Un piano di risposta agli incidenti può aiutare le aziende a mantenere il controllo della crisi in caso di attacco informatico. Sophos Labs e i team Sophos Managed Response e Rapid Response hanno sviluppato una guida con dieci passaggi cruciali.
Un attacco informatico è ora più probabile che mai. Studi di Sophos, come ad esempio "Lo stato del ransomware 2021" dimostrare che a livello internazionale il 37% delle aziende intervistate è affetto solo dal ransomware. Sebbene il ransomware sia forse la forma di danno più devastante degli ultimi anni, non è l'unico tipo di malware che può causare seri problemi alle aziende.
Strategia di risposta agli incidenti
Si consiglia pertanto alle organizzazioni e ai team IT di dotarsi sia di una sicurezza efficace sia di una strategia di risposta agli incidenti ben ponderata e collaudata. Un tale piano può non solo ridurre al minimo i costi successivi di un attacco informatico, ma anche stroncare molti altri problemi e persino interruzioni dell'attività sul nascere. I Sophos Labs hanno raccolto la loro esperienza insieme ai team di Sophos Managed Response e Sophos Rapid Response e stanno presentando i risultati nel Guida alla risposta agli incidenti disponibile.:
1. Determinare tutte le persone coinvolte e colpite
Non solo il team di sicurezza è responsabile e colpito dagli attacchi, ma molte altre persone all'interno dell'azienda. Dal livello dirigenziale ai capi dipartimento fino al dipartimento legale o risorse umane, è importante identificare le persone chiave e coinvolgerle attivamente nella pianificazione degli incidenti. A questo punto vanno considerate anche opzioni di comunicazione alternative, poiché un guasto informatico può interessare anche i classici canali di comunicazione.
2. Identificare le risorse critiche
Per sviluppare una strategia di protezione ed essere in grado di determinare l'entità e le conseguenze di un attacco in caso di emergenza, è necessario determinare le risorse che hanno la massima priorità per l'azienda. Questo è l'unico modo per ripristinare i sistemi più critici in modo mirato e con alta priorità in caso di emergenza.
3. Esercitati e gioca attraverso scenari di emergenza
Le esercitazioni assicurano che in caso di attacco informatico si possa agire in modo coordinato, rapido e mirato. Un piano è particolarmente valido quando tutte le persone coinvolte sanno esattamente cosa devono fare immediatamente in ogni momento, invece di cercare prima istruzioni o persino provare ad agire in modo intuitivo. Negli esercizi dovrebbero essere definiti anche diversi scenari di attacco.
4. Fornire strumenti di sicurezza
Una parte molto importante della protezione e quindi anche del piano di risposta agli incidenti sono le misure preventive. Ciò include anche soluzioni di sicurezza adeguate per gli endpoint, la rete, il server e il cloud, nonché per i dispositivi mobili e le e-mail. Un elevato grado di automazione è importante per gli strumenti, ad esempio attraverso l'uso dell'intelligenza artificiale, nonché una console di gestione e allarme trasparente e integrata al fine di rilevare potenziali attacchi il prima possibile e, idealmente, eliminarli automaticamente.
5. Garantire la massima trasparenza
Senza la visibilità di cui hanno bisogno su ciò che sta accadendo durante un attacco, le organizzazioni hanno difficoltà a rispondere in modo appropriato. I team IT e di sicurezza dovrebbero disporre degli strumenti per determinare la portata e l'impatto di un attacco, inclusa l'identificazione dei punti di ingresso e dei punti di persistenza degli aggressori.
6. Implementare il controllo degli accessi
Gli aggressori sfruttano i deboli controlli di accesso per sovvertire le difese e aumentare i propri privilegi. Sono quindi essenziali controlli di accesso efficaci. Ciò include, tra le altre cose, la fornitura di autenticazione multilivello, la limitazione dei diritti di amministratore al minor numero possibile di account. Per alcune aziende può avere senso creare un ulteriore concetto Zero Trust e implementarlo con soluzioni e servizi adeguati.
7. Utilizzo in strumenti di analisi
Oltre a garantire la necessaria trasparenza, gli strumenti che forniscono il contesto necessario durante un'indagine sono estremamente importanti. Questi includono strumenti di risposta agli incidenti come EDR (Endpoint Detection and Response) o XDR (Extended Detection and Response), con i quali è possibile cercare in tutto l'ambiente gli indicatori di compromissione (IOC) e gli indicatori di attacco (IOA).
8. Determinare le misure di risposta
Riconoscere un attacco in tempo utile è buono, ma solo metà della battaglia. Perché dopo la scoperta, l'obiettivo è limitare o eliminare l'attacco. I team IT e di sicurezza devono essere in grado di avviare una serie di azioni di risposta per fermare ed eliminare gli aggressori, a seconda del tipo di attacco e della gravità del potenziale danno.
9. Effettuare una formazione di sensibilizzazione
Tutti i dipendenti di un'azienda dovrebbero essere consapevoli dei rischi che le loro azioni possono comportare. Pertanto, la formazione è una parte importante di un piano di risposta agli incidenti o di prevenzione. Con gli strumenti di simulazione degli attacchi, è possibile simulare attacchi di phishing reali ai dipendenti senza alcun rischio per la sicurezza. A seconda del risultato, speciali corsi di formazione aiutano a sensibilizzare i dipendenti.
10. Servizi di sicurezza gestiti
Non tutte le aziende hanno le risorse per implementare un piano interno di risposta agli incidenti e, soprattutto, un team di risposta agli incidenti con esperti comprovati. I fornitori di servizi come i fornitori MDR (Managed Detection and Response) possono essere d'aiuto. Offrono caccia alle minacce, analisi e risposta agli incidenti 24 ore su 7, XNUMX giorni su XNUMX come servizio gestito. I servizi MDR non solo aiutano le organizzazioni a rispondere agli incidenti, ma riducono anche la probabilità di un incidente
In un incidente di sicurezza informatica, ogni secondo conta
"Ogni secondo conta in un incidente di sicurezza informatica e per la maggior parte delle aziende non si tratta di sapere se saranno colpite, ma di quando si verificherà l'attacco", spiega Michael Veit, esperto di sicurezza di Sophos. “Questa conoscenza non è nuova. Le aziende differiscono principalmente se implementano questa conoscenza con adeguate precauzioni o se corrono il rischio di mettere a repentaglio la loro esistenza. È un po' come allacciarsi le cinture in macchina: è molto improbabile che rimarrai illeso in un incidente senza cintura di sicurezza. Un piano di risposta agli incidenti ben preparato e ben ponderato che tutte le parti interessate in azienda possono implementare immediatamente può mitigare in modo significativo le conseguenze di un attacco informatico".
Maggiori informazioni su Sophos.com
A proposito di Sophos Sophos gode della fiducia di oltre 100 milioni di utenti in 150 paesi. Offriamo la migliore protezione contro le minacce informatiche complesse e la perdita di dati. Le nostre soluzioni di sicurezza complete sono facili da implementare, utilizzare e gestire. Offrono il costo totale di proprietà più basso del settore. Sophos offre soluzioni di crittografia pluripremiate, soluzioni di sicurezza per endpoint, reti, dispositivi mobili, e-mail e web. C'è anche il supporto dei SophosLabs, la nostra rete globale di centri di analisi proprietari. Le sedi di Sophos sono a Boston, USA e Oxford, UK.