Cos'è l'Incident Response | Glossario VMware

Cos’è l’Incident Response?

L’Incident Response (IR) è lo sforzo per identificare rapidamente un attacco, ridurne gli effetti, contenere i danni e rimediare alla causa per ridurre il rischio di incidenti futuri.

Definiamo la risposta agli incidenti

Quasi ogni azienda ha, ad un certo livello, un processo di risposta agli incidenti. Tuttavia, per quelle aziende che cercano di stabilire un processo più formale, le domande pertinenti da porsi sono:

Quali sono i passi per attivare le parti responsabili coinvolte nella risposta a un incidente se dovesse verificarsi?
Quanto completo e specifico dovrebbe essere il vostro piano di risposta?
Avete abbastanza persone (e le persone giuste) per rispondere in modo appropriato?
Quali sono i vostri SLA accettabili per rispondere a un incidente e tornare alle normali operazioni?

Molto probabilmente, le risposte a queste domande non saranno ottimali, in quanto la maggior parte delle aziende è carente in una o più aree, secondo uno studio del Ponemon Institute:

77% delle aziende non ha un piano formale, piano formale e applicato in modo coerente

57% indica che c’è stato un aumento del tempo di risposta

77% afferma di avere difficoltà ad assumere e mantenere personale di sicurezza*

In media, ci vogliono 214 giorni per identificare un attacco maligno o criminale, e 77 giorni per contenere e recuperare. È chiaro che una migliore gestione della risposta agli incidenti è necessaria per proteggere completamente le organizzazioni dal numero crescente e accelerato di minacce che affrontano ogni giorno.

*Studio IBM: Responding to Cybersecurity Incidents Still a Major Challenge for Businesses

The ABCs of Incident Response

A. Il team giusto – Per fornire la risposta più efficace agli incidenti, gli esperti del settore suggeriscono di includere i seguenti ruoli nel vostro team, indipendentemente dalle dimensioni della vostra azienda. Ovviamente, il team tecnico prenderà il comando, ma ci sono altre aree funzionali nella vostra azienda che dovrebbero essere a bordo, soprattutto se si verifica un attacco grave. Una volta identificate le persone per questi ruoli, istruitele su quali sarebbero le loro responsabilità in caso di un attacco serio, esteso e con ramificazioni diffuse: Incident response, Analisi di sicurezza, IT, Ricerca sulle minacce, Legale, Risorse umane, Comunicazioni aziendali, Gestione dei rischi, Dirigenti ed esperti forensi di sicurezza esterni.

B. Il piano giusto – Un piano completo di risposta agli incidenti include almeno le seguenti tattiche e processi:

Preparare e preparare il team a gestire qualsiasi tipo di minaccia
Rilevare e identificare il tipo e la gravità di un incidente una volta che si è verificato
Contenere e limitare il danno
Determinare l’impatto e i rischi associati
Trovare ed eliminare la causa principale
Mitigare e risolvere l’attacco
Analizzare e modificare il piano postattacco per prevenirne di futuri

La comunicazione è fondamentale quando un attacco è in corso, quindi assicuratevi di stabilire un buon flusso di comunicazione come parte del vostro piano di risposta.

C. Gli strumenti giusti – Con un numero crescente di attacchi sconosciuti, gli strumenti giusti possono essere in grado di far risparmiare alla vostra azienda molto tempo e denaro – e vi aiuteranno a proteggere i vostri clienti e la vostra fedeltà al marchio.

Le informazioni sono una risorsa critica per qualsiasi piano di risposta agli incidenti. Per questo motivo, una soluzione per la sicurezza degli endpoint basata sul cloud in genere fornisce gli strumenti più completi per mitigare gli attacchi nel modo più rapido, compreso l’accesso ai dati chiave attraverso:

L’acquisizione di dati non filtrati fornisce ai team di risposta approfondimenti sul comportamento degli endpoint, non solo sui modelli e sui comportamenti di attacco precedentemente scoperti. Questa è la chiave per accorciare un’indagine di attacco da giorni a minuti, specialmente data la crescente quantità di metodi di attacco sconosciuti che vengono sfruttati oggi.
Le analisi dei dati forniscono visibilità su tutte le attività degli endpoint, sia presenti che storiche. Con i dati giusti, è possibile vedere dove l’attacco è iniziato e identificare il percorso che ha preso, il che aiuterà a rimediare più rapidamente.
Le informazioni sulle minacce esterne aiutano a identificare rapidamente le minacce che voi non avete ancora visto, ma che altre aziende hanno visto. Ancora una volta, se sai con cosa hai a che fare, puoi rispondere più rapidamente.
Le capacità di risposta in tempo reale ti aiutano a rimediare agli endpoint remoti e a eliminare il reimaging non necessario.

