Le aziende e le organizzazioni sono sottoposte a un'enorme pressione in caso di attacco informatico, perché la reazione corretta a un incidente richiede tempo, ma allo stesso tempo richiede un'azione rapida.
Gli esperti di risposta agli incidenti di Sophos hanno quindi sviluppato una guida per aiutare le aziende ad affrontare questo difficile compito. Questi quattro suggerimenti si basano sull'esperienza del mondo reale della risposta alle minacce gestite e dei team di risposta rapida che hanno lavorato insieme per rispondere a migliaia di incidenti di sicurezza informatica.
1. Rispondi il prima possibile
Quando le aziende sono sotto attacco, ogni secondo conta. Tuttavia, i team di sicurezza interni all'azienda spesso impiegano troppo tempo per reagire abbastanza rapidamente. La ragione più comune è che non riconoscono la gravità della situazione e l'urgenza nel tempo. Inoltre, molti attacchi si verificano nei giorni festivi, nei fine settimana e di notte. Poiché la maggior parte dei team IT e di sicurezza è a corto di personale, la risposta a un attacco in questi momenti è spesso troppo tardi per contenere l'impatto dell'attacco in tempo.
Attenzione allarme stanchezza
Inoltre, un certo affaticamento dell'allarme riduce l'azione rapida. E anche con la reazione giusta e tempestiva, i team di sicurezza spesso non hanno l'esperienza necessaria per compiere i passi giusti. Pertanto, i possibili incidenti e la reazione ad essi dovrebbero essere pianificati in dettaglio in anticipo. Sophos ha elencato i dieci passaggi più importanti di un tale piano di crisi informatica nella Guida alla risposta agli incidenti.
2. Non essere troppo frettoloso nel dichiarare le azioni come "missione compiuta".
In caso di incidente informatico, il semplice trattamento dei sintomi non è sufficiente. Vanno indagate anche le cause. Ad esempio, la corretta rimozione del malware e la cancellazione di un avviso non significano che l'aggressore sia stato espulso dall'ambiente. Perché potrebbe essere solo un test eseguito dall'attaccante per determinare quali difese sta affrontando. Se l'aggressore ha ancora accesso all'infrastruttura, è probabile che colpisca di nuovo, ma con maggiore potere distruttivo. L'attaccante ha ancora un piede in area? Ha intenzione di lanciare una seconda ondata? I professionisti esperti nella risposta agli incidenti sanno quando e dove indagare ulteriormente. Cercano tutto ciò che gli aggressori stanno facendo, hanno fatto o potrebbero pianificare di fare sulla rete e neutralizzano anche quelle attività.
3. La piena visibilità è fondamentale
In caso di attacco, è importante avere accesso a dati accurati e di alta qualità. Solo queste informazioni consentono di identificare con precisione i potenziali indicatori di un attacco e determinarne la causa. Team specializzati raccolgono dati rilevanti per rilevare i segnali e sanno come assegnarne la priorità. Nel farlo, tieni presente i seguenti punti:
raccogliere segnali
La visibilità limitata di un ambiente è un modo infallibile per perdere gli attacchi. Gli strumenti per i big data possono aiutare qui. Questi raccolgono dati sufficienti per fornire approfondimenti significativi per indagare e rispondere agli attacchi. La raccolta dei dati giusti e di alta qualità da una varietà di fonti garantisce una visione completa degli strumenti, delle tattiche e delle procedure di un utente malintenzionato.
Ridurre il rumore di fondo
Temendo di non disporre dei dati che potrebbero fornire un quadro completo di un attacco, alcune aziende e strumenti di sicurezza generalmente raccolgono tutte le informazioni disponibili. Tuttavia, questo approccio rende più difficile la ricerca degli attacchi e vengono generati più dati del necessario. Ciò non solo aumenta il costo della raccolta e dell'archiviazione dei dati, ma crea anche un'elevata soglia di rumore di potenziali incidenti, che porta all'affaticamento degli allarmi e alla perdita di tempo a caccia di veri e propri falsi allarmi.
applicare il contesto
Per poter attuare un efficace programma di risposta agli incidenti, è necessario il contesto oltre al contenuto (dati). Applicando metadati significativi associati ai segnali, gli analisti della sicurezza possono determinare se tali segnali sono dannosi o benigni. Uno dei componenti più importanti per un rilevamento e una risposta efficaci alle minacce è l'assegnazione delle priorità ai segnali. Il modo migliore per identificare gli avvisi più importanti è una combinazione di contesto fornito da strumenti di sicurezza (ovvero soluzioni di rilevamento e risposta degli endpoint), intelligenza artificiale, informazioni sulle minacce e la base di conoscenza dell'operatore umano. Il contesto aiuta a determinare l'origine di un segnale, la fase attuale dell'attacco, gli eventi correlati e il potenziale impatto aziendale.
4. Va bene chiedere aiuto
La mancanza di risorse qualificate per indagare e rispondere agli incidenti è uno dei maggiori problemi che il settore della sicurezza informatica deve affrontare oggi. Molti team IT e di sicurezza, sotto forte pressione durante gli attacchi informatici, si trovano in situazioni che non hanno l'esperienza e le competenze per affrontare. Questo dilemma ha lasciato il posto a un'alternativa: i servizi di sicurezza gestiti. Più specificamente, i servizi di rilevamento e risposta gestiti (MDR). I servizi MDR sono operazioni di sicurezza esternalizzate fornite da un team di specialisti e sono un'estensione del team di sicurezza interno dell'azienda.Questi servizi combinano indagini condotte dall'uomo, monitoraggio in tempo reale e risposta agli incidenti con tecnologie di raccolta e analisi di intelligence.
Servizi specializzati di risposta agli incidenti
Per le organizzazioni che non hanno ancora attivato un servizio MDR e devono rispondere a un attacco attivo, i servizi specializzati di risposta agli incidenti sono una buona opzione. I soccorritori vengono chiamati quando il team di sicurezza è sopraffatto e sono necessari esperti esterni per valutare l'attacco e garantire che l'attaccante sia neutralizzato. Anche le aziende che dispongono di un team di analisti della sicurezza qualificati possono trarre vantaggio dalla collaborazione con un servizio di risposta agli incidenti. Ad esempio, è possibile colmare le lacune nella copertura (ad esempio notti, fine settimana e festività) o assegnare compiti specializzati necessari nella risposta agli incidenti.
Maggiori informazioni su Sophos.com
A proposito di Sophos Sophos gode della fiducia di oltre 100 milioni di utenti in 150 paesi. Offriamo la migliore protezione contro le minacce informatiche complesse e la perdita di dati. Le nostre soluzioni di sicurezza complete sono facili da implementare, utilizzare e gestire. Offrono il costo totale di proprietà più basso del settore. Sophos offre soluzioni di crittografia pluripremiate, soluzioni di sicurezza per endpoint, reti, dispositivi mobili, e-mail e web. C'è anche il supporto dei SophosLabs, la nostra rete globale di centri di analisi proprietari. Le sedi di Sophos sono a Boston, USA e Oxford, UK.