
CYBER RISK ANALYSIS & REMEDIATION INCIDENT RESPONSE
Cos'è il Cyber Risk?
Le pratiche di analisi del rischio identificano i potenziali elementi critici o nocivi per il sistema informatico aziendale e le procedure di risposta al rischio definiscono le linee guida per reagire repentinamente agli eventi che possono compromettere l’integrità, la disponibilità o la riservatezza dei dati. Un’efficace analisi del rischio fa emergere i rischi associati a una particolare azione o evento e si applica alle tecnologie IT, ai progetti, ai piani di sicurezza aziendale e a qualsiasi altro evento potenzialmente a rischio e per il quale possano essere raccolti dati da analizzare su base quanti-qualitativa.
L'analisi deve essere eseguita regolarmente ed i suoi parametri aggiornati costantemente per identificare nuove potenziali minacce. La Cyber Risk Analysis aiuta a ridurre al minimo la probabilità di rischio e di danni futuri ed è essenziale per approntare un piano successivo di Remediation Incident Response.
L'analisi deve essere eseguita regolarmente ed i suoi parametri aggiornati costantemente per identificare nuove potenziali minacce. La Cyber Risk Analysis aiuta a ridurre al minimo la probabilità di rischio e di danni futuri ed è essenziale per approntare un piano successivo di Remediation Incident Response.
Cosa includono le attività di Cyber Risk Analysis?
Indagini sul network aziendale, che possono essere effettuate utilizzando appositi sniffer deputati a ``perlustrare`` ogni singolo movimento di dati all’interno della rete da analizzare;
Verifica degli endpoint (qualsiasi dispositivo remoto che comunica con una rete: desktops, pc portatili, smartphones, tablets, servers, workstations, Internet delle cose, etc) che può essere effettuata con speciali software in grado di tener traccia di qualsiasi operazione avvenuta nel comparto esaminato;
Ipezione dei log: può essere effettuata attraverso strumenti di BigData, che permettono di elaborare grandi quantità di dati. I log analizzati variano dalla tipologia e dall’entità dell’incidente e possono includere log di firewall, proxy, domain controller eccetera.
Verifica degli endpoint (qualsiasi dispositivo remoto che comunica con una rete: desktops, pc portatili, smartphones, tablets, servers, workstations, Internet delle cose, etc) che può essere effettuata con speciali software in grado di tener traccia di qualsiasi operazione avvenuta nel comparto esaminato;
Ipezione dei log: può essere effettuata attraverso strumenti di BigData, che permettono di elaborare grandi quantità di dati. I log analizzati variano dalla tipologia e dall’entità dell’incidente e possono includere log di firewall, proxy, domain controller eccetera.
L’attuazione di un piano di Incident Response è invece essenziale per affrontare potenziali defaillance dei sistemi aziendali, perché determina in che forme e con che modalità l’azienda sarà pronta a rispondere ad una miriade di possibili criticità informatiche che potrebbero comprometterne l’andamento.
Cosa comprendono la fasi di Incident Response?
- Presa in carico ed elaborazione funzionale dei risultati della Cyber Risk Analisys
- Definizione e attuazione di un piano di contenimento del danno che restringa il campo d’intervento e limiti le possibili compromissioni di altre parti del sistema.
- Eliminazione radicale della fonte del danno (ad esempio con il blocco degli IP e dei domini malevoli)
- Reinstallazione dei sistemi e dei programmi compromessi, cambio delle password di accesso compromesse e ripristino di tutte le funzionalità originarie.
- Verifica di conformità finale dopo l’attuazione di tutti i correttivi previsti dal piano.
Per far fronte a tutte le attività dell’intervento, il Team di Incident Response deve essere strutturato e comprendere una grande varietà di competenze tecniche; la sua composizione viene generalmente dimensionata in base alla gravità dell’incidente e alla complessità dei sistemi da analizzare. Generalmente una squadra di IR tende ad includere: un responsabile di team, uno o più analisti di sistemi operativi con competenze forensi, uno o più professionisti IT delle reti con competenze forensi; un esperto di malware e software pericolosi con capacità di “reverse engineering” per ripristinare velocemente le funzioni danneggiate o compromesse.
- Definizione e attuazione di un piano di contenimento del danno che restringa il campo d’intervento e limiti le possibili compromissioni di altre parti del sistema.
- Eliminazione radicale della fonte del danno (ad esempio con il blocco degli IP e dei domini malevoli)
- Reinstallazione dei sistemi e dei programmi compromessi, cambio delle password di accesso compromesse e ripristino di tutte le funzionalità originarie.
- Verifica di conformità finale dopo l’attuazione di tutti i correttivi previsti dal piano.
Per far fronte a tutte le attività dell’intervento, il Team di Incident Response deve essere strutturato e comprendere una grande varietà di competenze tecniche; la sua composizione viene generalmente dimensionata in base alla gravità dell’incidente e alla complessità dei sistemi da analizzare. Generalmente una squadra di IR tende ad includere: un responsabile di team, uno o più analisti di sistemi operativi con competenze forensi, uno o più professionisti IT delle reti con competenze forensi; un esperto di malware e software pericolosi con capacità di “reverse engineering” per ripristinare velocemente le funzioni danneggiate o compromesse.
Esistono precisi standard e protocolli per ottimizzare gli interventi di IRT in funzione delle innovazioni introdotte a livello globale che vengono periodicamente riportate dal Forum of Incident Response and Security Teams, che raccoglie e analizza le risposte agli incidenti di sicurezza informatica provenienti da organizzazioni governative, commerciali ed educative.