Incident Response

Incident response è il processo tramite il quale un’organizzazione gestisce una violazione dei dati o un attacco informatico, incluse le metodologie con cui l’organizzazione tenta di gestire le conseguenze dell’attacco o della violazione (“incidente”).

I nostri servizi di Incident response forniscono le capacità necessarie per intraprendere azioni in maniera proattiva o rispondere in maniera reattiva in caso di una violazione dei dati.

Lavoriamo insieme al cliente per pianificare e implementare politiche e procedure, impartendo conoscenze e competenze necessarie a rispondere immediatamente in caso di violazione dei dati.

Una pianificazione proattiva e una reazione rapida sono requisiti necessari per minimizzare l’impatto aziendale.

/*WR-2018*/

Attività secondarie chiave che si verificano in fase di preparazione:

  1. Maturity Assessment (in base allo scenario)
  2. Caccia alle minacce
  3. CIRP (Cybersecurity Incident Readiness Planning, pianificazione della prontezza agli incidenti di sicurezza informatica)
  4. Individuazione dei dati (PII)

Pianifichiamo e implementiamo esercitazioni su disastri e incidenti per garantire al cliente che i sistemi funzionino. L’implementazione di un robusto programma di risposta agli incidenti comporta la capacità di reagire rapidamente a un incidente alla sicurezza, limitando la portata del danno di un incidente.

Non tutti gli incidenti sono uguali e pertanto chi risponde all’incidente deve essere in grado di reagire a diverse situazioni. 

Sfruttiamo metodologie basate su SANS, NIST e ISO/IEC 27001 per implementare uniformemente ed efficacemente programmi di risposta agli incidenti di sicurezza.

Durante l’implementazione di un piano di risposta a un incidente in un’organizzazione, il nostro approccio su misura garantisce che:

  • Il personale sia opportunamente formato per rispondere a un incidente alla sicurezza in modo metodico, sfruttando un framework prestabilito
  • Ruoli e responsabilità siano assegnati e ben definiti
  • Siano state condotte esercitazioni sugli scenari di incidente e la risposta sia efficace
  • Gli obblighi legali, normativi e contrattuali per la risposta all’incidente e le notifiche siano definiti e documentati

1. Maturity Assessment (in base allo scenario)

Siamo membri di CREST, organismo internazionale leader autore di indicazioni e best practice nel campo della sicurezza informatica. CREST ha sviluppato il modello di maturità per valutare la capacità di risposta in caso di incidente alla sicurezza informatica di un’azienda. Il modello è stato completato da uno strumento di valutazione della maturità su foglio di calcolo che aiuta a misurare la maturità della capacità di risposta in caso di incidente alla sicurezza informatica su una scala da 1 (meno efficace) a 5 (più efficace). Lo strumento è potente e semplice da utilizzare, composto da due fogli di calcolo diversi, per svolgere le valutazioni sia a livello di riepilogo che a livello di dettaglio.

Lo strumento di valutazione è stato sviluppato insieme ai rappresentanti di una vasta gamma di organizzazioni, inclusi organismi di settore, organizzazioni dei consumatori, governo britannico e fornitori di servizi di sicurezza tecnica esperti. Genera una valutazione a fronte di un modello di maturità che si basa su 15 passaggi all’interno del processo di risposta a un incidente di sicurezza informatica in 3 fasi, descritto di seguito.

 

 

Una panoramica dettagliata del Maturity Assessment Tool può essere scaricata QUI

2. Threat hunting

Il Threat hunting è l’attività di ricerca proattiva in rete in cerca di indicazioni di attività e software nocivi.

Le moderne reti di computer sono complicate, con tecnologie diversificate e di norma sono sparse geograficamente, oltre al problema dell’acquisizione e della successiva unione di varie reti terze parti.

Sebbene le tecnologie di sicurezza moderne forniscano una difesa dalle minacce più comuni, non identificheranno il 100% di esse ed è per questo che è richiesto l’intervento umano.

