Incident Response Plan, uno strumento fondamentale per la sicurezza aziendale. Vediamo insieme, in questa preziosa guida, quali sono i sei step principali e come attuarli per una perfetta azione di incidenti response (qui per saperne di più).
L’attuale scenario relativo alla sicurezza informatica ci dice in maniera piuttosto spietata che le aziende sono ormai quotidianamente oggetto di attacchi informatici. La diffusione a macchia d’olio delle minacce provenienti dalla rete mette sotto costante pressione il perimetro di sicurezza aziendale, oltre a tutti i possibili rischi presenti sul fronte interno, dove la condotta scriteriata di un dipendente può creare enormi pericoli alla sicurezza dei sistemi informatici, causando perdite di dati e interruzioni di servizio.
Il livello di rischio presente nell’attuale scenario di cybersicurezza è tale che difendersi non è purtroppo sufficiente. Troppo spesso leggiamo e siamo messi al corrente del fatto che aziende anche molto ben organizzate dal punto di vista della sicurezza informatica rimangono vittima di attacchi, per le ragioni più disparate. Occorre quindi associare alla componente proattiva della difesa, le azioni reattive della risposta e del controattacco ai possibili incidenti che possono verificarsi, senza dare nulla per scontato.
È necessaria una coscienza critica e consapevole del fatto che un attacco può verificarsi in qualsiasi momento. Tale sentimento dovrebbe essere diffuso dai C-Level ai semplici dipendenti, quale risultano di un’azione di formazione continua in materia di sicurezza informatica nelle varie linee di business aziendali.
Lo strumento fondamentale per rendere operativa una governance di questo genere è il piano di incident response (IRP), che rientra nel più ampio contesto dell’incident response management. Vediamo in cosa consiste e quali sono le fasi attuative che lo strutturano.
Cos’è il piano di incident response (IRP)
Una definizione semplice del piano di incident response (IRP) si esprime nella capacità di rilevare, preparare e rispondere agli incidenti di sicurezza informatica, ovvero gli eventi capaci di compromettere l’integrità e la disponibilità dei dati presenti all’interno di qualsiasi sistema aziendale.
Tale definizione ci lascia sin da subito intuire come un piano di questo genere non possa meccanicamente tradursi in una serie di regole rigide. È più lecito attendersi una serie di protocolli e linee guida che consentano di azionare dei meccanismi reattivi, sulla base dei vari scenari di criticità che potrebbero verificarsi, in qualsiasi momento, su qualsiasi sistema informatico presente in azienda.
Prendendo spunto da almeno uno dei vari framework disponibili, l’incident response team (IRT) deve mettere a punto un IRP che tenga necessariamente conto della realtà specifica, analizzando tutti gli aspetti che incidono in termini di sicurezza, in conformità con le policy in materia di protezione dei dati e tutti gli aspetti legali e normativi che l’azienda è tenuta a rispettare.
Le sei fasi attuative del piano di incident response
L’attuazione del piano di incident response può essere strutturata in molti modi. Convenzionalmente si riconoscono sei fasi principali, ma è frequente vederle accorpate in quattro voci. La sostanza tuttavia non cambia. Al di là di stabilire un parametro numerico, è essenziale comprendere la logica end-to-end che tale percorso operativo prevede, dalla predisposizione all’attacco fino alle procedure da mettere in azione dopo che l’incidente stesso è stato neutralizzato con successo, per accrescere il know-how interno sulla sicurezza e rendere l’azienda sempre più resiliente.
Incident Response Plan fase 1 – Preparation
La preparazione consiste nell’insieme di attività utili a creare le condizioni ottimali per la gestione degli incidenti di sicurezza, a partire dalle operazioni necessarie per cercare di prevenirli. Un corretto percorso preparatorio inizia dalla verifica dei sistemi di sicurezza presenti in azienda e del loro monitoraggio attivo, svolto in collaborazione con il team IT responsabile per queste operazioni. In tale contesto i test di vulnerabilità sono particolarmente benvenuti per stilare un checkup della situazione complessiva ed intervenire qualora si manifestassero delle lacune evidenti in termini di sicurezza nei confronti dei possibili attacchi provenienti dalla rete e dalle minacce interne.
