Incident Response: cos’è e perché è fondamentale per ogni azienda digitale

Non passa ormai un giorno in cui non vi sia notizia di un’azienda vittima di un serio incidente informatico. Difendersi è importante, ma reagire è assolutamente fondamentale e per farlo esiste una vera e propria disciplina, capace di coniugare aspetti tecnici e organizzativi per mitigare gli effetti di qualsiasi episodio sfavorevole possa mettere a repentaglio la continuità di business e la reputazione generale. Si tratta naturalmente dell’Incident Response. Vediamo in cosa consiste, come si struttura un piano mirato a reagire agli incidenti informatici e chi sono gli attori protagonisti della sua implementazione nel contesto aziendale.

Cos’è e perché è importante

L’Incident Response è l’insieme di procedure necessario per reagire in maniera efficace ai principali incidenti che possono accadere nell’ambito della sicurezza informatica, minimizzando i danni e ripristinando la piena operatività di tutte le risorse aziendali nel minor tempo possibile. Tale approccio si struttura in azienda grazie ad un vero e proprio piano di incident response (IRP) gestito da un apposito team multidisciplinare, il CSIRT (Computer Security Incident Response Team), che contiene tutte le istruzioni operative per automatizzare il più possibile le procedure di emergenza da attivare in caso di incidente.

Da questa rapida premessa è semplice intuire come l’Incident Response non sia soltanto una questione tecnica, incentrata sulla pura componente IT. È infatti evidente che ciò che occorre sia un piano che consenta di prendere le decisioni migliori per il business nel minor tempo possibile, considerando anche il contesto caotico che può verificarsi in azienda quando si concretizza un incidente, che non aiuta né la lucidità né la comunicazione tra i team, se non ci fossero delle disposizioni ben chiare da seguire.

[Vuoi scoprire che cos’è la strategia di Incident Response, come si applica correttamente e che tipo di vantaggi offre in questa fase così complessa? Non perdere l’esclusivo evento streaming firmato NetWitness il prossimo 14 febbraio alle 11:00. On stage Stefano Maccaglia, EMEA Practice Manager Incident Response at NetWitness, an RSA Business e uno dei massimi esperti internazionali di cybersecurity, qui tutti i dettagli per partecipare]

Una strategia e un piano di Incident Response sono di fatto indispensabili per qualsiasi azienda moderna, a prescindere dalla sua dimensione, in quanto oggi le probabilità di rimanere vittima di un incidente sono sempre più elevate e le conseguenze possono avere degli effetti nefasti addirittura per le sorti dell’intero business. Nei casi più gravi, una mancata reazione agli incidenti potrebbe addirittura rivelarsi fatale per la sopravvivenza dell’azienda.

A volte, ed avviene spesso nel caso delle piccole realtà, basterebbero alcuni semplici accorgimenti, nemmeno così gravosi in termini di investimento. Molto spesso, anche per via della mancanza di un team interno dedicato alle questioni relative alla sicurezza informatica, gli small business costituiscono proprio i contesti laddove la possibilità di subire attacchi viene sottovalutata, con conseguenze spesso drammatiche. Vediamo dunque quali sono gli incidenti più diffusi e quali conseguenze possono causare per le sorti di un’organizzazione aziendale, a prescindere dalla sua dimensione.

Gli incidenti più diffusi e le loro conseguenze per le aziende

L’obiettivo di questo paragrafo non è quello di tracciare una hit parade dei cyberattacchi, piuttosto che delle cattive abitudini informatiche dei dipendenti, quanto piuttosto il voler enfatizzare una varietà di situazioni talmente ampia da rendere oggettivamente difficile sperare di poter risultare infallibili dal punto di vista della sicurezza informatica.
La superficie di attacco offerta dalle aziende è infatti sempre più ampia in funzione della loro crescente connettività ed interconnessione tra i sistemi IT e OT di cui dispone.

