Crea delle policy di Incident Response

Crea delle policy di Incident Response

Che cos'è una politica di risposta agli incidenti?

La Security Incident Response Policy (SIRP) stabilisce che l'organizzazione dispone dei controlli necessari per rilevare le vulnerabilità e gli incidenti di sicurezza, nonché dei processi e delle procedure per risolverli.

Deve essere allo stesso tempo concisa e completa.Si tratta di una policy che, se scritta male, può avere un impatto notevole sulla produttività e sulla percezione dei clienti.

Nella fase iniziale della stesura di un SIRP, dovrete iniziare a distinguere tra un allarme di sicurezza e un incidente di sicurezza. Un allarme di sicurezza è qualcosa che probabilmente ricevete già in maniera costante durante la giornata. Per esempio, potreste ricevere un avviso quando qualcuno scansiona il vostro firewall alla ricerca di porte aperte o il vostro antivirus segnala che un sistema critico potrebbe essere compromesso. Dal punto di vista del SIRP, un avviso diventa un incidente quando si inizia a indagare attivamente. Nell'esempio del firewall, se si accede al dispositivo per bloccare la fonte della scansione della porta, questo sarà considerato un incidente. Utilizzate il vostro sistema di registrazione degli eventi di sicurezza per trovare il giusto equilibrio tra avvisi e incidenti. Se i trigger di allarme sono troppo sensibili, i membri del team potrebbero soffrire di stanchezza da allarmi continui. Se invece i trigger sono troppo deboli, potrebbero sfuggire i segnali d'allarme di un incidente grave.

Inoltre, non è necessario complicare eccessivamente il processo di documentazione degli incidenti. Utilizzate il vostro sistema di ticket esistente come registro di segnalazione degli incidenti per tenere aggiornati i vostri team sull'andamento di un incidente. Potrebbe essere semplice come un canale Slack. Durante l'incidente, create un canale Slack dedicato e monouso come piattaforma per allegare registri, screenshot e altre prove. Quando il triage è stato completato, le azioni correttive sono state intraprese e la discussione post-incidente si è conclusa, assicuratevi di salvare tutte le prove in una posizione di backup per riferimenti futuri e follow-up, se necessario.

Dovete anche pensare a come comportarvi in caso di incidente grave, ad esempio se la rete subisce una violazione della sicurezza o se viene compromesso un sistema critico che contiene informazioni personali. Se non disponete delle competenze interne per avviare un'indagine forense completa, dovreste affidarvi a qualcuno che ne sia in grado. La definizione anticipata di un rapporto con un team forense per le violazioni della sicurezza vi farà risparmiare molto tempo, denaro e stress quando vi troverete nel pieno di un grave incidente. Quando dovrete fare riferimento al SIRP, sarete probabilmente impegnati in una risposta ad un incidente, con la pressione che aumenta di minuto in minuto. Quanto più si può pensare e pianificare in anticipo il SIRP, tanto meglio sarà. Durante la stesura della SIRP, chiedetevi: "Come posso mantenere questa SIRP il più semplice e facile da seguire?".

Programmate un'esercitazione due volte l'anno, scegliendo alcuni scenari "what if" e discutendone con il vostro team. Assicuratevi che tutti sappiano chi deve essere avvisato in caso di incidente, quali informazioni iniziali sull'incidente devono essere raccolte immediatamente e come gli incidenti devono essere classificati. Inoltre, assicuratevi che ogni incidente risolto sia sottoposto a un'autopsia e a un'analisi delle cause.

In sintesi, ecco 9 consigli per creare un SIRP efficace:

  1. Lavorare per affinare continuamente la soglia tra avviso di sicurezza e incidente di sicurezza;

  2. È normale che un incidente venga risolto come un falso positivo, ma è bene utilizzare quanto appreso per perfezionare la soglia di promozione degli avvisi;

  3. La segnalazione degli incidenti può essere condotta con un sistema che il vostro team sta già utilizzando, come Slack o Teams;

  4. Avere un team di risposta agli incidenti (spesso chiamato Computer Security Incident Response Team o CSIRT) a disposizione per aiutare in caso di emergenza;

  5. Il team di risposta agli incidenti probabilmente raccoglierà informazioni in anticipo, in modo da essere il più preparato possibile nel caso in cui doveste richiedere i suoi servizi;

  6. Le informazioni raccolte potrebbero includere diagrammi di rete, copie delle politiche e del piano di risposta agli incidenti, l'inventario delle risorse e degli indirizzi IP e le informazioni di contatto del Chief Information Officer (CIO) e/o di altri dirigenti;

  7. I membri del team di risposta agli incidenti potrebbero anche disporre di un'infrastruttura tecnica per aiutarvi a prepararvi ad affrontare gli attacchi più comuni, come i DDoS (distributed denial-of-service attacks);

  8. Possono anche consigliare esercizi da praticare per prepararsi meglio a una violazione dei dati, anche qualcosa di semplice come l'esecuzione del processo di backup e ripristino;

  9. Testate regolarmente il SIRP e cercate di mantenerlo il più semplice e completo possibile.