Le aziende che si preparano intensamente a un attacco informatico hanno molto meno a che fare con le conseguenze dell'attacco. Avere un piano per la risposta agli incidenti (IR) fa molto.
La sicurezza informatica si concentra principalmente sulla prevenzione. E il modo migliore per farlo è imparare dagli incidenti. Tuttavia, capita ancora e ancora alle aziende di essere attaccate. In tal caso, si tratta di minimizzare i danni e imparare il più possibile dalle esperienze conosciute. Quindi qual è la "buona pratica"?
Si guadagna molto con un piano
Il team di sicurezza IT definisce un piano di reazione a un attacco informatico (Incident Response, IR) che deve entrare in vigore in caso di violazione della sicurezza o attacco. Le seguenti domande costituiscono la base per un piano IR:
- Quanto è grave l'incidente?
- Dove si trovano i sistemi critici e come isolarli?
- Come e con chi comunicare?
- Chi contattare e quali azioni intraprendere?
- E le copie di backup?
Un piano IR dovrebbe essere semplice e diretto in modo che sia facile da seguire in una situazione di alta pressione. Il manuale sugli incidenti SANS e la Guida alla risposta agli incidenti di Sophos può essere molto utile durante la creazione di un piano.
Richiedi aiuto dopo un attacco informatico
Prima di tentare di ripristinare computer e sistemi dopo un attacco o persino di negoziare un riscatto, le aziende dovrebbero chiedere aiuto. Rispondere agli attacchi richiede competenze specialistiche e la maggior parte delle organizzazioni non impiega specialisti di risposta agli incidenti.
Un piano include i dettagli di contatto dei fornitori di servizi IR. Se l'attacco è diretto contro server ed endpoint, ad esempio in un incidente ransomware, il provider di sicurezza dell'endpoint dovrebbe essere contattato per primo, soprattutto se offre un servizio IR. Probabilmente ha la telemetria dell'ambiente interessato e ha accesso a strumenti precaricati come EDR/XDR per aiutare rapidamente.
Espandi gli aiuti e collabora con le autorità
Si consiglia di contattare le forze dell'ordine locali. C'è un'alta probabilità che sia stato commesso un crimine con l'incidente e le autorità competenti possono disporre di risorse utili. Naturalmente, l'attacco informatico deve essere segnalato anche alla compagnia assicurativa per la sicurezza informatica, se esiste un'assicurazione. Se lavori con un fornitore di tecnologia o un integratore di sistemi, potrebbero essere in grado di aiutarti con il ripristino, ad esempio i backup.
Isolare rapidamente i sistemi e contenere gli incidenti
L'incidente dovrebbe essere isolato e contenuto nel miglior modo possibile. Ciò include lo spegnimento dell'alimentazione, la disconnessione di Internet e delle reti, l'isolamento basato su software, l'applicazione delle regole del firewall di negazione e l'arresto dei sistemi critici. Se è disponibile un controller di dominio funzionante, è importante conservarlo, se possibile, arrestando il server e/o disconnettendolo dalla rete. Anche i backup dovrebbero essere isolati e disconnessi dalla rete. Inoltre, tutte le password sospette compromesse devono essere modificate e gli account reimpostati.
Importante quando si utilizzano i servizi di risposta agli incidenti è la consulenza su come i sistemi e le connessioni interessati possono essere rimessi in funzione.
Importante: non pagare alcun riscatto
Mentre pagare il riscatto sembra una "facile" via d'uscita, incoraggia i criminali a commettere ulteriori crimini. Inoltre, i giorni delle richieste di riscatto moderate sono ormai lontani: il Sophos State of Ransomware Report 2021 mostra che le aziende di medie dimensioni hanno pagato un riscatto medio di 147.000 euro l'anno scorso. Lo studio di Sophos ha inoltre rilevato che solo il 65% dei dati crittografati poteva essere recuperato dopo il pagamento di un riscatto e che più di un terzo dei dati andava comunque perso.
Inoltre, la situazione legale relativa ai pagamenti del riscatto è diversa in tutto il mondo. È quindi consigliabile informarsi su eventuali leggi nel paese (o nei paesi) in cui opera un'organizzazione.
Conserva le prove esistenti
Troppo spesso, le vittime di un attacco informatico si preoccupano principalmente di ripristinare i propri sistemi e servizi il più rapidamente possibile. Nel processo, vengono perse molte informazioni che aiuterebbero a determinare la causa e a comprendere l'entità della violazione della sicurezza. Tuttavia, questi possono dire a un team di risposta agli incidenti con chi hanno a che fare e quali tattiche usa tipicamente quel gruppo. Potrebbe persino rivelare un ceppo completamente nuovo di ransomware e le tattiche, le tecniche e le procedure (TTP) utilizzate.
L'archiviazione di immagini di sistemi e macchine virtuali è tanto importante quanto l'archiviazione isolata del malware. In caso di revisione giudiziaria dei reclami assicurativi, le società possono anche presentare prove o dimostrare a un'agenzia governativa di non aver violato le norme sulla divulgazione.
La rappresaglia porta ancora più danni
In molti casi, più gruppi sono alla base di un attacco ransomware. Ad esempio, con le informazioni della richiesta di riscatto e i punti in comune nelle tattiche, tecniche e procedure (TTP), un team esperto di risposta agli incidenti può solitamente identificare rapidamente con chi ha a che fare. Il tentativo di ritorsione, il cosiddetto “hack back”, è fortemente sconsigliato. Probabilmente è illegale in primo luogo e può solo peggiorare la situazione.
Il ruolo dell'assicurazione informatica
In caso di attacco informatico coperto da un'assicurazione informatica, un perito sinistri della compagnia assicurativa si rivolgerà innanzitutto a un consulente esterno. Organizza le risorse interne ed esterne e coordina le attività fino alla risoluzione dell'incidente.
Quando si stipula un'assicurazione, vale la pena chiarire in anticipo quali attività e quali fornitori specializzati sono coperti in caso di attacco informatico. La maggior parte delle compagnie di assicurazione informatica accetta l'uso di fornitori di servizi esistenti.
Resta sempre in contatto
La comunicazione è spesso gravemente compromessa dagli attacchi informatici. I sistemi di posta elettronica possono essere offline, le copie elettroniche delle polizze assicurative o dei piani IR sono crittografate e l'attaccante potrebbe monitorare le comunicazioni. È quindi consigliabile avere a disposizione un mezzo di comunicazione alternativo, come un'applicazione di messaggistica istantanea. Con un canale separato, l'intero team e tutti gli altri soggetti coinvolti possono comunicare. I dati assicurativi, i piani IR e i contatti con gli specialisti IR dovrebbero essere tenuti separati e in forma fisica.
Maggiori informazioni su Sophos.com
A proposito di Sophos Sophos gode della fiducia di oltre 100 milioni di utenti in 150 paesi. Offriamo la migliore protezione contro le minacce informatiche complesse e la perdita di dati. Le nostre soluzioni di sicurezza complete sono facili da implementare, utilizzare e gestire. Offrono il costo totale di proprietà più basso del settore. Sophos offre soluzioni di crittografia pluripremiate, soluzioni di sicurezza per endpoint, reti, dispositivi mobili, e-mail e web. C'è anche il supporto dei SophosLabs, la nostra rete globale di centri di analisi proprietari. Le sedi di Sophos sono a Boston, USA e Oxford, UK.