Tra gli attacchi alla sicurezza informatica di un’azienda più frequenti ritroviamo infatti:

• Malware: in particolare i famigerati Ransomware, in grado di infettare dati e dispositivi, criptandoli e rendendoli di fatto inutilizzabili, oltre a consentire il furto dei dati stessi. Solitamente un attacco ransomware è utilizzato dai cybercriminali per ricattare su più fronti le vittime, costringendole al pagamento di un riscatto per ricevere una chiave di sblocco, piuttosto che per non vedere i loro dati sensibili diffusi liberamente nella rete, piuttosto che venduti al miglior offerte sul dark web.
• Phising: un trucco vecchio come il mondo, eppure tuttora in grado di provocare seri danni, soprattutto perché consente di rubare i dati di accesso ai vari servizi, con la possibilità di accedervi in maniera del tutto indisturbata. A volte basta una semplice distrazione di un dipendente, un click sul link sbagliato, piuttosto che un login su un sito fake, per consentire ad un hacker nemmeno così scafato di rubare le credenziali utili ad entrare nei sistemi aziendali.
• DDoS (Distribute Denial of Service): si tratta di attacchi che utilizzano solitamente delle botnet, utilizzando un grande numero di dispositivi per sovraccaricare di richieste un bersaglio, rendendolo di fatto inutilizzabile. Anche in questo caso, la procedura può essere finalizzata ad una richiesta di riscatto.
• Intrusioni nella rete aziendale: gli hacker possono sfruttare le vulnerabilità del perimetro di sicurezza per penetrare all’interno dei sistemi informatici e superare tutte le difese a protezione della principale risorsa dell’azienda: i dati.
• Generici errori dei dipendenti, che non rientrano in quelli utili ad aprire le porte alle minacce di cui sopra, come lo smarrimento di un dispositivo portatile contenente informazioni e dati sensibili, piuttosto che la perdita accidentale dei dati dovuta ad una scarsa perizia con le operazioni da effettuare.

Tutto ciò senza entrare nel merito delle possibili perdite di dati dovute ad errori o guasti dei sistemi hardware-software, che rientrano più propriamente nell’ambito della data governance e dei relativi piani di backup e disaster recovery.

Quando la minaccia informatica da rischio si traduce in realtà, accade l’incidente e se non si è pronti a reagire con determinate procedure, capaci di adattarsi alla varietà di scenari possibili, oltre alle conseguenze dirette occorre mettere in preventivo anche quelle che possono verificarsi in seguito, come i danni derivanti da possibili fermi di produzione, i rischi di spionaggio industriale e la perdita di credibilità nei confronti dei clienti che hanno visto il loro dati sensibili finire nelle mani dei malintenzionati. Se il danno informatico spesso si ripara in fretta, il danno reputazionale rappresenta per un brand una ferita decisamente complicata da rimarginare.

I management devono pertanto entrare nell’ottica che la cibersecurity rappresenta ormai un elemento di valore per l’azienda e pertanto è opportuno dedicarvi le risorse necessarie per soddisfare tutte le misure utili a garantire le procedure tecniche ed organizzative utili a difendere i sistemi informatici e a rispondere con successo agli attacchi ricevuti.

Il Piano di Incident Response (IRP): le sei fasi operative

Per limitare il più possibile la durata e i danni derivanti da un incidente, come abbiamo preannunciato, si rende necessario l’Incident Response Plan (IRP), direttamente localizzabile quale piano di Incident Response. Come la definizione lascia chiaramente intendere, si tratta di una raccolta di istruzioni e procedure utili per affrontare una situazione di emergenza causata ad esempio dalle situazioni accennate nel paragrafo precedente: malware, phising, attacchi DDoS, intrusioni nella rete e tutte le possibili minacce derivanti dal fronte interno.

Il piano di Incident Response consente di rilevare, rispondere e limitare gli effetti di qualsiasi possibile attacco alla sicurezza informatica dell’azienda. Senza questo prezioso strumento, potrebbe diventare complesso operare una di queste tre operazioni fondamentali, e la strategia di risposta difficilmente potrebbe concludersi con un esito soddisfacente. Tali mansioni vengono solitamente svolte dall’IRT (Incident Response TeaM), qualora disponibile nel contesto del già citato CSIRT, piuttosto che del reparto IT nel caso delle aziende meno strutturate.