Bisogna andare oltre il tradizionale rilevamento basato su firma e regole, adottando invece tecniche di ricerca dati proattive e iterative che identifichino le minacce che eludono le tradizionali soluzioni di sicurezza.

Possiamo condurre il Threat hunting in diversi formati, a seconda della dimensione della rete e del livello di analisi richiesto:

  • Eseguiamo l’analisi one-shot per grandi ambienti, utile per le valutazioni ad alto livello, in particolare per i processi di due diligence per reti da integrare in seguito a un’acquisizione
  • Eseguiamo analisi più lunghe, tipicamente per periodi da una settimana a un mese. Sfruttano la registrazione centralizzata per la conservazione dei dati e software installato sul client per un’analisi approfondita
  • Eseguiamo un’analisi approfondita utilizzando una combinazione di logging centralizzato e analisi della memoria forense su asset chiave

Come parte del servizio:

  • Mettiamo a disposizione un team estremamente competente ed esperto
  • Forniamo avvertenze chiare per le minacce identificate
  • Creiamo un riepilogo con tutte le minacce identificate, con raccomandazioni per evitare che si ripresentino

Il servizio di Threat hunting di BSI prevede tre elementi: triage dell’host, threat hunter e analisi forense della memoria.

Nota: Il Threat hunting è un servizio condotto in ogni fase del percorso di risposta all’incidente, sia prima che dopo l’incidente, e costituisce pertanto un’implementazione costante.

Per eseguire un esercizio di Threat hunting si può utilizzare qualsiasi elemento e gli elementi utilizzati dipenderanno dai requisiti dell’organizzazione, dal tempo disponibile e dai fondi in azienda.

 

Host triage

Il triage dell’host è un servizio di consulenza concepito come piattaforma per la caccia alle minacce. Permette a un’organizzazione di condurre un esercizio di caccia alle minacce su un’intera azienda, in modo rapido e senza richiedere un team di esperti interno, né software installato in locale sull’host bersaglio. L’obiettivo del servizio di triage dell’host è scattare un’istantanea in quel punto del tempo, a grandi linee e rapidamente. L’analisi per un’organizzazione da cinquemila host può essere svolta entro dieci giorni.

 

Threat hunter

Il sistema threat hunter è stato progettato per fornire una valutazione più lunga di un’organizzazione. Il software client threat hunter viene implementato sugli host bersaglio e ogni host registra dati, come ad esempio la creazione di un processo e nuove connessioni di rete a un server centrale. Una volta che il sistema è operativo i nostri consulenti eseguono l’analisi dei dati registrati per identificare eventuali minacce o comportamenti sospetti.

Tipicamente il sistema threat hunter viene implementato per un periodo da una settimana fino a un mese, anche se può fornire una soluzione di monitoraggio con termini superiori, se richiesto. L’analisi condotta da consulente può essere svolta su base quotidiana, settimanale o mensile, a seconda della durata di implementazione e del numero di host bersaglio previsti dal servizio.

 

Analisi forense della memoria

L’analisi forense della memoria è in grado di produrre una visualizzazione approfondita di un host, della condizione del sistema operativo e dei processi in esecuzione. Sebbene l’acquisizione della memoria di un computer sia relativamente rapida, l’analisi richiede normalmente un minimo di due giorni di analisi per host. Per via del tempo richiesto dall’analisi, è importante identificare gli asset chiave di un’organizzazione. L’analisi forense della memoria può poi essere svolta periodicamente su un numero piccolo di host chiave (2-5).

L’analisi forense della memoria garantisce che gli host non presentino indicatori di software nocivi in esecuzione o comportamenti specifici di una compromissione. Per fornire una copertura maggiore della rete, gli host coinvolti nell’analisi possono essere fatti ruotare.