Il terzo studio annuale sulla Cyber Resilient Organisation

Industry Pulse: l’outsourcing è la risposta alla scarsa risposta agli incidenti?

Quasi ogni ricerca sulle sfide della sicurezza che le aziende devono affrontare include statistiche sulla difficoltà di assumere e mantenere personale di sicurezza qualificato, come ha fatto il 77% delle persone nello studio Ponemon di cui sopra. C’è una carenza di quasi due milioni di persone per le posizioni di sicurezza critiche che si sta rapidamente avvicinando a livello globale.

La mancanza delle persone giuste per la sicurezza può avere un grave impatto su qualsiasi risposta agli incidenti, tanto che le aziende stanno cercando di esternalizzare funzioni di sicurezza come questa. Infatti, Gartner ritiene che la spesa per i servizi di outsourcing della sicurezza raggiungerà oltre 18 miliardi di dollari nel 2018, il secondo più grande segmento di spesa per la sicurezza dopo la consulenza.

Data la difficoltà di assumere le persone giuste, questo ha senso, perché un servizio gestito può colmare rapidamente qualsiasi lacuna che avete nel vostro team di sicurezza. Può aiutarvi a dare priorità agli avvisi, scoprire nuove minacce e accelerare le indagini. Questi servizi sono tipicamente composti da esperti di minacce altamente qualificati che possono tenere costantemente sotto controllo l’ambiente della vostra azienda, identificando le minacce emergenti e fornendo l’accesso a servizi di sicurezza critici quando il vostro team ha più bisogno di aiuto.

*Gartner prevede che la spesa mondiale per la sicurezza raggiungerà i 96 miliardi di dollari nel 2018, in aumento dell’8% rispetto al 2017

La risposta: Le persone giuste, il piano, gli strumenti e il fornitore giusto

Anche se hai le persone giuste, il piano giusto e gli strumenti giusti in casa, c’è sempre la possibilità che qualcosa sfugga, quindi perché correre questo rischio? È utile lavorare con il fornitore giusto che può offrirvi una piattaforma di sicurezza degli endpoint basata sul cloud, oltre a funzionalità avanzate di caccia alle minacce.

Come menzionato sopra, gli esperti di caccia alle minacce gestite possono tenere d’occhio il vostro ambiente e notificare al vostro team le minacce emergenti. Questi esperti possono:

Analizzare, convalidare e dare priorità agli avvisi per aiutare a guidare le azioni giuste.
Identificare i primi segnali di allarme e le tendenze e inviare proattivamente gli avvisi per garantire una risposta sicura.
Scoprire le cause alla radice, con tabelle di marcia che forniscono un contesto aggiuntivo per semplificare le indagini e l’analisi delle cause alla radice.

Un team di cacciatori di minacce può anche darvi copertura e triage delle minacce su tutta la vostra implementazione endpoint, in modo che il vostro team possa concentrarsi sugli avvisi più critici. E avrete accesso alle informazioni globali sulle minacce che vi aiutano a stare un passo avanti agli attacchi futuri.

Temi correlati

Threat Intelligence
Next-Generation Firewall

Prodotti e soluzioni di sicurezzaVMware

Un nuovo approccio alla sicurezza – La sicurezza intrinseca è un approccio fondamentalmente diverso alla protezione dell’azienda.

Affidatevi a un firewall interno distribuito, stateful Layer 7, costruito su NSX, per proteggere il traffico del data center attraverso carichi di lavoro virtuali, fisici, containerizzati e cloud.

Distribuisci e gestisci in modo semplice e sicuro qualsiasi app su qualsiasi dispositivo con VMware Workspace ONE, una piattaforma di spazio di lavoro digitale guidata dall’intelligenza.