Un piano di incident response è convenzialmente articolato in sei fasi distinte:

• Preparation: prepara il team aziendale ad approcciare i possibili incidenti che potrebbero verificarsi, in modo da mantenere la calma e attivare i protocolli di sicurezza in maniera corretta;
• Identification: informa su come riconoscere l’incidente e classificarlo come tale;
• Containment: prevede tutte le procedure utili a limitare gli effetti dell’attacco informatico. Un esempio classico è costituito dall’isolamento della regione della rete colpita, in modo che l’effetto malevolo non si propaghi all’interno della rete aziendale, causando ulteriori danni;
• Eradication: consiste nelle operazioni utili a ripulire i sistemi incidentati dalle minacce che hanno innescato la criticità, dopo aver identificato con certezza la causa principale e le eventuali derive accessorie dell’attacco informatico;
• Recovery: dopo aver accertato la totale pulizia dalle infezioni, il piano indica come ripristinare i sistemi colpiti, rimettendoli in produzione nel caso fosse stato necessario disconnetterli o disattivarli in qualche modo;
• Follow up: quando tutto sembra finito, in realtà inizia la parte più importante, in cui diventa possibile fare tesoro di un’esperienza negativa. Attraverso una serie di report, l’Incident Response Team, o figura equivalente, deve descrivere nel dettaglio le dinamiche riscontrate nei cinque punti precedenti, ai fini di implementare una strategia di miglioramento continuo dei sistemi e delle procedure di sicurezza informatica dell’azienda.

[Vuoi scoprire che cos’è la strategia di Incident Response, come si applica correttamente e che tipo di vantaggi offre in questa fase così complessa? Non perdere l’esclusivo evento streaming firmato NetWitness il prossimo 14 febbraio alle 11:00. On stage Stefano Maccaglia, EMEA Practice Manager Incident Response at NetWitness, an RSA Business e uno dei massimi esperti internazionali di cybersecurity, qui tutti i dettagli per partecipare]

La formazione e la gestione dell’Incident Response Plan

Il piano di incident response rientra nel più ampio contesto dell’incident response management, che oltre agli aspetti esecutivi, relativi agli aspetti di information security, contempla anche tutti gli aspetti di gestione che l’IRT deve considerare, a cominciare dallo stabilire delle metriche utili a valutare la portata e gli effetti degli incidenti subiti.

Non si tratta quindi di attendere un incidente ed attivarsi di conseguenza. Un piano di incident response comporta un lavoro preparatorio intenso, dalla cui qualità dipende l’esito delle procedure attuali quando si verifica un vero incidente, quando è necessario agire nell’ordine dei minuti, se non dei secondi, per sventare ogni possibile attacco sul nascere.

Un corretto incident response management comporta pertanto una serie di procedure che vanno oltre l’aspetto puramente IT, per offrire una visione a 360 gradi sulla gestione end-to-end degli scenari di incidente. A livello di metriche, è indispensabile considerare:

• Il numero degli incidenti rilevati
• Il numero degli incidenti evitati
• Il numero degli incidenti andati a segno che hanno necessitato un intervento di risposta
• Le tempistiche relative alla neutralizzazione dell’incidente e il ripristino dei sistemi colpiti
• Numeriche relative ai danni subiti, come i dati compromessi o rubati, le ore di fermo produzione, ecc.

Sulla base di questi valori, concreti e misurabili, è quindi possibile definire degli obiettivi per quanto concerne l’attività che il team di incident response (IRT) sarà necessariamente chiamato a soddisfare:

• Regolare aggiornamento delle prassi e delle routine di incident response, con una strategia orientata al miglioramento continuo, ivi comprese tutte le operazioni di test e training del personale addetto
• Regolare reportistica utile ad aggiornare gli stakeholder tecnici e non tecnici (manager, azionisti, ecc.) sulle attività di incident response svolte dall’azienda
• Richiesta di eventuali risorse addizionali per implementare procedure di incident response più efficaci ed utili a tutelare in maniera più solida il business aziendale
• Collaborazione e integrazione continua con l’attività svolta dalle altre figure che si occupano di sicurezza informatica all’interno dell’azienda, con ovvio riferimento al team IT che si occupa dei dispositivi di rete, delle piattaforme hardware-software dedicate alla cibersecurity, piuttosto che agli ethical hacker addetti al vulnerability assessment e al penetration testing. La comunicazione tra le parti è fondamentale per segnalare eventuali vulnerabilità riscontrate nel contesto di un incidente e poterle risolvere affinché tali eventi non si ripetano in maniera sistematica.