Incident Response Plan fase 2 – Identification e Scoping
Il rilevamento degli incidenti è un processo costituito da vari fattori, nel loro insieme fondamentali per riconoscere quello che effettivamente è un incidente di sicurezza e classificarlo come tale, filtrando i falsi positivi che i sistemi di protezione potrebbero generare. Affinché tale fase attuativa dell’IRP possa produrre risultati soddisfacenti è opportuno avere una buona visibilità di tutti i dispositivi presenti nelle varie aree della rete aziendale. Se si sottovaluta questo aspetto, il rischio, in seguito, è di non riuscire ad eradicare in maniera totale un’eventuale infezione, che potrebbe rimanere latente per un certo periodo e causare un ulteriore incidente.
Lo scoping è invece un atteggiamento piuttosto raffinato che cerca di comprendere gli scopi, le intenzioni dell’attaccante in modo da diagnosticare in maniera corretta la sua azione malevole e cercare di prevedere il propagarsi dell’attacco stesso. Lo scoping entra ad esempio nel merito di capire come è avvenuto il primo attacco alla rete, piuttosto che il comportamento che l’hacker ha tenuto una volta che la sua penetrazione ha avuto successo, a cominciare dagli strumenti che ha impiegato.
Incident Response Plan fase 3 – Containment
Il contenimento dell’incidente coincide con quanto il termine stesso lascia intuitivamente presagire. Sulla base delle informazioni emerse durante il rilevamento dell’incidente, il team di incident response (IRT) attua una serie di operazioni finalizzate a contenere gli effetti malevoli dell’attacco in attesa di sradicare totalmente la minaccia. Si tratta in qualche modo di tamponare l’emorragia, per far guadagnare tempo e dare modo all’IRT di intervenire in maniera decisiva per ripulire i sistemi da qualsiasi possibile infezione in atto.
Incident Response Plan fase 4 – Eradication
Dopo aver contenuto gli effetti dell’attacco, è possibile avere una situazione relativamente stabile, che consente di rimuovere la minaccia in maniera sufficientemente lucida e consapevole. Lo sradicamento consiste nell’eliminare la presenza dell’attaccante in maniera tempestiva, affinché non abbia modo di reagire in tempo utile.
Se le fasi precedenti sono state eseguite con sufficiente perizia, un corretto sradicamento dell’attacco può consistere semplicemente nel blocco degli IP da cui proviene l’attacco, con il cambio password dei dispositivi e delle applicazioni compromesse, prima di iniziare le vere e proprie operazioni di ripristino. Anche dopo aver sradicato la minaccia è essenziale continuare a monitorare i sistemi coinvolti, allargando l’indagine ai sistemi adiacenti, affinché non siano rimaste in circolo delle minacce latenti, potenziali cavalli di Troia per successivi attacchi.
Incident Response Plan fase 5 – Recovery
Il recupero dei sistemi completa le prime operazioni di ripristino intraprese durante lo sradicamento e la riparazione dell’incidente di sicurezza. Si tratta naturalmente di rendere pienamente operativa l’infrastruttura di rete, riattivando eventualmente quei dispositivi che erano stati disattivati per consentire il contenimento dell’attacco, in modo da poter ripristinare la totalità dei servizi attivi sui sistemi informatici dell’azienda. In questa fase l’IRT deve seguire le disposizioni dei piani di backup e disaster recovery che l’azienda ha implementato nel contesto della strategia di data protection ed interfacciarsi con i responsabili della loro attuazione.
Si tratta quindi di una procedura la cui durata è estremamente variabile, che può spaziare dai pochi minuti nel caso di un incidente di scarsa rilevanza a diversi mesi nel caso in cui l’incidente abbia seriamente compromesso parti dell’infrastruttura IT. In tal caso non è sufficiente ripristinare “dov’era com’era” ma si rende necessaria un’azione di rinforzo, onde evitare di ricadere puntualmente nella stessa situazione. Nel contesto di una fase di recovery dell’IRP le operazioni più comuni sono il miglioramento del sistema di autenticazione e di policy delle password, qualora l’attacco fosse entrato attraverso una vulnerabilità in quell’ambito, piuttosto che un generico rinforzo delle infrastrutture di rete e dei loro sistemi di protezione.
