Cos'è un Cyber Incident? Come si affronta?
Con il termine "Cyber Incident" o "incidente di sicurezza" in italiano, si intende un qualsiasi evento con un impatto sulla Confidenzialità, ovvero la riservatezza di un'informazione, l'Integrità, ovvero la veridicità di un'informazione, e la Disponibilità, ovvero l'accessibilità di un'informazione. Ad esempio un'avaria (intenzionale o accidentale) a danno di hardware o software ha un impatto sulla Disponibilità ed è quindi un Cyber Incident.
In tempi recenti stiamo assistendo ad una vera e propria Cyber Incident escalation: violare i dati sensibili non è sempre una questione di soldi.
In questo editoriale approfondiremo gli aspetti del Cyber Incident:
Cyber Incident classifications
La classificazione degli incidenti di sicurezza è la seguente:
-
Access not granted: accesso non autorizzato a determinati sistemi;
-
Privilege escalation: attacco reso possibile grazie ad una falla del sistema, come ad esempio un errore di configurazione;
-
Insider threat: minaccia interna come ad esempio dipendenti o ex dipendenti in possesso di informazioni sensibili;
-
Phishing: truffa informatica finalizzata a carpire i dati sensibili della vittima spacciandosi per un ente accreditato;
-
Malware: attacco messo in opera con l'utilizzo di software maligni installati sui dispositivi della vittima a sua insaputa;
-
Denial-of-service (DoS): “negazione del servizio”. Si intende un qualsiasi attacco in grado di far esaurire deliberatamente le risorse di un sistema informatico che fornisce un servizio ai client;
-
Man-in-the-middle: attacco che consiste nell inserirsi abusivamente in una conversazione tra 2 parti, sostituendosi ad una esse;
-
Password cracking: tentativo di entrare in possesso delle password di un sistema. Spesso consistono nel provare tutte le combinazioni di cifre e caratteri possibili.
Le figure e attività professionali nel Cyber Incident
Ci sono due importanti figure professionali nel campo dei Cyber Incident:
Response Team
Un gruppo di tecnici che valuta, documenta ed agisce, ovvero affronta un Cyber Incident in modo che un sistema possa non solo recuperare rapidamente i danni subiti, ma anche evitarne di nuovi ed ulteriori.
Cyber Incident forensics
Attività analitica di tipo forense svolta a seguito di un Cyber Incident, al fine di ottenere prove documentali da riprodurre in giudizio.
Le fasi del Cyber Incident
Le principali fasi in cui si può scomporre la risposta ad un Cyber Incident sono:
Cyber Incident management
Gestione del Cyber Incident. Si intende l'utilizzo, anche combinato, di dispositivi, sistemi software e/o indagini svolte da individui. Ha inizio nel momento in cui viene individuato un incidente di sicurezza.
Reporting Framework
Sistema di rendicontazione utilizzato non appena si ha la conferma che un sistema è stato colpito da Cyber Incident.
Response Plan
Insieme di istruzioni per aiutare il personale a rilevare, rispondere, riparare e/o recuperare i danni provocati da un Cyber Incident. Nella terminologia dei Blue Team si chiamano anche PlayBook.
Communication Plan
Sistema di comunicazione finalizzato ad avvisare rapidamente le parti coinvolte dal Cyber Incident e coordinare queste ultime per la riparazione del danno.
Incident report
Report creato sulla base di un template e una checklist per descrivere gli aspetti dell'incidente di sicurezza, i dati coinvolti, i sistemi coinvolti, l'estensione temporale, il personale informato ed i ruoli del team. Può essere strutturato secondo una lista di domande e risposte che devono almeno includere le Five Ws, ovvero: Who (Chi?), What (Cosa?), Where (Dove?), When (Quando?), Why (Perchè?).
Metodologia
Formazione
È indispensabile formare il Cyber Incident Response Team che dovrà intervenire in caso di Cyber Incident. È opportuno nominare sempre un responsabile al fine di migliorare la coordinazione tra tutti i componenti.
Rilevamento e identificazione
È essenziale rilevare con precisione la violazione, e assicurarsi anche che non sia in grado di creare ulteriori danni.
Contenimento e riparazione del danno
Tali azioni possono consistere nel bloccare indirizzi IP singoli o range di IP, nell'isolare un determinato sistema, bloccare utenti, impedire l'esecuzione di file dato il loro nome, MD5, contenuto, nell'installazione di patch di sicurezza per risolvere altri problemi di vulnerabilità della rete.
Valutare la gravità del danno
Una volta avvenuto il Cyber Incident, quali sono i danni effettivi arrecati al sistema? Quali sono stati i dati ed i sistemi coinvolti?
Inizio del processo di notifica
La violazione dei dati sensibili deve essere notificata anche agli enti pubblici preposti, in accordo con le disposizioni vigenti in materia di tutela della privacy (GDPR).
Prevenzione
Il miglior modo per non subire un Cyber Incident è quello di prevedere i rischi, risolvere le problematiche che lo possono causare e/o favorire ed effettuare periodicamente simulazioni di attacco.
Riferimenti:
Il Cyber Incident Response Team
https://www.ncsc.gov.uk/collection/incident-management/creating-incident-response-team