Red Hot Cyber

La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed 
incentiva gli altri a fare meglio di te.

Cerca

Vademecum di mitigazione di un incidente informatico: le prima cose da fare in casi di cyber attacco

Ricardo Nardini : 10 Luglio 2023 10:56

  

Per definizione un incidente di sicurezza si verifica quando un sistema informatico, una rete o i dati contenuti in essi vengono compromessi, violati o danneggiati da attività malevole o non autorizzate. Questi incidenti possono essere causati da varie fattori, come malintenzionati, malware, attacchi DDoS (Distributed Denial of Service), furti di dati, violazioni della sicurezza fisica, perdita o smarrimento di dispositivi contenenti informazioni sensibili, e così via.

Un incidente di sicurezza informatica consiste nell’accesso a informazioni riservate di individui o aziende da parte di un gruppo o una persona non autorizzata. Gli obiettivi in un incidente informatico possono essere diversi, tra cui l’accesso non autorizzato, ovvero quando un attaccante cerca di ottenere l’accesso a sistemi o reti per rubare informazioni sensibili, come dati personali, segreti commerciali o informazioni finanziarie.

Le interruzioni del servizio e le motivazioni dell’attacco

L’interruzione del servizio come detto prima, invece è quando un attaccante ha come obbiettivo interrompere servizi online o le operazioni di un’organizzazione attraverso attacchi DDoS o altre tecniche, causando l’interruzione del funzionamento dei sistemi. La modifica o danneggiamento dei dati è un altro metodo, ovvero quando un attaccante cerca di alterare, cancellare o danneggiare i dati critici di un’organizzazione, causando perdite finanziarie, di reputazione o danni operativi.

L’estorsione invece, è quando alcuni attaccanti (generalmente cybercrime da profitto) richiedono denaro o risorse dall’organizzazione minacciando di divulgare informazioni sensibili o bloccando l’accesso ai sistemi fino a quando un riscatto non viene pagato.

Lo spionaggio industriale d’altro canto si verifica quando gli attacchi informatici possono essere attuati da concorrenti o entità straniere per ottenere vantaggi competitivi attraverso il furto di segreti commerciali, proprietà intellettuale o informazioni riservate.

La gravità di un incidente di sicurezza può variare notevolmente, sia da semplici tentativi di accesso non autorizzato a sofisticati attacchi mirati. Indipendentemente dalla natura dell’incidente, è essenziale riconoscere e rispondere prontamente per limitare i danni, proteggere le informazioni sensibili e ripristinare la sicurezza dei sistemi colpiti.

Le primissime misure da adottare e lo spiegamento delle forze di emergenza

A ragion di logica è necessario disporre di un protocollo interno di gestione degli incidenti, che ci consenta di definire e stabilire le misure da adottare in caso di incidente di sicurezza. Qualora l’azienda non sia dotata dei moderni sistemi per l’individuazione automatica di escalation, in caso di un incidente di sicurezza informatica si devono adottare le misure di emergenza da attuare come l’isolamento immediato del sistema o la rete compromessa dalla connessione Internet. Questo aiuta a prevenire ulteriori infiltrazioni o diffusione dell’attacco ad altre parti del sistema.

L’azione corretta sarebbe l’isolamento parziale della rete in questione. E’ essenziale fare una valutazione preliminare dell’incidente per capire la sua natura e l’estensione del danno, raccogliere informazioni sulle azioni sospette, gli eventuali messaggi di errore o le notifiche del sistema che potrebbero fornire indicazioni sull’incidente. Diventa inoltre indispensabile comunicare immediatamente l’incidente alle persone coinvolte nel management della sicurezza informatica all’interno dell’organizzazione, come il responsabile della sicurezza delle informazioni (CISO – Chief Information Security Officer) o il team di risposta agli incidenti informatici (CSIRT – Computer Security Incident Response Team).

La gestione degli incidenti di questo genere è un processo delicato, politico, stressante e in alcuni casi un processo decisionale difficile. Un buon gruppo per la gestioni di incidenti di questa natura, avrà una buona diversità di profili necessari per affrontarlo, ovvero specialisti di sicurezza informatica, esperti di tecnologia, e soprattutto avvocati poiché affronterà il processo anche da una posizione esterna, che dovrà essere pragmatica e non contaminata da quanto accaduto.

E’ necessario quindi capire perché l’incidente non è stato rilevato in anticipo rispetto all’accaduto. Potrebbe essere perché l’organizzazione non dispone di un buon sistema di sicurezza informatica preventiva. È possibile che il monitoraggio dei sistemi non esista, non sia sufficiente, non sia curato ne adeguato, non vi sia una procedura di revisione o semplicemente il personale non sia ben qualificato. 