3. CIRP (Cybersecurity Incident Readiness Planning)

Poche organizzazioni comprendono realmente il proprio “stato di preparazione” a un incidente relativo alla propria sicurezza informatica, in particolare a un attacco di livello grave, e tipicamente non sono preparate in termini di:

  • Personale (ad es. assegnando un team o un addetto di risposta all’incidente, fornendo competenze tecniche a sufficienza, permettendo di prendere rapidamente decisioni e ottenendo accesso a terze parti critiche)
  • Processo (sapere cosa fare, come farlo e quando farlo), ad es. identificare un incidente di sicurezza informatica, indagare sulla situazione, intervenire opportunamente (ad es. contenere l’incidente ed estirpare la causa) e ripristinare sistemi, dati e connettività critici
  • Tecnologia (conoscenza dei propri dati e della propria topologia di rete, individuazione dei punti di contatto Internet e creazione / archiviazione degli opportuni log di eventi)
  • Informazioni (ad es. registrazione di dettagli a sufficienza relativi a quando, dove e come si è verificato l’incidente, definizione delle priorità di business e comprensione delle interdipendenze tra processi di business, sistemi di supporto e fornitori esterni, come ad esempio provider di soluzioni cloud o servizi di sicurezza gestiti)

Il nostro servizio di risposta agli incidenti si concentra sugli incidenti informatici che vanno da infezioni malware non mirate fino ad attacchi APT (Advanced Persistent Targeted, mirati persistenti e avanzati) e violazioni di rete.

Il servizio CIRP punta ad analizzare le procedure operative esistenti e l’ambiente del cliente, al fine di garantire che in caso di incidente siano presenti informazioni e processi a sufficienza per contenere l’incidente in modo puntuale, minimizzando l’impatto, i danni, i costi e minimizzando i potenziali danni alla reputazione.

L’erogazione del servizio FRP è suddivisa in diverse fasi. La fase iniziale include l’incontro con le parti principali per identificare gli asset potenzialmente interessati o bersaglio a causa di un incidente, le minacce significative per l’organizzazione e gli scenari a maggior impatto.

La seconda fase è la revisione della documentazione, che dovrebbe richiedere tra 5 e 10 giorni. Un esempio di documentazione analizzata in questa fase include:

  • Piani di risposta agli incidenti esistenti
  • Procedure operative standard (Standard Operating Procedure, SOP)
  • Disegni/Configurazioni dell’architettura di rete
  • Disegni/Configurazioni dell’infrastruttura di sicurezza (IDS, Endpoint Detection and Response (EDR))
  • CV dei membri del team
  • Regole del firewall

La terza fase consiste nei colloqui con le persone o i gruppi che costituiranno una fonte secondaria di informazioni, in modo da colmare eventuali gap dovuti alla revisione della documentazione. Un esempio potrebbe essere l’identificazione delle sorgenti di log per gli host chiave.

La fase finale è la produzione di un report che evidenzi gap e raccomandazioni utili a migliorare processi interni o ambiente dell’organizzazione. La fase finale include anche la produzione di un massimo di cinque runbook con una strategia dettagliata per il rilevamento e i metodi di risposta per affrontare minacce specifiche.

4. Individuazione dei dati (PII)

Combiniamo la nostra esperienza con le ultime tecnologie per configurare ed eseguire complessi progetti di eDiscovery locali e multigiurisdizionali. Seguiamo il modello di riferimento per l’individuazione elettronica (Electronic Discovery Reference Model, EDRM) come base per il progetto di individuazione elettronica.

Aiutiamo i clienti a trovare il giusto equilibrio tra supporto interno e gestito esternamente tramite il processo di eDiscovery, fornendo consulenza in ogni fase. Sia che si applichi il modello di riferimento per l’individuazione elettronica (Electronic Discovery Reference Model, EDRM) o equivalenti, forniremo supporto nell’allocazione di personale interno ed esterno, incorporando il processo scelto con una soluzione tecnologica idonea.

