CYBER RISK ANALYSIS & REMEDIATION INCIDENT RESPONSE
B-01 è la business unit del gruppo BlendIT dedicata alla CYBER SECURITY, ha definito la giusta proposta di Cyber Security per ciascun livello di rischio e possiede tutti i requisiti per rafforzare la “business-continuity” delle imprese industriali e del terziario, con analisi e ricerche globali che si spingono fino agli anfratti più remoti e meno limpidi del web (hackering crimes e dark web). Si occupa di Analisi sicurezza informatica, network & application security, Gestione incidenti informatici, Formazione
Cos'è il Cyber Risk?
L'analisi deve essere eseguita regolarmente ed i suoi parametri aggiornati costantemente per identificare nuove potenziali minacce. La Cyber Risk Analysis aiuta a ridurre al minimo la probabilità di rischio e di danni futuri ed è essenziale per approntare un piano successivo di Remediation Incident Response.
Cosa includono le attività di Cyber Risk Analysis?
Verifica degli endpoint (qualsiasi dispositivo remoto che comunica con una rete: desktops, pc portatili, smartphones, tablets, servers, workstations, Internet delle cose, etc) che può essere effettuata con speciali software in grado di tener traccia di qualsiasi operazione avvenuta nel comparto esaminato;
Ipezione dei log: può essere effettuata attraverso strumenti di BigData, che permettono di elaborare grandi quantità di dati. I log analizzati variano dalla tipologia e dall’entità dell’incidente e possono includere log di firewall, proxy, domain controller eccetera.
L’attuazione di un piano di Incident Response è invece essenziale per affrontare potenziali defaillance dei sistemi aziendali, perché determina in che forme e con che modalità l’azienda sarà pronta a rispondere ad una miriade di possibili criticità informatiche che potrebbero comprometterne l’andamento.
Cosa comprendono la fasi di Incident Response?
- Definizione e attuazione di un piano di contenimento del danno che restringa il campo d’intervento e limiti le possibili compromissioni di altre parti del sistema.
- Eliminazione radicale della fonte del danno (ad esempio con il blocco degli IP e dei domini malevoli)
- Reinstallazione dei sistemi e dei programmi compromessi, cambio delle password di accesso compromesse e ripristino di tutte le funzionalità originarie.
- Verifica di conformità finale dopo l’attuazione di tutti i correttivi previsti dal piano.
Per far fronte a tutte le attività dell’intervento, il Team di Incident Response deve essere strutturato e comprendere una grande varietà di competenze tecniche; la sua composizione viene generalmente dimensionata in base alla gravità dell’incidente e alla complessità dei sistemi da analizzare. Generalmente una squadra di IR tende ad includere: un responsabile di team, uno o più analisti di sistemi operativi con competenze forensi, uno o più professionisti IT delle reti con competenze forensi; un esperto di malware e software pericolosi con capacità di “reverse engineering” per ripristinare velocemente le funzioni danneggiate o compromesse.
Esistono precisi standard e protocolli per ottimizzare gli interventi di IRT in funzione delle innovazioni introdotte a livello globale che vengono periodicamente riportate dal Forum of Incident Response and Security Teams, che raccoglie e analizza le risposte agli incidenti di sicurezza informatica provenienti da organizzazioni governative, commerciali ed educative.