Inizio delle misure risolutive 

Una volta che l’incidente è stato analizzato e si è determinato come è avvenuto, è importante applicare i controlli e le misure necessarie per risolverlo e impostare le azioni volte a chiudere la fuga di notizie e prevenire nuove fughe di informazioni. In questa fase vengono stabiliti possibili piani di comunicazione sia internamente che con i clienti interessati e le autorità corrispondenti.

Conservare tutte le prove pertinenti anche quelle più banali è un atto indispensabile, inclusi log di sistema, file di registro, schermate e altri dati rilevanti. Questi elementi potrebbero essere utili per l’analisi forense successiva e per identificare le cause dell’incidente.

Come si diceva prima, se l’incidente è di natura grave o coinvolge dati sensibili personali, potrebbe essere necessario coinvolgere immediatamente le autorità competenti, come le forze dell’ordine o le agenzie di regolamentazione. D’altra parte si cercherà di contenere l’incidente per evitare ulteriori danni.

Questo potrebbe comportare la disabilitazione temporanea dei sistemi colpiti, la revoca delle credenziali compromesse o altre misure per bloccare gli accessi non autorizzati.

Le procedure e l’identificazione del perimetro

È importante disporre di una road map o procedura che ci guidi in tutti i passaggi che devono essere compiuti durante e dopo l’incidente. Se questo non esiste o non è stato precedentemente stilato e pianificato, perderemo tempo e le conseguenze saranno peggiori e si prolungheranno nel tempo.

Se l’organizzazione ha lavorato in precedenza su una buona politica di controllo degli accessi, con il minor privilegio possibile e zero trust, avremo già mitigato molto. Inoltre, se esistesse una procedura di rilevamento delle intrusioni di rete con i sistemi corrispondenti, potremmo catturare l’intruso prima che possa accedere a tutta la nostra rete.

Inoltre, con un’architettura di rete segmentata, sarà più difficile l’accesso e forse più facile da rilevare quando si tenta di passare da una rete all’altra. Avere i beni cespitati e ben classificati può pure aiutare a capire la posizione di ogni dispositivo all’interno della porzione della rete cablata, in questo modo potremmo sapere quale dei beni potrebbero essere stati compromessi.

Se non ci fosse un vero inventario o una classificazione dei beni, sarebbe difficile non solo conoscere l’entità dell’attacco, ma anche rispondere alle autorità competenti.

Attività di crisis management

Quando un’azienda subisce un attacco di sicurezza informatica, una delle decisioni più cruciali che deve prendere è se comunicare o meno l’incidente ai propri clienti e stakeholder. In passato, molte aziende potrebbero aver temuto le conseguenze negative di una tale comunicazione, temendo che potesse danneggiare la loro reputazione e la fiducia dei clienti. Tuttavia, negli ultimi anni, c’è stata una chiara evoluzione nel modo in cui le organizzazioni affrontano queste situazioni.

Oggi, molte aziende si rendono conto che la comunicazione tempestiva e trasparente è un elemento cruciale per mantenere la fiducia dei propri clienti e dimostrare un impegno verso la sicurezza dei dati. Ritardare la comunicazione di un incidente di sicurezza spesso porta a conseguenze ancora più gravi, come la perdita di fiducia, possibili azioni legali e danni reputazionali irreparabili.

Quando si comunica agli interessati, è importante fornire informazioni chiare e concise sull’incidente, evitando tecnicismi che potrebbero confondere i non addetti ai lavori. Gli interessati devono essere informati sul tipo di violazione che si è verificata, quali dati potrebbero essere stati compromessi e quali azioni l’azienda sta intraprendendo per rispondere all’incidente.

La comunicazione dovrebbe anche includere le misure preventive che l’azienda sta adottando per rafforzare la sicurezza e prevenire future violazioni. Questo può comprendere l’implementazione di nuove politiche di sicurezza, l’adozione di tecnologie avanzate, l’aumento della formazione dei dipendenti sulla sicurezza informatica e l’eventuale coinvolgimento di esperti esterni per un audit della sicurezza.

È importante sottolineare che la comunicazione non dovrebbe limitarsi solo ai clienti direttamente interessati, ma dovrebbe estendersi a tutti gli stakeholder rilevanti, come partner commerciali, fornitori e dipendenti. Questo dimostra un impegno generale verso la trasparenza e la responsabilità.