Incident Response Plan fase 6 – Follow up
Nel day after dell’incidente di sicurezza iniziano ovviamente gli interrogativi e i necessari processi utili a conoscere in senso ampio le cause e gli effetti delle azioni che hanno generato danni più o meno ingenti al business aziendale. Al di là di individuare le eventuali responsabilità, la fase di follow up è fondamentale per via della reportistica che è tenuta a generare. Si parte da un’ennesima verifica di integrità post ripristino dei sistemi, per arrivare a capire se le procedure previste dal piano siano state eseguite in maniera corretta. Qualora il piano fosse stato rispettato ma con scarso successo in termini di risposta all’incidente, è opportuno interrogarsi come migliorare il piano stesso.
Il follow up dell’incidente è dunque quella fase in cui si indaga e si riflette con la dovuta calma e razionalità, nell’ottica di una strategia di miglioramento continuo della gestione di risposta all’incidente di sicurezza. L’IRT deve quindi riferire nel dettaglio e sottoporre all’attenzione dei decisori aziendali le misure necessarie per potenziare i sistemi di sicurezza, per ridurre le probabilità di incidenti successivi e migliorare in ogni caso le fasi di risposta.
Il triage e gli strumenti a disposizione dell’incident response team (IRT)
A prescindere che il team di incident response (IRT) sia formato da personale interno, affidato in outsourcing, piuttosto che essere costituito in maniera ibrida è opportuno prevedere una dotazione strumentale capace di garantire almeno l’attività analitica sugli endpoint, sulla rete e sui log operativi dei vari sistemi e applicazioni attivi sui sistemi informatici dell’azienda.
L’utilizzo combinato di tali strumenti analitici costituisce la base del cosiddetto triage: l’analisi combinata di endpoint, rete e log che dà luogo ad una costante azione diagnostica dei sistemi aziendali.
Per quanto concerne l’analisi degli endpoint, esistono vari sistemi cui è possibile fare ricorso, talvolta integrati nelle principali piattaforme di sicurezza, come gli EDR (Endpoint Detection and Response). Si tratta di strumenti di analisi forense, la cui azione è molto simile a quella dei tradizionali antivirus, che effettuano una scansione pianificata sui dispositivi ai fini di rilevare le potenzialità minacce ed approfondire l’azione analisi nel caso in cui emerga il sospetto di un attacco o di una palese anomalia presente in termini di sicurezza.
Le applicazioni presenti sugli endpoint, così come sugli altri dispositivi che fanno parte dell’infrastruttura di rete (switch, firewall, ecc.) producono sistematicamente dei log, che possono essere analizzati grazie a strumenti di Big Data & Analytics, sfruttando le capacità di analisi descrittiva e predittiva offerte dalle tecnologie emergenti, in particolare grazie ad intelligenza artificiale e machine learning. Il tracciamento e l’analisi dei log deve essere condotta combinando le indicazioni contenute nella totalità dei file generati dai sistemi, in modo da identificare quelle situazioni che potrebbero facilmente sfuggire alla semplice lettura dei log prodotto da un singolo dispositivo.
Per quanto riguarda l’analisi di rete è invece frequente l’impiego dei classici sniffer, che gli stessi hacker utilizzano per intercettare ed acquisire illegalmente i pacchetti contenuti all’interno delle varie comunicazioni. Si tratta in buona sostanza di condurre un’azione di controspionaggio, con simulazioni di attacco utili per evidenziare le eventuali vulnerabilità presenti nell’infrastruttura di rete.
L’analisi di rete è oggi fondamentale sia per prevenire che per rispondere a un incidente di sicurezza, considerata la complessità e la profondità che le infrastrutture IT e OT delle aziende hanno ormai raggiunto. Si tratta di una dinamica che porta verso un ritmo di crescita vertiginoso di sistemi e applicazioni, che oltre ad aumentare l’efficienza e la produttività, presenta l’effetto collaterale dato dall’aumento della superficie di attacco che i malintenzionati possono sfruttare in qualsiasi momento.
I CISO e i responsabili degli incident response team devono confrontarsi ogni giorno con uno scenario di pressione costante, ma fortunatamente possono contare su buone prassi organizzative e tecnologie adeguate per poter rispondere con successo a tutti gli attacchi, prevenendo o mitigando gli effetti degli incidenti di sicurezza.
