Misura il tuo livello di idoneità: programma di risposta agli incident

Nel panorama attuale delle minacce è difficile impedire che neanche uno dei numerosi vettori di attacchi colpisca la propria organizzazione. Questa affermazione è particolarmente vera, se si pensa che servizi e tecnologie innovative come cloud computing, mobility, BYOD, vengono sempre più utilizzati e che si collabora sempre più spesso con terze parti che hanno accesso alla rete aziendale.

Da un lato, nuovi modelli di business e strategie IT aziendali richiedono scalabilità, time-to-market più rapidi per beni e servizi, maggiore efficienza e riduzione dei costi; dall’altro, questa tendenza comporta complesse implicazioni per la sicurezza, dal momento che non è possibile identificare tutte le superfici di attacco e i punti di ingresso ipoteticamente impiegati da un attacker per accedere alla rete.

Le considerazioni appena esposte rivelano l’inadeguatezza del modello di sicurezza tradizionale basato su “checklist di conformità alla sicurezza” o “soluzioni orientate al perimetro” e la necessità di funzionalità di rilevamento e risposta avanzate che siano inserite come priorità nell’ambito di una strategia di sicurezza generale. Considerata la necessità di strumenti di sicurezza informatica efficaci, il programma di risposta agli incident si presenta ancora più importante di prima. Poiché il numero di violazioni della sicurezza e dei danni arrecati da furti o alterazioni di dati a opera di attacker è in aumento, il programma di risposta agli incident basato sulle minacce diventerà presto un requisito per tutte le organizzazioni.

Prendendo come esempio Maturity Model già conosciuti, in questo articolo descrivo un nuovo framework: una combinazione di funzionalità analitiche e operative, processi, governance e metriche, che consenta a qualsiasi tipo di organizzazione di valutare, calibrare e favorire miglioramenti continui nel proprio programma di risposta agli incident, confrontandolo con altri strumenti del settore.

Livello 1: base (processi imprevedibili, reattivi)

 

    • Analisi: le capacità tecniche e le tecnologie forensi/di analisi non sono disponibili internamente.

 

  • Governance: SOP/IRP non sono definiti o documentati a livello formale.

 

 

  • Misurazione: metriche e KPI non sono disponibili né acquisiti.

 

 

  • Aspetto operativo: gli incident di sicurezza vengono gestiti on-demand ed elaborati in base al tempo disponibile.

 

 

  • Aspetto organizzativo: gli analisti di risposta agli incident non sono stati né assunti né identificati formalmente.

 

 

Livello 2: gestione (processi sviluppati, ma incoerenti, spesso reattivi)

 

    • Analisi: capacità tecniche di base e tecnologie disponibili internamente per confermare o meno un incident.

 

  • Governance: set minimo di SOP/IRP disponibili, ma non comunicati, seguiti, testati, aggiornati o noti.

 

 

  • Misurazione: set limitato di metriche e KPI disponibile su richiesta e generato manualmente.

 

 

  • Aspetto operativo: le risoluzioni di alcuni incident di sicurezza vengono documentate, monitorate e risolte.

 

 

  • Aspetto organizzativo: gli analisti per la risposta agli incident sono identificati e ad ognuno vengono assegnate responsabilità.

 

 

Livello 3: definizione (processi coerenti e proattivi all’interno dell’organizzazione)

 

    • Analisi: capacità tecniche, funzionalità e tecnologie sono disponibili internamente, con automatizzazione delle attività di risoluzione delle IR comuni.

 

  • Governance: SOP/IRP vengono documentati formalmente e seguiti dal team per la maggior parte degli incident di sicurezza.

 

 

  • Misurazione: alcuni KPI e alcune metriche vengono acquisiti e comunicati regolarmente.

 

 

  • Aspetto operativo: classi e severity degli incident di sicurezza vengono formalizzate e correlate tra loro in base al business e all’impatto del rischio su risorse e dati coinvolti.

 

 

  • Aspetto organizzativo: un team IR dedicato offre la sua esperienza su alcune funzioni IR critiche e vengono forniti regolarmente corsi di formazione.

 

 

Livello 4: gestione a livello qualitativo (processi misurati e controllati)

 

    • Analisi: capacità tecniche avanzate e tecnologie forensi/di analisi adattate all’ambiente dell’organizzazione sono offerte internamente; è prevista l’acquisizione di artefatti e dati di threat intelligence.

 

  • Governance: SOP/IRP disponibili, suddivisi in categorie e ben comunicati e seguiti da business unit interfunzionali.

 

 

  • Misurazione: metriche dettagliate e KPI, comunicati, distribuiti e accessibili; si tengono discussioni con i vertici e si svolgono esercizi sull’IR eseguiti a tutti i livelli e in tutti i reparti.

 

 

  • Aspetto operativo: gli incident di sicurezza vengono risolti in modo coerente e con metodi ripetibili, l’approccio di tipo root cause analysis viene utilizzato per migliorare le strategie di sicurezza generali dell’organizzazione.

 

 

  • Aspetto organizzativo: un team IR dedicato offre la sua profonda esperienza su tecnologie aziendali specifiche e personalizzate, con coinvolgimento di dirigenti di alto livello.

 

 

Livello 5: ottimizzazione (attenzione incentrata sul miglioramento del processo)

 

    • Analisi: sono disponibili tecnologie avanzate, funzionalità e capacità tecniche aggiornate, quindi tipologie, severity e numero di incident di sicurezza vengono sistematicamente ridotti, con un aumento della visibilità nella rete e nei sistemi; i dati di threat intelligence vengono impiegati per prevenire, rilevare e allontanare le minacce e vengono condivisi internamente ed esternamente.

 

  • Governance: SOP/IRP vengono esaminati e costantemente regolati/ottimizzati, gli studenti vengono integrati in un processo di “continuo miglioramento” (come l’OODA loop); SOP/IRP vengono personalizzati in base a risorse e minacce specifiche.

 

 

  • Misurazione: metriche valide e dettagliate vengono definite e regolarmente riportate e allineate agli obiettivi aziendali, del risk management e dei dirigenti di alto livello.

 

 

  • Aspetto operativo: gli incident vengono monitorati con il relativo stato di risoluzione, che può essere tracciato in qualsiasi momento, prendendo in considerazione la perdita delle risorse, la diffusione della minaccia e l’impatto finanziario di ciascun incident.

 

 

  • Aspetto organizzativo: creazione di un team IR interfunzionale, coinvolgimento attivo dei dirigenti di alto livello in simulazioni e discussioni, eliminazione dei rischi legali e di quelli legati alla compliance.

 

 

Se si pensa ad alcune violazioni di dati, il livello da applicare è senz’altro il più elevato, ma non si deve dimenticare che il passaggio dall’approccio iniziale a quello più avanzato non è affatto semplice e può richiedere mesi o addirittura anni di continuo lavoro, impegno e investimenti, soprattutto nel caso di organizzazioni di grandi dimensioni. Un programma di risposta agli incident basato sulle minacce potrebbe comunque rappresentare una delle misure di sicurezza a costi più contenuti per un’organizzazione, in caso di minaccia.

Infine la comunicazione e il costante adeguamento di tattiche e strategie all’interno della catena di comando, sicuramente business unit e membri dei team incoraggeranno le organizzazioni a cambiare prospettiva, a prepararsi meglio per gestire le violazioni nella loro fase iniziale e a collaborare per un obiettivo comune: ridurre al minimo le perdite provocate dalle violazioni e il relativo impatto.

Leave a Reply

Your email address will not be published. Required fields are marked *

No Comments