Incident Response Team (IRT): cos’è e come si implementa in azienda

Le strategie di risposta agli incidenti di sicurezza informatica si basano sulla predisposizione e sull’attuazione di un piano di incident response, di cui abbiamo parlato in questo articolo. Per renderlo operativo le aziende devono dotarsi di un team di incident response (IRT), dotato di tutte le competenze necessarie sia dal punto di vista tecnico che dal punto di vista organizzativo.

In questo approfondimento cercheremo di capire le caratteristiche richieste ad un IRT e come possono fare le aziende per implementarne uno, considerando che non è del tutto semplice reperibile le professionalità necessarie, soprattutto per le realtà più piccole, che non possono tuttavia considerarsi esentate dai rischi di incidenti di sicurezza.

Incident Response Team: cos’è e a cosa serve in azienda

Il team di incident response (IRT) è un organismo che ha in capo la responsabilità dell’incident response management, occupandosi in maniera diretta di tutte le operazioni necessarie per rilevare, contenere e risolvere gli incidenti di sicurezza che possono colpire i sistemi informatici dell’azienda.

Le aziende ricorrono sempre più di frequente alla formazione di un Incident Response Team, in quanto le sue mansioni consentono di rafforzare il comparto della sicurezza informatica ben più di quanto possano fare un generico reparto IT o gli specialisti di cybersecurity, che hanno come principale obiettivo quello di difendere il perimetro di sicurezza aziendale e proteggere i sistemi IT rispetto alle minacce interne.

Si tratta in ogni caso di organismi con cui l’IRT è comunque tenuto a mantenere una costante collaborazione anche perché, come vedremo, diverse mansioni, soprattutto quelle relative al monitoraggio, tendono inevitabilmente a sovrapporsi durante le fasi operative. I report che l’IRT è tenuto a redigere a seguito di un incidente contengono inoltre tutte le informazioni utili per rafforzare le difese informatiche.

Nel primo semestre del 2021 si sono verificati nei confronti delle aziende un numero di cyberattacchi superiore rispetto a quelli riscontrati in tutto il 2020 ed ogni giorno abbiamo notizie di realtà anche molto importanti che subiscono incidenti tutt’altro che trascurabili in fatto di sicurezza informatica.

In un contesto in cui il cybercrimine pare dilagare quasi indisturbato, erigere una potente barriera difensiva non è più sufficiente, bisogna essere consapevoli che l’attacco prima o poi può avere successo, causando un incidente rispetto al quale è necessario reagire nel minor tempo possibile, per minimizzare i danni, limitare i disservizi ed evitare, se possibile, i fermi di produzione.

Prima di entrare nei dettagli relativi alla struttura e alla formazione di un IRT, vediamo in particolare in cosa consiste il ruolo dell’incident responder e quali sono le competenze necessarie per avvicinarsi oggi a questa professione emergente, tra le più richieste nell’ambito della cybersecurity.

Il ruolo dell’incident responder

Per le ragioni enunciate in sede di premessa, l’incident responder sta assumendo un ruolo chiave all’interno della filiera di sicurezza aziendale. Il suo compito è quello di garantire un comportamento reattivo nei confronti di tutti gli incidenti di sicurezza che possono verificarsi nel contesto aziendale.

In particolare, il suo ruolo prevede almeno lo svolgimento delle seguenti mansioni, molte delle quali rientrano nelle sei fasi del piano di incident response (inserire imbound link pillar specifico):

• Monitoraggio dei sistemi informatici e delle reti aziendali, in collaborazione con il reparto IT e/o i sistemisti di rete;
• Svolgimento di vulnerability assessment e penetration test, utili a rilevare eventuali vulnerabilità;
• Identificare e analizzare ogni possibile falla di sicurezza o sospetto di intrusione;
• Audit di sicurezza e analisi dei rischi della rete;
• Analisi forense delle minacce, con reverse engineering degli applicativi utilizzati dagli hacker per effettuare le intrusioni;
• Definire i protocolli di comunicazione interni tra i team coinvolti nella sicurezza informatica;
• Definire i protocolli di comunicazione con le forze dell’ordine in caso di incidente;
• Contribuire a creare una cultura della sicurezza aziendale attraverso la proposta di programmi di formazione continua per gli specialisti e i dipendenti;
• Creare i report relativi agli incidenti, con l’obiettivo di comunicare le dinamiche e gli effetti degli stessi ad un pubblico generalista;
• Creare i report tecnici per migliorare i sistemi di sicurezza informatica, sia a livello hardware (firewall, gateway, ecc.) che a livello software (piattaforme di protezione, SIEM, ecc.);
• Garantire la corretta applicazione delle procedure previste dall’IRP (Incident Response Plan);
• Definire i protocolli relativi al testing dei sistemi di sicurezza, anche nei confronti delle minacce interne, grazie a sistemi di verifica degli endpoint e delle procedure di autenticazione utilizzate, sia per assicurarsi che dispongano di standard di sicurezza adeguati, sia per effettuare una corretta manutenzione, utile ad esempio ad epurare gli account in disuso, che potrebbero essere sfruttati dagli hacker per le intrusioni.

Anche se l’agenda dell’incident responder appare piuttosto densa di impegni, abbiamo sintetizzato soltanto alcune delle mansioni che sarebbe chiamato a svolgere. In termini realistici, è piuttosto improbabile pretendere che allo stato attuale tutte le aziende possano disporre di team di incident response sufficientemente ampi per svolgere nel dettaglio tutte queste operazioni, ma oggi diventa sempre più importante cercare di soddisfare queste esigenze in termini di sicurezza.

