Che cos'è la risposta agli incidenti?
La risposta agli incidenti (IR) è lo sforzo necessario per identificare rapidamente un attacco, limitarne gli effetti, contenere i danni e correggere la causa per ridurre il rischio di incidenti futuri.
Definiamo la risposta agli incidenti
Quasi tutte le aziende prevedono, a un certo livello, un processo per la risposta agli incidenti. Tuttavia, per le aziende che desiderano stabilire un processo più formale, le domande pertinenti da porsi sono le seguenti:
- Quali sono i passaggi per attivare le parti responsabili coinvolte nella risposta a un eventuale incidente?
- Quanto deve essere completo e specifico il piano di risposta?
- Ci sono persone sufficienti (e competenti) per rispondere in modo appropriato?
- Quali sono gli SLA accettabili per rispondere a un incidente e tornare alle normali operation?
Secondo uno studio del Ponemon Institute, molto probabilmente le risposte a queste domande non saranno ottimali, poiché la maggior parte delle aziende presenta carenze in una o più aree.
Il77% delle aziende non ha un piano formale e applicato in modo coerente.
Il57% indica che i tempi di risposta sono aumentati.
Il77% afferma di avere difficoltà ad assumere e mantenere personale esperto di sicurezza*.
In media, sono necessari 214 giorni per identificare un attacco malevolo o criminale e 77 giorni per contenerlo ed effettuare il ripristino. È chiaro che serve una migliore gestione della risposta agli incidenti per proteggere completamente le organizzazioni dal numero sempre più crescente di minacce che affrontano ogni giorno.
* Studio IBM: Responding to Cybersecurity Incidents Still a Major Challenge for Businesses

Panoramica su VMware Security

L'amministrazione Biden indica alle agenzie federali di applicare patch alle vulnerabilità note
L'ABC della risposta agli incidenti
A. Il team giusto: per fornire una risposta agli incidenti più efficace, gli esperti del settore suggeriscono di includere i seguenti ruoli nel team, indipendentemente dalle dimensioni dell'azienda. Ovviamente, il team tecnico assumerà la guida, ma ci sono altre aree funzionali dell'azienda che dovrebbero essere coinvolte, soprattutto se si verifica un attacco grave. Una volta identificate le persone per questi ruoli, è necessario informarle sulle loro responsabilità in caso di attacco grave ed esteso con ramificazioni diffuse: risposta agli incidenti, analisi della sicurezza, IT, ricerca delle minacce, ufficio legale, risorse umane, comunicazioni aziendali, gestione dei rischi, dirigenti ed esperti forensi sulla sicurezza esterna.
B. Il piano giusto: un piano di risposta agli incidenti completo include almeno le tattiche e i processi seguenti:
- Preparare il team a gestire qualsiasi tipo di minaccia.
- Rilevare e identificare il tipo e la gravità di un incidente una volta che si è verificato.
- Contenere e limitare i danni.
- Determinarne l'impatto e i rischi associati.
- Trovare ed eliminare la causa primaria.
- Mitigare e risolvere l'attacco.
- Analizzare e modificare il piano dopo l'attacco per prevenire attacchi futuri.
La comunicazione è fondamentale quando è in corso un attacco. È quindi necessario assicurarsi di stabilire un buon flusso di comunicazione nell'ambito del piano di risposta.
C. Gli strumenti giusti: con un numero crescente di attacchi sconosciuti, gli strumenti giusti possono far risparmiare tempo e denaro all'azienda, oltre a contribuire a proteggere i clienti e la fedeltà al marchio.
Le informazioni sono una risorsa fondamentale per qualsiasi piano di risposta agli incidenti. Per questo motivo, una soluzione di sicurezza degli endpoint basata su cloud fornisce in genere gli strumenti più completi per mitigare gli attacchi nel modo più rapido, incluso l'accesso ai dati principali con i seguenti mezzi:
- L'acquisizione di dati non filtrati fornisce ai team di risposta informazioni approfondite sul comportamento degli endpoint, non solo sui modelli e i comportamenti di attacco precedentemente scoperti. Questa è la chiave per ridurre da giorni a minuti i tempi di un'indagine relativa a un attacco, soprattutto considerando la crescente quantità di metodi di attacco sconosciuti utilizzati oggi.