Comunicare un incidente di sicurezza può essere un’opportunità per l’azienda per dimostrare la propria capacità di gestione delle crisi e la dedizione alla sicurezza dei dati dei propri clienti. Una risposta efficace e trasparente può contribuire a mantenere la fiducia dei clienti e a rafforzare la reputazione dell’azienda nel lungo termine.

Non abbiate paura di comunicare ai vostri clienti che state rispondendo ad un attacco informatico, anche perché questo si saprà in qualche modo. La trasparenza e la comunicazione tempestiva sono i pilastri fondamentali per mantenere la fiducia e costruire relazioni solide con i clienti.

Ripristino e rimessa in opera della produttività

La fase successiva delle operazioni fa scattare il ripristino. Dopo aver contenuto l’incidente, si procede al ripristino dei sistemi o delle reti interessate. Questo potrebbe includere la re-installazione dei sistemi da backup puliti o la ricostruzione delle configurazioni compromesse. 

È importante progettare un sistema di ripristino dei backup con garanzie e sicurezza, poiché i criminali informatici, quando penetrano in un’organizzazione e hanno come obbiettivo una paralisi aziendale o un attacco ramsonware, mirano a rendere inutili le copie di backup. Quindi è necessario progettare un piano di backup basato sulla gravità dei danni.

La copia dei dati a basso rischio invece, che dovrebbe essere eseguita meno frequentemente, non ha lo stesso tenore della retention dei dati ad alto rischio. Assicurarsi quindi che le copie siano eseguite correttamente e di conseguenza è importante disporre di una routine per verificare che le copie siano valide e possano essere utilizzate per i ripristini. Il ripristino annidato è un processo delicato e ad alto stress, poiché non è veloce e talvolta il restore fallisce.

Per questo motivo è necessario definire una procedura di recupero che indichi in quale ordine e come ripristinare le copie. Questa procedura, come le precedenti, deve essere migliorata periodicamente. Si avrà bisogno di un’infrastruttura preparata per ripristinare i sistemi e inutile a dirsi, non è consigliabile utilizzare un’infrastruttura che è stata compromessa per ripristinare una copia da un sistema per diversi motivi, per esempio il sistema violato sarà analizzato dal team forense per scoprire le dimensioni e la profondità della violazione, nonché il vettore di attacco.

A sua volta il ripristino di una copia su un sistema che è stato violato non offre garanzie sufficienti, ed è possibile che ci siano programmi dormienti o porte aperte per essere riutilizzate dall’attaccante.

Verifiche delle cause, analisi e studio dell’accaduto

Nel frattempo è necessario un analisi dell’incidente dove si verifica profondamente l’incidente per comprendere le cause, gli obiettivi e le modalità dell’attacco. Questo aiuterà a prendere misure preventive per evitare incidenti futuri di questa natura. È importante disporre degli strumenti necessari per analizzare come e quando si è verificato l’incidente, le informazioni che potrebbero essere state rubate, scoprire dove sono state rese pubbliche, ecc.

Una volta ottenuto un rapporto dettagliato di questo analisi si può procedere agli aggiornamenti delle politiche di sicurezza come la rivisitazione delle politiche e le procedure di sicurezza informatiche dell’organizzazione per garantire che siano adeguate a prevenire futuri problemi, quindi si apportano le modifiche necessarie per rafforzare la sicurezza complessiva del sistema.

Per ultimo, e molto importante, si organizza il “Follow-up” delle misure applicate in modo di monitorare e realizzare miglioramenti continui, per garantire che le misure di protezione e prevenzione applicate siano adeguate per evitare un incidente di sicurezza con le stesse caratteristiche. 

Risulta impossibile assicurare di essere completamente immune agli attacchi informatici, quindi è importante disporre di misure di sicurezza immediate che riducano al minimo gli attacchi e i rischi a cui è esposta un’organizzazione e soprattutto conoscere e agire urgentemente una volta che l’azienda è stata attaccata o è suscettibile di un incidente di sicurezza informatica.

Ricardo Nardini
Specialista elettronico in telecomunicazioni, si dedicò all'informatica dal 1987. Prestò servizio per Ericsson, Harris e Nokia. Negli anni novanta ha lavorato per clienti come Agusta, Siai Marchetti, e per Euratom (JRC) Ispra. Negli anni 2000 era IT di secondo livello presso Vodafone. Lavorò per otto anni su sistemi AS400 presso Intesasanpaolo. Attualmente è un IT System Specialist, e si occupa anche esternamente di problematiche inerenti il perimetro della sicurezza informatica e la cybersecurity.