 

Gestione delle informazioni

La gestione delle informazioni cerca di stabilire un framework comune e pratico per affrontare in maniera efficace il crescente volume e la crescente diversità delle informazioni, oltre a rischi, costi e complicazioni associati.

Un sistema di gestione delle informazioni focalizzato aiuta a garantire il successo di un progetto eDiscovery, grazie a:

  • Rapida implementazione dei protocolli di eDiscovery per la raccolta e la preservazione di informazioni archiviate elettronicamente (Electronically Stored Information, ESI)
  • Un’identificazione rapida e affidabile delle sorgenti dati potenzialmente rilevanti
  • Sostanziali risparmi sui costi, non dovendo elaborare, rivedere e analizzare informazioni inutili

Disponiamo delle competenze per strutturare gli ambienti IT e progettare soluzioni di gestione delle informazioni. Pertanto, possiamo aiutare a stabilire le best practice per i cicli di gestione delle informazioni del cliente.

 

Identificazione

Conduciamo colloqui con le parti interessate nei reparti commerciale, legale e IT. In questo modo riusciamo a identificare i tipi di documenti rilevanti esistenti, come e dove sono archiviati questi dati e come interrogare al meglio i sistemi IT per estrarre i documenti in modo idoneo dal punto di vista forense. Aiutiamo le organizzazioni a trovare il modo migliore per pianificare ed eseguire l’identificazione con successo dei dati.

Le attività secondarie chiave che si verificano in fase di risposta includono:

  1. Triage dei primi soccorritori
  2. Raccolta e preservazione forensi
  3. Analisi forense

Oltre allo sviluppo di una politica di risposta a un incidente in un’organizzazione, possiamo anche offrire servizi da primi soccorritori in tempo reale, per supportare il cliente durante un attacco.

I nostri servizi di consulenza per risposta agli incidenti dedicati sono supportati da un team specializzato di esperti in sicurezza IT e consulenti di governance delle informazioni. La relazione di risposta a un incidente prestabilita comporta azioni rapide da parte del nostro team di soccorritori, riducendo la durata e l’impatto della violazione.

La nostra metodologia per la risposta a un incidente assicura un approccio sistematico e strutturato in risposta a un incidente di sicurezza. Questo garantisce per prima cosa che la violazione sia contenuta e le operazioni di business tornino alla norma non appena possibile, mentre vengono mantenuti gli obblighi di conformità e gli impatti della violazione sono completamente compresi. 

1. Triage dei primi soccorritori

Solitamente, le prime persone che affrontano l’incidente sono dette primi soccorritori, idealmente appartenenti a un team. Questi primi soccorritori devono essere in grado di determinare se saranno richieste risorse specializzate, incluse terze parti.

Molte organizzazioni non dispongono degli strumenti, dei sistemi o della conoscenza adeguati per condurre un’indagine idonea. Occorre identificare rapidamente se ambito e gravità vanno oltre le competenze a disposizione internamente, prima di prendere decisioni che potrebbero influire negativamente su un’indagine. È essenziale prevedere delle disposizioni anticipatamente, in modo che siano disponibili investigatori esperti con breve preavviso e dispongano di abbastanza informazioni in anticipo per iniziare a lavorare immediatamente.

Oltre agli esperti di risposta agli incidenti di sicurezza informatici, si possono anche coinvolgere altre terze parti tra cui specialisti forensi di tecnologia, analisti tecnici (ad esempio, esperti di database), analisti delle informazioni (ad esempio, contabili), esperti legali e supporto delle forze dell’ordine locale.

Alcune organizzazioni predispongono una “war room”, ovvero una sala operativa dedicata, durante gli attacchi alla sicurezza informatica più gravi. Si tratta dell’area di incontro e collaborazione principale del team di gestione crisi, dove tutte le parti coinvolte (investigatori sull’incidente, rappresentanti del personale IT, parti coinvolte e altri leader) si riuniscono per gestire l’incidente da un punto centralizzato.

