare l’impatto di eventi imprevisti, la risposta agli incidenti potrebbe essere considerata parte del processo di continuità aziendale. Data la posta in gioco e le diverse variabili coinvolte, come le persone, le tecnologie e i processi aziendali, la risposta agli incidenti dovrebbe avere i massimi livelli di visibilità all’interno dell’organizzazione. Un IRP è dedicato agli incidenti e alle violazioni che hanno un impatto su reti e computer, applicazioni e database e relativi asset informativi. Pertanto, la maggior parte delle organizzazioni è meglio servita mantenendo il piano di risposta agli incidenti in un documento a sé stante – separato dal piano di continuità aziendale, ma a cui si fa riferimento. La cosa più importante è assicurarsi che il piano di risposta agli incidenti sia facilmente accessibile da tutti i membri del team quando è necessario.

Strumenti per la risposta agli incidenti

Ci sono numerosi strumenti e metodologie che possono essere utilizzati per aiutare la risposta agli incidenti e sono tipicamente classificati per prevenzione, rilevamento o funzionalità di risposta. Alcune organizzazioni seguono il ciclo OODA di derivazione militare per la risposta agli incidenti. Il ciclo OODA è una metodologia che incoraggia un’azienda a osservare, orientarsi, decidere e agire quando si verifica un incidente, tutte cose che gli strumenti di IR possono aiutare.

Per esempio, un’organizzazione può ottenere la visibilità necessaria in un incidente con l’analisi dei pacchetti, il monitoraggio delle risorse di sistema e le tecnologie di esame dell’integrità dei file. È possibile ottenere informazioni sulle minacce utilizzando indicatori di minacce in tempo reale e servizi di intelligence delle minacce. Inoltre, ci sono strumenti che possono fornire dettagli forensi come la posizione della fonte, le informazioni tecniche dell’incidente e i replay degli eventi. Ci sono anche strumenti che permettono a un’organizzazione di agire contro una minaccia, fermandone la diffusione o minimizzandone l’impatto sull’ambiente informatico.

Mentre la risposta agli incidenti è un processo, la tecnologia può essere utilizzata per automatizzare e semplificare specifiche funzioni di risposta agli incidenti per aiutare a minimizzare i tempi di rilevamento e gli errori di sistema. I fornitori di servizi focalizzati sullo sviluppo della tecnologia di risposta agli incidenti offrono tipicamente prodotti nelle seguenti categorie:

• consapevolezza e formazione dei dipendenti;
• gestione della sicurezza degli endpoint;
• firewall, prevenzione delle intrusioni e mitigazione del DoS;
• analisi forense;
• analisi del flusso di rete e del traffico;
• security incident and event management (SIEM); e
• gestione della vulnerabilità.

Gli strumenti di risposta agli incidenti forniscono alle organizzazioni sia la visibilità che il controllo. Forniscono anche ai professionisti le informazioni necessarie che devono sapere per gestire il comportamento anomalo. Infine, gli strumenti di risposta agli incidenti aiutano gli sforzi di risposta diretta – permettendo alle organizzazioni di minimizzare i rischi coinvolti.

La maggior parte dei prodotti tecnologici nel settore della risposta agli incidenti sono commerciali e richiedono un budget adeguato per il capitale e le spese operative. In alternativa, ci sono numerose offerte di software open source che potrebbero essere adattate per soddisfare i requisiti di una specifica organizzazione. Quando si sceglie l’approccio open source, è importante valutare quanto sforzo sarà necessario, quanto efficacemente sarà in grado di scalare e quanto efficace sarà a lungo termine.

Una volta che gli strumenti di risposta agli incidenti sono messi in atto, è importante garantire che ci sia abbastanza personale e competenze per mantenerli e aggiornarli. Avere le risorse necessarie è fondamentale per la progettazione iniziale e l’implementazione della tecnologia, così come l’amministrazione continua e la risoluzione dei problemi.

Infine, i dirigenti devono ricordare che gli strumenti di risposta agli incidenti non possono comprendere l’intero programma di risposta agli incidenti. Anche se gli strumenti e l’automazione possono giocare un ruolo importante, dovrebbero essere solo una componente dei requisiti generali di risposta agli incidenti.