Un adagio piuttosto comune nel mondo della cybersecurity propone di ragionare in questi termini: non chiediamoci se un attacco ci colpirà, ma quando ci colpirà. Pur non essendo di particolare buon auspicio, è un ottimo modo per costruire una efficace postura di sicurezza aziendale. All’atto pratico, si tratta di creare un piano di Incident Response che permetta all’azienda di essere pronta al peggio. Se ci sembra un approccio eccessivamente cauto, consideriamo che in altri contesti, per esempio la prevenzione incendi, è la norma: le esercitazioni servono proprio a fare in modo che tutti siano pronti se accade quello che nessuno si augura.
Il tema centrale è la tempestività della risposta: se il tempo è un fattore determinante per ogni tipo di incidente, questo è ancora più vero nel caso degli attacchi, in cui un avversario sta attivamente cercando di forzare le difese o far esfiltrare dati o risorse.
Buone pratiche di Incident Response: framework e linee guida
Gestire gli incidenti di sicurezza in modo adeguato richiede un coordinamento tempestivo ed efficace. Sarebbe tuttavia un errore pensare che si possa agire rapidamente ma in modo indiscriminato. L’importanza di un’azione coordinata è resa in modo chiaro, per esempio, da AGID, che all’interno delle Linee guida per lo sviluppo e la definizione del modello nazionale di riferimento per i CERT regionali dedica un intero capitolo al Processo di gestione degli incidenti di sicurezza, in cui la definizione della priorità degli interventi ha una particolare rilevanza. Pur trattandosi di linee guida specifiche per la Pubblica Amministrazione, offrono un quadro chiaro e accessibile.
In termini più ampi e generali, un riferimento senza dubbio più completo e articolato è la Computer Security Incident Handling Guide del National Institute Standards and Technology (NIST) statunitense, i cui framework sono universalmente riconosciuti per la loro validità e autorevolezza. Questo suggerisce un approccio in quattro fasi:
- Preparation (preparazione)
- Detection and Analysis (rilevamento e analisi)
- Containment, Eradication and Recovery (contenimento, eradicazione, ripristino)
- Post-incident Activities (attività post-incidente)
Nell’applicazione di queste line guida e buone pratiche occorre sottolineare le loro finalità: garantire la business continuity e favorire gli adempimenti normativi. Ricordiamo infatti che le principali norme di settore, fra le quali la recente NIS2 obbligano, a vario titolo, una rendicontazione tempestiva e puntuale degli incidenti di sicurezza.
Incident Response: i passi fondamentali per una buona difesa
Partendo dalle fasi proposte dai framework di riferimento, vediamo più nel dettaglio come strutturare una strategia efficace. Nel farlo consideriamo che il tema portante è che la risposta agli incidenti non si può limitare al mero intervento: deve essere tesa anche alla prevenzione attiva.
Preparazione
Come abbiamo accennato anche in apertura, le attività preliminari sono fondamentali. Fra queste senza dubbio è necessaria la definizione di un incident response plan chiaro, aggiornato e facilmente accessibile. Questo deve includere ruoli, responsabilità, procedure operative e canali di comunicazione sia interni sia esterni. Qualora non sia presente, è necessario inoltre costituire un team dedicato: può trattarsi del SOC oppure, ancora più verticalmente, di un CSIRT, Computer Security Incident Response Team, che presieda alle azioni in caso di incidente. Infine, la fase preparatoria prevede anche attività periodiche di threat modelling, per esempio i e le simulazioni di attacco, per asseverare rischi e vulnerabilità e testare la prontezza della risposta.
Rilevazione e analisi
Questa fase può essere considerata il collegamento fra le attività di preparazione e quelle di intervento. Per una buona postura di sicurezza è infatti necessario implementare sistemi di monitoraggio adeguati, per esempio SIEM, EDR e MDR che possano rilevare attività anomale e indicatori di compromissione, indispensabili per le attività di prevenzione attiva. Rilevare questi segnali permette infatti di attivare contromisure preventive, sia per ridurre la superficie di attacco, sia per arginare tempestivamente eventuali rischi di escalation.
Inoltre, per quanto riguarda la parte analitica, servono procedure chiare e definite per segnalare internamente anomalie e incidenti, fondamentali anche per la raccolta dei dati necessari per eventuali rendicontazioni.
Contenimento
Se nonostante tutti gli sforzi accade una compromissione, i sistemi coinvolti devono essere isolati tempestivamente per limitarne la propagazione. I sistemi di difesa più moderni possono prevedere regole di intervento automatico o supervisionato, ma è indispensabile anche dare al team preposto l’opportunità di un intervento o quantomeno di un controllo rapido e risolutivo. Inoltre, sarebbe opportuno prevedere canali di comunicazione sicuri e infrastrutture temporanee da utilizzare per coordinare le attività di risposta.
Eradicazione e ripristino
In presenza di un sistema compromesso il primo e fondamentale passo è l’eliminazione della minaccia: eliminare malware, risolvere le vulnerabilità che sono state veicolo di attacco e soprattutto assicurarsi la completa espulsione dell’attaccante. Solo dopo avere la certezza che la minaccia è stata completamente disinnescata si può procedere con il ripristino di dati e sistemi, verificando l’integrità dei backup utilizzati prima di utilizzarli. Anche in questo caso la prevenzione è la migliore difesa: accorgimenti come i backup air-gapped riduce il rischio di compromissione.
Infine, nel rispetto dei criteri del miglioramento a ciclo continuo, è necessario verificare quali aspetti della sicurezza si possono migliorare sulla base dell’attacco subito: citiamo ad esempio la gestione delle patch e la revisione dei meccanismi di autenticazione.
Attività post-incidente
Una volta che l’incidente è risolto, serve assicurarsi che non si possano ripetere eventi simili. Per farlo si può analizzarlo per comprenderne le cause e valutare l’efficacia della risposta. Questo servirà a redigere report dettagliati, utili per valutare ed eventualmente rivedere il piano di incident response, oltre che per soddisfare eventuali adempimenti normativi. In questa fase sarebbe buona pratica anche effettuare ulteriori audit di sicurezza, per verificare l’effettiva risoluzione dell’incidente e l’assenza di ulteriori vulnerabilità.
Formazione, comunicazione e sensibilizzazione
Anche se questa fase non è legata alla risposta diretta agli incidenti, è indubbio che la security awareness sia un efficace strumento di difesa. Sensibilizzare e formare il personale riduce in modo considerevole l’esposizione alle tipologie di attacco più diffuse, phishing e ransomware su tutte. Anche in caso di incidente, condividere i danni e i problemi che questo ha generato ha un notevole valore per migliorare l’attenzione e la sensibilità verso i problemi di sicurezza da parte del personale.
L’Incident Response non è solo un intervento di emergenza
Un attacco informatico è una eventualità sfortunata, che comunque deve essere presa in considerazione. Difendersi, e rimediare, nel modo migliore richiede una attenta strategia preventiva, che permetta di mitigare i danni ma soprattutto di ridurne al minimo la probabilità. L’Incident Response agisce a tutti i livelli, dalla prevenzione ai processi post-incidente, per rispondere al meglio a questi bisogni.