Siamo in grado di offrire servizi di primi soccorritori per il supporto iniziale richiesto da un’organizzazione durante le prime fasi di un incidente. Inoltre, possiamo fornire supporto in caso di un incidente in corso e consigliare procedure per contenere e debellare l’autore dell’attacco. I nostri consulenti possono collaborare con un’azienda per dare priorità a sistemi chiave, correlare log ed eventi e consigliare interventi immediati per bloccare un intruso e ottenere nuovamente il controllo durante un attacco attivo.

Mettiamo a disposizione tutte le competenze tecniche richieste dalle indagini forensi per dischi rigidi, analisi forense per le memorie, fino all’analisi dei log e all’analisi di rete. Il confronto di queste informazioni, la distinzione dei fatti chiave e gli interventi decisivi per proteggere asset e sistemi di un’azienda sono competenze essenziali in possesso dei nostri consulenti per rispondere e reagire a una minaccia in corso.

2. Raccolta e preservazione forensi

Nelle fasi preliminari di un incidente o evento è fondamentale che vengano acquisite tutte le prove pertinenti e siano conservate in modo idoneo dal punto di vista forense. Siamo equipaggiati per acquisire i dati, inclusi i dati in esecuzione sulla memoria, da qualsiasi tipologia di sistema e dispositivo, dai tradizionali portatili e PC desktop, server, dispositivi mobili e applicazioni cloud.

3. Analisi forense

Vantiamo un’estesa esperienza nel condurre attività di analisi forense per rivelare la reale causa di un incidente, la sua portata e il suo impatto. La nostra soluzione analizza traffico di rete, file di log, memoria attiva, dischi, dispositivi mobili, sistemi cloud e qualsiasi altra fonte probatoria pertinente. Manteniamo numerosi laboratori certificati ISO 27001 equipaggiati con la tecnologia forense più aggiornata e sofisticata. I nostri consulenti sono altamente qualificati, con esperienza consolidata e seguono rigorose procedure, incluse quelle dello schema CSIR di CREST.

 

Nota: la caccia alle minacce è un servizio condotto in ogni fase del percorso di risposta all’incidente, sia prima che dopo l’incidente, e costituisce pertanto un’implementazione in corso d’opera.

Le attività secondarie chiave che si verificano in fase di risposta includono:

  1. eDiscovery e indagini forensi
  2. Conformità

1. eDiscovery e indagini forensi

Sfruttiamo i nostri esperti di eDiscovery e la nostra tecnologia per supportare appieno le organizzazioni nel promuovere una revisione efficace delle prove elettroniche, ottemperando all’ambito di una richiesta normativa o di un’ordinanza di tribunale. Adottiamo tecniche di gestione dei progetti di qualità superiore e tecnologie leader, per raccogliere e analizzare grandi volumi di dati in modo rapido e accurato. In questo i nostri clienti possono prendere decisioni informate relativamente a requisiti specifici. Ad esempio, possiamo aiutare a identificare la portata delle informazioni personali (Personably Identifiable Information, PII) esposte a una violazione, semplificare la revisione dei documenti su larga scala per consentire alle organizzazioni di rispondere a una richiesta normativa o a un ordine di tribunale di produrre documenti elettronici o analizzare e identificare le migliori prove da utilizzare come prova in procedimenti legali.

 

2. Conformità

In ogni settore, i requisiti di conformità normativa stanno diventando sempre più esigenti e complessi. La legislazione si sta evolvendo, ponendo maggiore responsabilità sulle organizzazioni, già pesantemente regolamentate. 

I nostri consulenti possiedono le conoscenze legali e tecniche per fornire soluzioni su misura. Aiutiamo i nostri clienti ad avere una visione dell’ambito dei requisiti legislativi tramite valutazioni degli obblighi normativi e valutazioni del rischio.

Stabiliamo politiche, procedure e linee di responsabilità, necessarie per soddisfare gli obblighi del cliente, con l’obiettivo generale di minimizzare i costi associati e la complessità coinvolta.