Cyber Incident

di Francesco Ongaro, 23/04/2020
Cyber Incident

Cos'è un Cyber Incident? Come si affronta?

Con il termine "Cyber Incident" o "incidente di sicurezza" in italiano, si intende un qualsiasi evento con un impatto sulla Confidenzialità, ovvero la riservatezza di un'informazione, l'Integrità, ovvero la veridicità di un'informazione, e la Disponibilità, ovvero l'accessibilità di un'informazione. Ad esempio un'avaria (intenzionale o accidentale) a danno di hardware o software ha un impatto sulla Disponibilità ed è quindi un Cyber Incident.

In tempi recenti stiamo assistendo ad una vera e propria Cyber Incident escalation: violare i dati sensibili non è sempre una questione di soldi.

In questo editoriale approfondiremo gli aspetti del Cyber Incident:

Cyber Incident classifications

La classificazione degli incidenti di sicurezza è la seguente:

  • Access not granted: accesso non autorizzato a determinati sistemi;

  • Privilege escalation: attacco reso possibile grazie ad una falla del sistema, come ad esempio un errore di configurazione;

  • Insider threat: minaccia interna come ad esempio dipendenti o ex dipendenti in possesso di informazioni sensibili;

  • Phishing: truffa informatica finalizzata a carpire i dati sensibili della vittima spacciandosi per un ente accreditato;

  • Malware: attacco messo in opera con l'utilizzo di software maligni installati sui dispositivi della vittima a sua insaputa;

  • Denial-of-service (DoS): “negazione del servizio”. Si intende un qualsiasi attacco in grado di far esaurire deliberatamente le risorse di un sistema informatico che fornisce un servizio ai client;

  • Man-in-the-middle: attacco che consiste nell inserirsi abusivamente in una conversazione tra 2 parti, sostituendosi ad una esse;

  • Password cracking: tentativo di entrare in possesso delle password di un sistema. Spesso consistono nel provare tutte le combinazioni di cifre e caratteri possibili.

Le figure e attività professionali nel Cyber Incident

Ci sono due importanti figure professionali nel campo dei Cyber Incident:

Response Team

Un gruppo di tecnici che valuta, documenta ed agisce, ovvero affronta un Cyber Incident in modo che un sistema possa non solo recuperare rapidamente i danni subiti, ma anche evitarne di nuovi ed ulteriori.

Cyber Incident forensics

Attività analitica di tipo forense svolta a seguito di un Cyber Incident, al fine di ottenere prove documentali da riprodurre in giudizio.

Le fasi del Cyber Incident

Le principali fasi in cui si può scomporre la risposta ad un Cyber Incident sono:

Cyber Incident management

Gestione del Cyber Incident. Si intende l'utilizzo, anche combinato, di dispositivi, sistemi software e/o indagini svolte da individui. Ha inizio nel momento in cui viene individuato un incidente di sicurezza.

Reporting Framework

Sistema di rendicontazione utilizzato non appena si ha la conferma che un sistema è stato colpito da Cyber Incident.

Response Plan

Insieme di istruzioni per aiutare il personale a rilevare, rispondere, riparare e/o recuperare i danni provocati da un Cyber Incident. Nella terminologia dei Blue Team si chiamano anche PlayBook.

Communication Plan

Sistema di comunicazione finalizzato ad avvisare rapidamente le parti coinvolte dal Cyber Incident e coordinare queste ultime per la riparazione del danno.

Incident report

Report creato sulla base di un template e una checklist per descrivere gli aspetti dell'incidente di sicurezza, i dati coinvolti, i sistemi coinvolti, l'estensione temporale, il personale informato ed i ruoli del team. Può essere strutturato secondo una lista di domande e risposte che devono almeno includere le Five Ws, ovvero: Who (Chi?), What (Cosa?), Where (Dove?), When (Quando?), Why (Perchè?).

Metodologia

Formazione

È indispensabile formare il Cyber Incident Response Team che dovrà intervenire in caso di Cyber Incident. È opportuno nominare sempre un responsabile al fine di migliorare la coordinazione tra tutti i componenti.

Rilevamento e identificazione

È essenziale rilevare con precisione la violazione, e assicurarsi anche che non sia in grado di creare ulteriori danni.

Contenimento e riparazione del danno

Tali azioni possono consistere nel bloccare indirizzi IP singoli o range di IP, nell'isolare un determinato sistema, bloccare utenti, impedire l'esecuzione di file dato il loro nome, MD5, contenuto, nell'installazione di patch di sicurezza per risolvere altri problemi di vulnerabilità della rete.

Valutare la gravità del danno

Una volta avvenuto il Cyber Incident, quali sono i danni effettivi arrecati al sistema? Quali sono stati i dati ed i sistemi coinvolti?

Inizio del processo di notifica

La violazione dei dati sensibili deve essere notificata anche agli enti pubblici preposti, in accordo con le disposizioni vigenti in materia di tutela della privacy (GDPR).

Prevenzione

Il miglior modo per non subire un Cyber Incident è quello di prevedere i rischi, risolvere le problematiche che lo possono causare e/o favorire ed effettuare periodicamente simulazioni di attacco.

Riferimenti:

Il Cyber Incident Response Team

https://www.ncsc.gov.uk/collection/incident-management/creating-incident-response-team

Richiedi maggiori informazioni a riguardo

Oppure chiamaci al
(+39) 045 4853232

Autore
author
Francesco Ongaro
Amministratore Unico
Tags
Cyber Security, Best Practice
Social
Richiedi maggiori informazioni a riguardo

Oppure chiamaci al
(+39) 045 4853232

Post Recenti

Visita il blog

Tags Popolari

Pubblicazioni

Una breve raccolta delle pubblicazioni, dei materiali e delle presentazioni che i componenti del nostro staff hanno avuto modo di produrre o tenere nel corso della loro carriera.

A dimostrazione che per noi l'IT Security non è solamente un mercato ma una grande passione.

Le nostre pubblicazioni

Ricerche

La ricerca è un'attività affascinante che pone l'esperto di sicurezza informatica di fronte a scenari e sfide sempre nuove. Da anni anche tramite la nostra incarnazione non commerciale, ush.it - a beautiful place, ci dedichiamo alla pubblicazione di advisory, sviluppo di exploit e bug hunting.

Le nostre ricerche

Formazione e Training

Forti dell'esperienza accumulata nelle attività svolte fino ad oggi, dei risultati della nostra ricerca e della conoscenza delle problematiche e soluzioni della sicurezza informatica, proponiamo vari percorsi di formazione per figure che svolgono attività offensive (auditor, penetration tester) o difensive (amministratori di rete, sviluppatori).

La Formazione

ISGroup SRL
Via Cantarane, 14
37129 Verona VR
CF e P.IVA 04164220230
REA VR-397513

Contatti

Azienda certificata ISO 9001 e ISO 27001

Cybersecurity made in Italy

© 2005-2024 ISGroup SRL. Tutti i diritti riservati.

Sitemap  Privacy Policy  Cookie Policy