HPE Blog, Italy
annulla
Visualizzazione dei risultati per 
Cerca invece 
Intendevi dire: 

L'anatomia di un crimine informatico: la sicurezza di rete con una rete di difese

MassimilianoG

Dall’articolo The Anatomy Of A Hack: Network Security With A Network Of Defenses di @ericjbruno

 

Secondo James Comey, direttore dell'FBI, esistono due tipi di aziende: quelle che sono state attaccate dagli hacker e quelle che non sono ancora state attaccate. È una triste considerazione sui crimini informatici. E ancor peggio, secondo Verizon, il tempo necessario per danneggiare un'azienda sta diminuendo, mentre il tempo necessario per individuare le violazioni sta aumentando. Nel 60% di tutti gli attacchi alla sicurezza della rete, gli hacker riescono a compromettere un'azienda nel giro di pochi minuti. Secondo George Kurtz di CrowdStrike, ci vogliono più di 200 giorni prima che vengano rilevate le infezioni medie dei malware.

 

original (17).jpgDal punto di vista delle aziende, secondo Computerworld, il costo della sicurezza IT aumenterà del 46% nel 2015. Ovviamente le soluzioni IT da sole non sono sufficienti a proteggere dai crimini informatici: bisogna mettere in atto un piano d'azione.

 

Tempistica degli attacchi e della reazione

Segue uno schema degli attacchi degli hacker o delle violazioni dei dati con un piano di intervento articolato in varie fasi, partendo dalla preparazione prima dell'attacco. Seguite lo schema confrontandolo con il vostro piano.

 

T(-1): Preparazione

Supponiamo che utilizziate una soluzione IT con tanto di firewall, software di protezione e soluzione per il monitoraggio per rilevare gli attacchi alla sicurezza quando si verificano. Se ancora non li utilizzate, questa dovrebbe essere la vostra prima cosa da fare. In questo caso, un fornitore di servizi cloud o una soluzione di sicurezza sempre aggiornata sul fronte del rilevamento e della riduzione delle intrusioni è un'ottima scelta. 

Ma, nonostante le misure di sicurezza, è possibile che a un certo punto vi capiti di subire un attacco alla sicurezza e/o una violazione. Nello scenario peggiore, non sarete o non sembrerete preparati. Innanzitutto redigete un piano di intervento in caso di incidente definendo i membri del team. In secondo luogo, spiegate i ruoli e le responsabilità dei vari team e dei loro membri. In terzo luogo, definite con chiarezza i metodi e i canali di comunicazione e di segnalazione.

Dovreste anche creare una centrale di comando con centri di comando geografici con una scala gerarchica e individuare i candidati da mettere a capo dei centri. Servono diverse persone per coprire zone differenti con fusi orari diversi. I responsabili devono essere dipendenti autorizzati a prendere decisioni di livello elevato e devono essere sostenuti dai membri della dirigenza.

 

T(-0): Rilevamento

Usate soluzioni per il rilevamento delle minacce per scoprire in tempo reale quando si verifica un attacco informatico. Bisogna scoprire da dove partono le richieste con indirizzi non validi conosciuti, analizzare gli schemi del traffico di rete degli attacchi incentrati sull'uomo e simili e usare sistemi di intelligenza e analisi delle minacce di ultima generazione per individuare gli schemi che mostrino il potenziale degli attacchi al sistema interni ed esterni. 

 

T(+1): Identificazione

È estremamente importante scoprire chi vi sta attaccando. Il passo successivo è capire il tipo di minacce con cui avete a che fare attivando un team per individuare tre aspetti importanti: chi vi sta attaccando, dove intende arrivare e perché ci vuole arrivare (la sua motivazione). Non è sempre una questione pecuniaria: nell'attacco che la Sony ha subito di recente, ad esempio, un motivo potrebbe essere la vendetta

 

T(+2): Comunicazioni

Quando si individua un attacco o una violazione, fate passare parola in azienda e ricordatevi di avvisare le altre parti coinvolte. Molti attacchi arrivano tramite terzi, ad esempio un server Web compromesso di proprietà di un'altra azienda. Ricordatevi di avvisare i terzi per limitare i danni. Inoltre, in caso di violazione dei dati, avvisati le parti coinvolte.

 

T(+3): Reputazione

Sebbene subire un attacco informatico non sia bello, non comunicarlo in modo adeguato è ancora peggio. Preparate invece un comunicato generico e create comunicati specifici per l'attacco in questione. La cosa migliore è diffondere informazioni e dettagli su come state combattendo l'attacco o limitando la violazione. L'assenza o la scarsità di comunicazioni può soltanto ledere la vostra reputazione.

 

T(+4): Isolamento

Uno degli obiettivi degli hacker è infiltrarsi nel maggior numero possibile di sistemi. Il vostro obiettivo immediato è limitare l'attacco limitando la violazione specifica dei dati e, in secondo luogo, proteggendo i sistemi interni, come HR o CRM, da attacchi secondari. Man mano che aumentano il tempo di permanenza degli hacker nel sistema e il numero di sistemi in cui si infiltrano, eliminarli diventa sempre più difficile.

 

T(+5): Estirpazione

Il vostro prossimo obiettivo è cacciare definitivamente gli hacker e i loro malware dai vostri sistemi. Si tratta di un processo insidioso di individuazione, ripristino e verifica che i malware e gli hacker se ne siano andati. Dovrete affidarvi a una valida combinazione di software, backup e aiuto degli esperti.

 

T(+6): Fortificazione

Gli eventi dannosi come i crimini informatici sono un'opportunità di apprendimento. Bisogna imparare dagli attacchi per erigere difese contro gli attacchi futuri, scoprire episodi di scorrettezza dei dipendenti o identificare i partner con difese deboli. In tutti i casi, avrete bisogno di trovare dei modi per proteggervi. 

 

T(+7): Indagine

Anche se l'attacco informatico è stato individuato e attenuato, bisogna rivolgersi a un'azienda esterna per un'indagine indipendente sulla violazione, che serve a rinforzare quanto appreso, ad assicurarsi che le misure interne siano state adatte ed efficaci, a garantire la completa eliminazione del malware e a collaborare con gli enti normativi, laddove appropriato.

 

Tenetevi sempre pronti

Essere pronti e tenersi pronti sono due cose ben distinte. Gli hacker continuano a inventare nuove strategie, quindi anche la protezione della rete, i piani e le risposte devono essere sempre aggiornati. A tale scopo, effettuare le operazioni elencate di seguito.

  • Rivedere ed eventualmente rettificare i piani di risposta agli attacchi
  • Aggiornare i piani con nominativi e cariche
  • Informarsi sulle violazioni avvenute nel settore
  • Indagare sui malintenzionati per scoprirne le motivazioni, le strategie e le tattiche
  • Rinforzare la protezione con i software e le tecniche più aggiornate
  • Chiedere aiuto ad esterni

 

Qual è il metodo migliore che la vostra azienda deve adottare? Dovreste sfruttare i Big Data o la mobilità per migliorare l'esperienza utente? Scoprite il parere degli esperti nella lettera al CIO del futuro (in lingua inglese).

Massimiliano Galeazzi
0 Kudos
Informazioni sull'autore

MassimilianoG

Marketing