È dunque indispensabile predisporre una corretta analisi dei rischi, anche per capire qual è il valore della sicurezza informatica nell’ambito di ogni business, in modo da corrispondere investimenti adeguati. Come vedremo, le possibilità di implementare un incident response team in azienda sono molte.

Le competenze dell’incident responder

Per soddisfare le mansioni descritte nel precedente paragrafo, l’incident responder deve essere dotato di un quadro ben definito di competenze tecniche. Sostanzialmente la sua formazione prevede una base generalista nella conoscenza dei sistemi informatici e dei principali sistemi di sicurezza, dei linguaggi di programmazione più diffusi nell’ambito delle applicazioni di cybersecurity e una solida competenza in fatto di reti e protocolli.

L’incident responder può provenire da varie specializzazioni, che vanno dall’analista, in grado di occuparsi del triage e dell’analisi forense, piuttosto che gli esperti di sistemi di sicurezza informatica, indispensabili per ripristinare gli apparati coinvolti negli incidenti.

Uno dei profili di incident responder più richiesti corrisponde all’ethical hacker: la nemesi dell’hacker criminale. Tali figure sono in grado di svolgere penetration test ed utilizzare le tecnologie (scanner, sniffer, ecc.) indispensabili per rilevare e identificare le vulnerabilità presenti all’interno dei sistemi. Disporre di competenze analoghe a quelle degli attaccanti consente ai responder di anticiparne le mosse e di cercare di comprendere le logiche e le tecniche impiegate per portare a segno l’attacco.

Al di là della sua specializzazione tecnica, un incident responder deve essere soprattutto una figura capace di adattarsi a collaborare all’interno di realtà estremamente eterogenee, dove la standardizzazione delle procedure è spesso un miraggio, soprattutto quando si intraprende un nuovo progetto. Un altro aspetto fondamentale è l’attitudine al problem solving, a non dare mai nulla per scontato e a farsi trovare pronto in ogni circostanza per affrontare una minaccia del tutto inedita.

Gli aspetti che abbiamo appena precisato sono spesso importanti quanto le competenze tecniche. Se queste ultime possono essere imparate, le soft skills corrispondono più spesso a qualità innate e per fare l’incident responder occorre soprattutto una grandissima passione nei confronti di questo lavoro, perché non esistono, come si suol dire, i sabati e le domeniche. Anzi, le festività, qualora corrispondessero ad un abbassamento della guardia, diventerebbero la situazione ideale per un attacco cybercriminale.

Se l’ambito della cybersicurezza presuppone in generale un livello di attenzione molto elevato, l’incident responder non può permettersi la minima distrazione, in quanto nel caso in cui si verifichi un incidente, ogni minuto perso può rivelarsi addirittura fatale per le sorti del business, o causare comunque ingenti danni in termini economici e reputazionali.

Come si crea un team di incident response in azienda

Dopo aver visto in cosa consistono le operazioni di risposta all’incidente e le competenze richieste all’incident responder, abbiamo tutti gli elementi per comprendere l’azione del team di incident response. L’IRT è una squadra dotata di qualità ed esperienze cross disciplinari, che spaziano dall’ambito manageriale fino a quello puramente tecnico.

È chiaro che anche il miglior piano di incident response può rivelarsi inadeguato in assenza del personale in grado di metterlo in azione in maniera efficace. Il ruolo del team di incident response va infatti oltre la semplice esecuzione dell’IRP, in quanto come abbiamo visto comprende anche le azioni utili a monitorare ed accertarsi che i sistemi risultino sicuri e privi di vulnerabilità nel contesto della routine quotidiana, collaborando con le altre figure IT predisposte a responsabilità nell’ambito della sicurezza aziendale.

Un incident response team dovrebbe essere composto da un responsabile, con il compito di coordinare almeno altre due figure: un analista e un esperto in sistemi di sicurezza. Logicamente il numero degli incident responder deve rivelarsi adeguato in funzione della superficie di attacco dei sistemi ritenuti a rischio di incidenti. A seconda delle competenze e dei modelli organizzativi, un IRT può comprendere anche il CISO, piuttosto che il responsabile IT.

Le aziende particolarmente sensibili a livello reputazionale possono inoltre predisporre il supporto da parte di un esperto in pubbliche relazioni, capace di veicolare in maniera strategicamente accorta le informazioni ai media, piuttosto che ai clienti e agli investitori, nel caso in cui dovesse verificarsi un incidente. Tale azione consente spesso di controllare l’informazione e mitigare i possibili effetti negativi sull’immagine dell’azienda.

A seconda della tipologia e della dimensione aziendale, ad esempio in funzione del numero di sedi attive presso località distinte è possibile adottare vari modelli di IRT:

• Centralizzato: molto comune quando le aziende dispongono di un’unica sede o non presentano particolari criticità all’analisi dei rischi. Un singolo IRT si occupa in toto dell’intera infrastruttura IT.
• Distribuito: molto frequente nelle grandi organizzazioni, prevede la presenza di più team, chiamati a gestire uno specifico comparto fisico o logico dell’infrastruttura IT. Un caso ricorrente è costituito da un IRT per ogni sede aziendale, coordinato da un’unità centrale in remoto.

Sulla base delle esigenze specifiche è possibile prevedere un IRT composto da personal full time e part time, o addirittura di esternalizzare in toto il servizio di incident response, affidandolo ad aziende che dispongono di personale e competenze per supportare simultaneamente più aziende.

La condizione ideale, che si disponga di un IRT internalizzato o in outsourcing, consiste nel predisporre un team capace di garantire un’operatività 24/7, a tutto vantaggio di quella rapidità di intervento che si rivela sempre più spesso decisiva in caso di incidente.