Le aziende individuano e trattano le criticità e le problematiche legate alla sicurezza informatica attraverso il processo di incident response che, composto da diverse fasi, viene gestito da professionisti del settore.
L’incident response è il processo utilizzato dalle aziende per rilevare e gestire gli incidenti legati alla tematica della sicurezza informatica. I diversi passaggi che compongono questo processo sono rilevanti anche presi singolarmente ma, se eseguiti in sequenza, lo diventano ancora di più.
Quali fasi compongono la procedura di incident response?
L’incident response non è limitato al momento in cui si verifica la problematica, ma si estende anche successivamente; viene analizzata la causa e si prendono le precauzioni per evitare che succeda di nuovo.
La procedura, secondo le indicazioni del NIST (National Institute of Standard and Technology), è strutturata in quattro fasi:
- Preparazione: viene stabilito quali sono le strutture aziendali che potrebbero subire un attacco informatico, dando a ciascuna una diversa priorità e stabilendo processi di monitoraggio ed eventuali procedure di ripristino.
- Rilevazione ed Analisi: gli indicatori rilevano gli attacchi e identificano come la minaccia si è introdotta nel sistema. Il processo di analisi approfondisce le verifiche sugli eventi che accadono quotidianamente e in particolare su quelli che vengono riconosciuti come anomali.
- Contenimento, Eradicazione e Ripristino: essere in grado di fermare l’attacco prima che possa causare dei danni è fondamentale. Le strategie che vengono adottate possono dipendere dall’analisi sui possibili danni, dai servizi che devono rimanere a disposizione e dagli eventuali tempi di disservizio. L’eradicazione è il passaggio successivo che, oltre a bloccare la propagazione del danno, ne elimina la fonte. Il ripristino, invece, riporta il sistema al normale funzionamento.
- Attività Post Incidente: le analisi successive alla risoluzione del problema sono fondamentali per capire come mai si è verificato e cosa è possibile fare per evitare che si ripeta. Si cerca di capire se le contromisure adottate sono state adeguate o se sarebbe stato opportuno agire in altro modo.
Chi si occupa di gestire gli incident response?
I team che si occupano di incident response sono composti da professionisti del settore che devono essere particolarmente dotati sia per quanto riguarda le hard skills che le soft skills.
Le hard skills prevedono la conoscenza dei sistemi operativi, dei linguaggi di programmazione utilizzati nella security, di tecniche di rilevamento delle vulnerabilità e degli strumenti di penetration test.
Le soft skills richieste invece riguardano la capacità di lavorare sotto pressione e in qualsiasi momento. Gli attacchi possono arrivare in qualsiasi giorno dell’anno, anche festivo, e in qualsiasi ora del giorno e della notte. I soggetti che si occupano di incident response devono essere flessibili e decisi nelle loro azioni; eventuali esitazioni possono consentire all’attacco di propagarsi. Il loro lavoro è un po’ come quello degli investigatori; quindi, capacità analitiche e di problem solving sono di fondamentale importanza.
Come sono strutturati i gruppi di lavoro?
I gruppi deputati alla gestione di incident reponse possono essere di tre tipi. Nel primo caso viene tutto gestito da un singolo team, soluzione adottata principalmente dalle piccole imprese. Nel secondo operano diversi team che possono essere suddivisi per competenza o per area geografica. Infine, è possibile avere un team principale che coordina l’operato degli altri.