Incident Response; ovvero, il grande lavoro alchemico di trasformazione e risoluzione

L'Incident Response è il processo che un'organizzazione segue per identificare, contenere e risolvere un incidente di sicurezza informatica. Si tratta di una serie di procedure e attività pianificate che mirano a limitare i danni causati da un attacco o una violazione dei sistemi informatici, per minimizzare l'impatto sull'azienda e ripristinare le normali operazioni nel minor tempo possibile e migliorare la sicurezza futura analizzando gli incidenti e imparando da essi.

Un incidente di sicurezza può includere vari tipi di eventi, come attacchi informatici (ad esempio, malware, ransomware, phishing), violazioni di dati, accessi non autorizzati, o persino guasti hardware che mettono a rischio l'integrità dei dati o la disponibilità dei sistemi.

Le fasi principali di un Incident Response

Il processo di Incident Response si articola generalmente in sei fasi principali:

1) Preparazione: è la fase in cui l'organizzazione si prepara ad affrontare eventuali incidenti creando un piano di risposta, definendo i ruoli e formando il team incaricato. Questa fase include anche l'implementazione di misure di sicurezza preventive.

Tex:

Nelle misure preventive, oltre quelle classiche che sono : firewall, IDS, etc... aggiungo anche:

• una buona logica di backup (vedi il mio post allegato alla presente)

• realizzazione di VPN per i collegamenti remoti con i colleghi che fanno smartworking. Esporre servizi come RDP (remote desktop protocol) dietro una VPN !

  
  

inoltre, la mia "filosofia di fondo" è quella di tenere il più possibile separate le reti, questo per contenere i danni, pertanto, caldeggio:

• la creazione di una DMZ, cioè di una rete nettamente separate tra il server che gestisce i servizi su Web ed i server interni. Non USATE LO STESSO SERVER di produzione per il Web ! I due devono essere NETTAMENTE separati, con la realizzazione di una DMZ, cioè di una rete distinta per il server Web (personalmente, caldeggio la creazione del sito presso le Web Farm specializzate, per esempio Aruba, cosi i problemi di firewalling sono loro e le reti sono nettamente separate).

• separazione delle reti: la rete di produzione deve essere separata fisicamente dalla extranet, cioè dalla rete che fornisce servizi di access point ad estranei o quella collegata alle telecamere;

• se l'azienda non ha una grossa realtà di dipendenti esterni che devono accedere (obbligatoriamente) alla rete interna, propongo sempre l'uso di cooperative working (come Google Workshop o Office 365) e servizi Web (per scopi aziendali) osservando le regole esposte sopra.

  
  

Aggiungo:

• password forti: non inferiori agli 8 caratteri composti da maiuscole, minuscole, numeri, e caratteri speciali

• pentesting (i test di prenetazione) qualora la rete del sistema informativo debba essere esposta all'esterno per lo smatworking. Bisogna testare la rete VPN.

• cambiare la password di default degli IoT (telecamere, o altri sistemi connessi ad internet) e degli hot-spot. Introdurre una password complessa di almeno 12 caratteri, tenendo a mente le regole della composizione standard: cioè Maiuscole, minuscole, numeri e caratteri numerici. Per esempio: Pimperepette$$244 (vedi anche il mio post: Come fanno gli hacker a rubare le password? Quale può essere la password più potente? Come si può generare una password impenetrabile?)

2) Identificazione: il momento in cui viene rilevato l'incidente. Questo può avvenire tramite sistemi di monitoraggio della rete, alert di sicurezza, o segnalazioni di utenti. È essenziale per confermare che l'evento è effettivamente un incidente di sicurezza.

Tex:

Se c'è l'eventualità di una divulgazione di dati personali (violazione della privacy, come nel caso del doxware) è imperativo la comunicazione dell'incidente al sito Garante della Privacy. Inoltre la trasparenza è un valore etico: non sottovalutate il fatto di comunicare l'incidente informatico qualora abbia dimensioni incontenibili... la vostra onestà sarà sempre ripagata (e giustificabile).

3) Contenimento: una volta identificato l'incidente, il team lavora per limitare i danni immediati. Il contenimento può essere temporaneo o a lungo termine e implica azioni come isolare i sistemi compromessi o bloccare determinati accessi.

Tex:

La prima azione è sicuramente quello di isolare i sistemi. Ottimo sarebbe creare a monte delle reti virtuali collegate a dei router con classe di indirizzamento diverso e comunicanti solo per lo scopo per cui sono state realizzate. Inoltre, sono per il downsizing: cioè server diversi per scopi diversi; cioè un server per i clienti, un altro per il magazzino etc... (questo per limitare il danno, e poi se il server dei clienti è fermo questa soluzione non inficia il server del magazzino etc...). La prima azione tuttavia è sempre quella di spegnere gli switch di piano ! Poi bisognerebbe, agire accendendo una macchina alla volta (scollegato dalla rete) ed analizzarla.

4) Eradicazione: in questa fase, il team elimina le cause dell'incidente, ad esempio rimuovendo il malware o correggendo vulnerabilità sfruttate durante l'attacco.

Questa azione si fa sulla macchina isolata dalla rete. La prima azione è sempre staccare il client dal resto della rete prima di accenderla per l'analisi.

5) Ripristino: dopo aver eradicato la minaccia, si lavora per riportare i sistemi alla normale operatività in modo sicuro, assicurandosi che l'incidente non possa ripetersi. Il ripristino può includere il recupero dei dati e l'implementazione di patch di sicurezza.

Tex:

Il rispristino è un fase molto importante. Sottende tuttavia una logica solida dei backup. (vedi il mio post allegato);

6) Lezioni apprese: al termine dell’incidente, il team analizza l'evento per capire cosa è andato bene e cosa può essere migliorato nel processo di risposta. Questo serve a rafforzare il piano di Incident Response e a prevenire futuri incidenti.

Tex:

Si sottovaluta questo aspetto ma è importantissimo, serve per capire dove "abbiamo sbagliato per non farlo più ? Quale link ho cliccato etc..." Inoltre, è essenziale la FORMAZIONE del personale alla prevenzione degli attacchi (il firewall più efficace è la preparazione preventiva ed è l'aspetto umano). Come ? Assumendo degli ethical hacker per testare il know-how del personale ed organizzare dei corsi.

L’Incident Response è una parte essenziale di una strategia di sicurezza informatica solida e può fare la differenza tra una violazione contenuta e una crisi aziendale; da non sottovalutare, inoltre, la stipula con un'assicurazione dei danni creati da cyber crime (d'altra parte l'assicurazione potrà contenere i danni creati).

#sicurezza #nis