L’incident response è il processo attraverso il quale un’organizzazione gestisce una violazione dei dati (data breach) o un attacco informatico. Nel processo di gestione dell’incidente è incluso il modo in cui l’organizzazione tenta di gestire le conseguenze dell’attacco o della violazione.
L’obiettivo dell’incident response è la gesitone efficace dell’incidente in modo che il danno (tempo di esposizione, danno economico…) e il ripristino (tempo di ripristino, costi…) siano più possibile limitati, riducendo al minimo gli effetti collaterali come il danneggiamento della reputazione del marchio.
La definizione di piani di incident response
L’incident response plan è un processo che dovrebbe essere previsto in ogni organizzazione e va costruito in momenti di quiete per poter essere preparati nei casi critici. In questo piano rientra l’assegnazione di specifici compiti alle varie persone (dipendenti e/o consulenti), costituendo appositi team incaricati di intraprendere ogni azione specificata nel piano di risposta agli incidenti.
Nell’incident response plan sono definite attività che coinvolgono ambiti diversi: digital forensics, business continuity, gestione della sicurezza delle informazioni, comunicazione interna ed esterna.
Le fasi dell’incident response
BIT4LAW consente di definire dei piani di incident response per aiutare i propri clienti a gestire e rispondere agli incidenti in modo efficace e rapido. Questo servizio è offerto grazie alle varie competenze interne di cyber security, penetration test, informatica forense, gestione delle prove informatiche, consulenza tecnica in tribunale, auditing, competenze legali e gestione dei progetti e processi aziendali.
BIT4LAW è in grado di supportare i propri clienti durante le seguenti fasi:
- preparazione: definizione di procedure per gestire un incidente di sicurezza informatica, organizzazione dei team e dei contatti per il pronto intervento, formazione del personale sono i prerequisiti per affrontare in modo corretto qualsiasi attacco. In questa fase supportiamo il cliente anche nella definizione di policy e procedure interne di gestione della sicurezza delle informazioni
- risposta agli incidenti: quando si verifica un incidente informatico (o ci sono avvisaglie di qualcosa che può sembrare un incidente), si sviluppano le cinque sotto-fasi successive: identificazione, contenimento, acquisizione e analisi dei dati, eradicamento, ripristino.
- identificazione dell’incidente informatico: rilevazione e qualificazione degli incidenti per consentire una rapida risposta e ridurre costi e danni. Il personale deve essere in grado di identificare gli eventi sentinella, informare immediatamente il Point Of Contact (POC) che si attiverà per la fase successiva di contenimento e acquisizione
- contenimento dell’incidente informatico: il contenimento è prioritario per prevenire ulteriori danni, facendo comunque attenzione a evitare che si verifichi la distruzione di qualsiasi dato digitale che potrebbe essere utilizzato come prova dell’attività illecita
- acquisizione e analisi forense: raccolta dei dati secondo le indicazioni dello standard ISO/IEC 27037:2012 (file di registro, log, copie forensi di hard disk, log di rilevamento delle intrusioni, dump di memoria RAM…) e successiva analisi forense per l’investigazione finalizzata a individuare autori e modalità di esecuzione
- eradicazione: rimozione della minaccia e il ripristino dei sistemi interessati riducendo al minimo la perdita di dati; va garantito che le misure prese nel piano di incident response assicurino che i sistemi interessati siano completamente puliti
- ripristino: i sistemi ripuliti vengono testati, monitorati e rimessi in produzione; in questa fase occorre fissare anche le tempistiche di ripristino, test e verifica dei sistemi compromessi, monitorando comportamenti anomali e utilizzando idonei strumenti per testare, monitorare e convalidare i comportamenti dei sistemi. A volte può essere sufficiente isolare e bonificare una singola workstation, altre volte può essere una strategia complessa che interessa molti sistemi e richiede ampie modifiche all’architettura o ai processi di gestione della sicurezza delle informazioni.
Consulenza incident response post incidente
Le lezioni apprese sono una fase fondamentale della risposta agli incidenti poiché aiutano a educare e migliorare i futuri interventi di risposta agli incidenti. Consente infatti di aggiornare i piani di incident response con le informazioni che potrebbero essere state perse durante l’incidente, oltre alla documentazione completa per fornire informazioni per futuri incidenti.
BIT4LAW può offrire una consulenza post incidente basata su un’ulteriore revisione dell’incident response plan alla luce di qualsiasi incidente occorso per sviluppare procedure e modelli che evitino il ripetersi dell’incidente informatico stesso e che eventuali vulnerabilità simili siano evidenziate ed affrontate.
Per questo motivo viene proposta la periodica esecuzione di penetration test, audit e altri servizi di supporto tra cui: analisi di malware, analisi di traffico di rete sospetto, analisi di una web application, di una rete compromessa e la raccolta di prove forensi post incidente, la simulazione di incidenti (esattamente come una prova anti-incendio).
Al termine di ogni azione di incident response BIT4LAW fornisce un’analisi dettagliata di ciò che è accaduto per valutare l’adeguatezza della risposta e dei comportamenti dei vari attori, l’efficacia dei processi e le aree di miglioramento dell’incident response plan.
I report conterranno indicazioni dettagliata sulla cronologia degli eventi che hanno portato all’incidente e un executive summary in cui verrà esposto al management aziendale le cause che hanno portato al verificarsi dello stesso. Verranno inoltre anche elencate tutte le raccomandazioni da seguire per far sì che l’evento non si ripeta in futuro.