- Le funzionalità di analisi dei dati forniscono visibilità su tutte le attività degli endpoint, sia presenti sia storiche. Con i dati giusti, puoi vedere da dove è partito l'attacco e identificare il percorso che ha seguito, e tutto questo aiuterà a porvi rimedio più rapidamente.
- L'intelligence sulle minacce esterne aiuta a identificare rapidamente le minacce che tu non hai ancora visto, ma che hanno visto altre aziende. Anche in questo caso, se sai con cosa hai a che fare, puoi rispondere più rapidamente.
- Le funzionalità di risposta in tempo reale aiutano a correggere gli endpoint remoti ed eliminare il reimaging non necessario.
Il terzo studio annuale sulla resilienza informatica di un'organizzazione
Il polso del settore: l'outsourcing è la soluzione per una scarsa risposta agli incidenti?
Quasi tutte le ricerche sulle sfide della sicurezza che le aziende devono affrontare includono statistiche sulla difficoltà di assumere e mantenere personale di sicurezza qualificato, come per il 77% delle persone nello studio Ponemon sopra riportato. A livello globale, si sta rapidamente arrivando a una carenza di quasi due milioni di persone in posizioni della sicurezza critiche.
La mancanza degli addetti alla sicurezza giusti può avere un impatto significativo sulla risposta agli incidenti, tanto che le aziende stanno cercando di affidare in outsourcing le funzioni di sicurezza di questo tipo. Gartner ritiene infatti che nel 2018 la spesa per i servizi di outsourcing della sicurezza supererà i 18 miliardi di dollari, il secondo segmento di spesa per la sicurezza dopo la consulenza.
Considerata la difficoltà di assumere le persone giuste, questa valutazione è plausibile, perché un servizio gestito può colmare rapidamente eventuali lacune nel team di sicurezza. Può aiutare a dare la priorità agli avvisi, scoprire nuove minacce e accelerare le indagini. Questi servizi sono in genere gestiti da esperti di minacce altamente qualificati che possono monitorare costantemente l'ambiente aziendale, identificando le minacce emergenti e fornendo accesso a servizi di sicurezza critici quando il team ha bisogno di maggiore aiuto.
La soluzione: le persone, il piano, gli strumenti e anche il vendor giusto
Anche se all'interno hai le persone, il piano e gli strumenti giusti, c'è ancora la possibilità che qualcosa sfugga, quindi perché correre questo rischio? È utile collaborare con il vendor giusto che può offrirti una piattaforma di sicurezza degli endpoint basata su cloud, oltre a funzionalità avanzate di ricerca delle minacce.
Come accennato in precedenza, gli esperti di ricerca delle minacce gestita possono monitorare l'ambiente e informare il team delle minacce emergenti. Questi esperti possono:
- Analizzare e convalidare gli avvisi e assegnare loro la priorità per intraprendere le azioni giuste.
- Identificare tempestivamente i segnali di allarme e le tendenze e inviare avvisi in modo proattivo per garantire una risposta sicura.
- Scoprire le cause primarie con roadmap che forniscono contesto aggiuntivo per semplificare le indagini e l'analisi della causa primaria.
Un team di ricerca delle minacce può anche fornire copertura e triage delle minacce per l'intero deployment degli endpoint, per consentire al tuo team di concentrarsi sugli avvisi più critici. Avrai accesso a un'intelligence sulle minacce globali che ti aiuta a rimanere un passo avanti rispetto agli attacchi futuri.
Soluzioni e prodotti correlati
VMware Carbon Black EDR
Esegui rilevamento e risposta degli endpoint (EDR) on-premise.
VMware Carbon Black Endpoint
Proteggi gli endpoint con una soluzione nativa per il cloud.
VMware Workspace ONE
Scopri la piattaforma per il Digital Workspace che supporta il modello zero-trust.