Incident Response: Obiettivo
Incident Response: è un insieme di risorse e procedure organizzate e strutturate per garantire la corretta reaction e gestione degli incidenti informatici.
In caso di incidente informatico, Data Breach, DDoS, attacco ransomware e/o relativo Data Recovery è necessario affrontare e rispondere con un approccio strutturato, predisposto e organizzato per affrontare in maniera efficace ed efficiente la violazione della sicurezza e per ridurre gli impatti a livello di Business Continuity aziendale.
Sotto Attacco Ransomware?
L’obiettivo dell’Incident Response è quello di:
- Gestire l’incidente;
- Limitare i danni diretti e indiretti;
- Ridurre tempi e costi di ripristino;
Incident response: Il Cyber Team di Swascan
Il Cyber Incident Response Team di Swascan è composto da professionisti esperti con una lunga esperienza in ambito CSIRT.
Le competenze del Cyber Incident Response Team sono di fatto riconosciute e testimoniate pubblicamente. Swascan è stato protagonista nella fase di gestione incident e data recovery ransomware dei principali incident italiani.
Inoltre Cyber Incident Response Team ha identificato e gestito per primo diversi Ransomware di nuova generazione oltre ad aver ottenuto riconoscimenti ufficiali da player internazionali per le attività di Vulnerability Disclosure.
Incident response: Tipologia Incidenti
Qualsiasi incidente informatico o attacco ransomware deve essere gestito e “contenuto” con rapidità ed efficienza al fine di supportare le aziende nel ridurre al minimo le perdite, risolvere e/o mitigare le criticità e vulnerabilità sfruttate, ripristinare processi e servizi, e definire un piano di remediation unitamente ad un corretto Cyber Security Framework che prevede anche il servizio SOC as a Service.
L’Incident Response team di Swascan permette di gestire gli incidenti di sicurezza che possono sono classificati secondo il glossario della RFC 2350. Parliamo di eventi che fanno riferimento al paradigma C.I.A.
- Confidentiality;
- Integrity;
- Availability;
Alcuni esempi di incidenti informatici sono:
- Ransomware attack con relativo Data Recovery
- Social Engineering : Phishing, Smishing
- Credential Stuffing e Account Take over
- Attacco di DDoS
- ….
Incident response: Incident Management
L’ Incident Response è l’insieme di competenze, procedure e modalità per garantire una risposta efficace ed efficiente dell’incidente informatico
Il Team di incident response permette la gestione attraverso le seguenti fasi:
- Incident Management: sono le operazioni da svolgere immediatamente dopo il rilevamento dell’incidente;
- Digital Investigation: le attività di ricerca, raccolta e analisi delle evidenze dell’incidente;
Framework di Incident Management
In linea con le indicazioni fornite ed indicate da SANS Institute l’Incident Response di Swascan applica il seguente Framework di Incident Management:
- Preparation: Attivazione dell’Incident Response Team;
- Incident Identification: Analisi di digital investigation;
- Containment: Delimitare e isolare l’area compromessa;
- Eradication: Effettuare la sanitizzazione dei dispositivi o dell’area;
- Recovery: Ripristino dei sistemi in produzione garantendo che l’ambiente sia completamente safe;
- Reporting e Remediation Plan: Redazione di un report completo dell’Incident unitamente a un piano di azione per evitare il ripetersi dell’incidente informatico;
Incident Response: Da dove iniziare?
Le prime due fasi di Incident Identification e Containment sono importantissime per una corretta gestione dell’incident.
Per esempio in caso di attacco Ransomware con relativa crittografia della rete il rischio è che i dispositivi possano essere nuovamente infettati.
Incident Response: Identification
L’attività di Identification ha l’obiettivo di svolgere attività di digital Investigation che hanno l’obiettivo di:
- Determinare la minaccia e/o attore e/o artefatto malevolo
- Definire il vettore e tecniche di attacco
- Identificare le eventuali informazioni pubbliche e semi-pubbliche relative al target
- Analizzare possibili punti di criticità e vulnerabilità
L’attività viene svolta attraverso:
- Threat Intelligence: Domain Threat Intelligence e Cyber Threat Intelligence. Lo scopo è quello di individuare informazioni e dati pubblici e semipubblici a livello Osint e Closint. Informazioni che fanno riferimento a potenziali vulnerabilità dei sistemi, email compromesse e/o la presenza di credenziali di accesso ai sistemi aziendali.
- Digital Forensic: Log analysis, correlazione eventi, artifact analysis, Indicatori di Compromissione. L’informatica forense è una branca della scienza digitale forense legata alle prove acquisite da computer e altri dispositivi di memorizzazione digitale. Il suo scopo è quello di esaminare dispositivi digitali seguendo processi di analisi forense al fine di identificare, preservare, recuperare, analizzare e presentare fatti o opinioni riguardanti le informazioni raccolte. È un supporto necessario in caso di Data Breach , frode informatica o accessi abusivi al sistema informatico.
- Vulnerability Analysis: Vulnerability Assessment, Network Scan e Penetration Test. Ha l’obiettivo di identificare eventuali criticità e vulnerabilità che potrebbero essere state usate dagli attaccanti e/o potrebbero essere sfruttare per accedere nuovamente ai sistemi interni aziendali. L’attività permette di indetificare le possibili vulnerabilità sfruttabili, il livello di priorità in base al rischio unitamente alle indicazioni di fixing e relativi action plan
Sotto Attacco Ransomware?
Incident Response: Containment
- Distacco dalla rete di tutti i sistemi compromessi. Non Spegnere!
- Analisi di dettaglio dell’Active Directory ( verifica presenza di account di admin…. )
- Cambio di tutte le password di dominio.
- Cambio forzato delle password applicative.
- Revoca e riemissione di eventuali certificati
- Compartimentazione e Segmentazione delle reti
- Aggiornamento e patching dei sistemi e i dispositivi perimetrali
- Installare e configurare un sistema di Network Detection e Response (NDR)
- Installare e configurare sistemi di Endpoint Detection e Response (EDR)
- Attivare il servizio di Soc as a Service e relativo Monitoring & Early Warning che avranno l’obj di verificare gli alert generati dai sistemi NDR e EDR