Il processo di Incident Response per rispondere agli attacchi informatici

Viviamo in un'era in cui tutto è collegato e accessibile. Se, da un lato, i benefici di questa iper-connettività sono significativi, dall'altro, le informazioni private e i sistemi connessi a Internet possono essere facilmente attaccati da malintenzionati. L'incident Response, ovvero la capacità delle aziende di rispondere alle minacce informatiche in modo concreto, è, oggi, un elemento essenziale.

I cyber-attacchi, infatti, possono provocare perdite finanziarie oppure cause legali, o ancora distruggere le infrastrutture IT. É, quindi, indispensabile implementare le misure strategiche, operative e tecniche aziendali. Solo in questo modo, si possono preservare la riservatezza e l'integrità dei sistemi informativi e azzerare i rischi di malfunzionamento.

APT (Advanced Persistance Threat)

È impossibile prevenire tutti gli attacchi informatici, soprattutto quelli più sofisticati e prolungati. Essi sono conosciuti con l'acronimo APT (Advanced Persistence Threat). Tuttavia, con un inventario aggiornato delle risorse, l'identificazione delle informazioni sensibili e la gestione delle minacce informatiche, è possibile stabilire un processo di Incident Response appropriato per contrastare i rischi.

Il team per l'Incident Response

Il team deputato a prevenire, individuare e contrastare un incidente di sicurezza informatica è formato da diverse figure. Ciascuna deve essere capace di riconoscere le tracce lasciate dall'hacker, identificare i sistemi compromessi e bloccare la minaccia. Fra le attività proprie del team di Incident Response vi è:

  • L'analisi forense di host e reti;
  • L'esecuzione di tecniche di ingegneria inversa;
  • La creazione di un modello per fronteggiare la minaccia;
  • Il ripristino corretto dell'ambiente IT.

Ogni team per l'Incident Response prevede, quindi, la presenza di tecnici programmatori e ingegneri. Non può mancare il team leader: è lui, infatti, che stabilisce le strategie da seguire.

Le 6 fasi della gestione degli incidenti informatici

L'Incident Response è un processo che conta 6 fasi:

  • Preparazione;
  • Rilevamento e identificazione;
  • Contenimento;
  • Sradicamento e risanamento;
  • Ripristino;
  • Verifica post minaccia.

La preparazione è l'attività che precede l'attacco informatico. Procedure operative e Incident Response Plan vengono definiti in questa fase. Inoltre, l'Incident Response Team ha il compito di monitorare il corretto funzionamento dei sistemi aziendali.

Rilevamento e identificazione, invece, sono le prime azioni che si mettono in atto in caso di minaccia informatica. Durante il rilevamento si riconosce la presenza di un incidente di sicurezza informatica mentre con l'identificazione si eseguono tutte le indagini forensi per determinare tipologia e portata dell'attacco. L'identificazione, inoltre, include l'accertamento del numero di sistemi e account infetti, oltre che la preparazione di un piano d'azione per rispondere all'incidente.

Gli standard di gestione degli incidenti informatici raccomandano, quindi, una volta stabilita la tipologia di attacco, d'isolare i sistemi infetti subito dopo il rilevamento.

Sradicamento e ripristino, invece, sono attività che devono essere eseguite in maniera tempestiva e massiva immediatamente dopo l'isolamento. La ragione è semplice. É indispensabile impedire all'hacker di reagire con una contromossa. Blocco di domini e IP corrotti, cambio di password e reinstallazione dei sistemi compromessi, ad esempio, sono alcune delle azioni necessarie in queste fasi.

Una volta rimossa la minaccia, infine, si può procedere al ripristino.

Le attività del post minaccia

Le attività post minaccia consistono in verifiche e monitoraggi dell'ambiente IT. Esse, infatti, hanno la funzione di accertare che il sistema e la rete siano stati bonificati completamente. In questa fase si utilizzano strumenti di monitoraggio. Inoltre, è importante svolgere attività di prevenzione e audit.