Per la redazione dei piani di incident response esistono vari framework che possono essere presi come riferimento ed essere soprattutto utilizzati quale comoda traccia di riferimento. Tali strumenti comprendono moltissime indicazioni, tra cui:

• introduzione alla redazione del piano (struttura tipo)
• indicazioni per la formazione e il testing del piano
• definizione ruoli e responsabilità nell’attuazione del piano
• lista dei possibili incidenti e delle azioni da intraprendere
• monitoraggio dei sistemi di rete e di sicurezza
• indicazioni su rilevamento, risposta e contenimento dei possibili danni derivanti dall’attacco
• procedure da eseguire per una corretta rimozione delle minacce e ripristino dei sistemi infetti
• linee guida per la redazione della reportistica relativa all’incidente
• protocolli per le segnalazioni degli attacchi ricevuti ai soggetti competenti, all’interno e all’esterno dell’azienda, come nel caso delle forze dell’ordine

A livello operativo, gli strumenti necessari per una gestione corretta dell’incident response, quindi alla buona messa in opera del piano, sono in misura minima i seguenti:

• formazione del personale
• dotazione e configurazione di firewall e sistemi anti intrusione
• verifica della corretta gestione della sicurezza degli endpoint (eseguita da team dedicato)
• verifica del corretto monitoraggio delle vulnerabilità di sistema (eseguita da team dedicato)
• strumenti di analisi del traffico di dati e di analisi forense
• piattaforme SIEM (Security Incident and Event Management)

In particolare, questi ultimi si rivelano fondamentali per automatizzare gran parte delle procedure operative richieste dal piano di incident response.

I responsabili dell’Incident Response in azienda

Configurare un organigramma di responsabili rappresenta una tappa fondamentale dell’incident response management, anche se la sua costituzione può variare enormemente in funzione della dimensione dell’azienda, della varietà delle linee di business presenti al suo interno e dei rischi cui oggettivamente ogni realtà è soggetta a livello strategico.

Una centrale nucleare, in quanto infrastruttura critica, necessita di un’attenzione a riguardo certamente superiore rispetto ad una catena di ristoranti. Il che non vuol dire che quest’ultima debba sottovalutare i rischi derivanti da un’incidente. Un ransomware potrebbe ad esempio paralizzare i sistemi gestionali, rendendo di fatto impossibile il regolare svolgimento dell’attività delle varie filiali presenti sul territorio, oltre a rimediare una sonora figuraccia nei confronti dei clienti.

Va insomma costituito un team di incident response (IRT), in cui dovrebbero essere identificate almeno tre figure fondamentali:

• Incident response manager: il responsabile della gestione dell’incident response deve ovviamente predisporre, coordinare e supervisionare tutte le attività previste, a partire dalla redazione del piano. Tra le sue mansioni vi è anche quella di mettere in evidenza il ruolo dell’incident response nei confronti dei decisori aziendali, specificando le eventuali risorse che dovessero rendersi opportune per poter svolgere le operazioni in maniera più efficiente, mettendo bene in evidenti i relativi vantaggi per il business. Si tratta dunque di una figura chiave, capace di fare da ponte tra le parti tecniche e le parti gestionali dell’azienda, pertanto il profilo ideale a ricoprire questo incarico dovrebbe aver maturato una significativa esperienza sul campo in ruoli di evidente responsabilità;
• Analisti: almeno una figura del IRT dovrebbe occuparsi dell’analisi dei flussi di dati, per rilevare e identificare in maniera corretta gli incidenti, filtrando i falsi positivi, riconoscendo al tempo stesso i pericolosi falsi negativi che potrebbero verificarsi. La loro confidenza con l’analisi dei dati in tempo reale è fondamentale anche nel contesto dell’analisi forense, in modo da estrarre dall’incidente ogni informazione utile a migliorare le procedure di sicurezza e migliorare progressivamente l’efficienza del’IRP.
• Esperti di sicurezza informatica: rappresentano il braccio armato nei confronti delle minacce informatiche, coloro che devono sventarle e portare a termine con successo gli obiettivi prefissati dall’IRP. Il profilo ideale conosce alla perfezione la rete aziendale per poterne isolare i comparti interessati in caso di emergenza, così come ha memoria della storia relativa agli incidenti e degli attacchi sventati con successo.

Nel caso in cui un’azienda non sia sufficientemente strutturata o non veda giustificata l’adozione di un team permanente, può affiancare il reparto IT aziendale e l’incident response manager interno con servizi in outsourcing, a patto che godano di un dimostrabile know-how in materia e delle opportune certificazioni in merito agli strumenti utilizzati per adempiere alle loro funzioni.