Trace Id is missing
Passa a contenuti principali
Microsoft Security

Cos'è la risposta agli incidenti?

Scopri in che modo un'efficace risposta agli incidenti aiuta le organizzazioni a rilevare, risolvere e arrestare i cyberattacchi.

Scopri di più su Microsoft Sentinel

Definizione di risposta agli incidenti

Prima di definire la risposta agli incidenti, è importante chiarire cosa si intende con incidente. Nell'IT, esistono tre termini che a volte vengono usati in modo intercambiabile, ma che hanno significati diversi:

  1. Un evento è un'azione innocua che si verifica frequentemente, come ad esempio la creazione di un file, l'eliminazione di una cartella o l'apertura di un messaggio di posta elettronica. Di per sé un evento non è un'indicazione di una violazione, ma se associato ad altri eventi può segnalare una minaccia. 
  2. Un avviso è una notifica attivata da un evento, che può rappresentare una minaccia oppure no.
  3. Un incidente è un insieme di avvisi correlati che gli esseri umani o gli strumenti di automazione hanno considerato come una probabile minaccia. Di per sé, il singolo avviso potrebbe non segnalare una minaccia grave, ma se combinati, indicano una possibile violazione.

La risposta agli incidenti comprende le azioni che un'organizzazione compie quando ritiene che i sistemi IT o i dati siano stati violati. Ad esempio, i professionisti della sicurezza agiranno se vedranno le prove di un utente non autorizzato, malware o insuccesso delle misure di sicurezza.

Gli obiettivi della risposta sono quello di eliminare un cyberattacco il più rapidamente possibile, eseguire il ripristino, informare i clienti o gli enti pubblici secondo quanto previsto dalle leggi locali e capire come ridurre il rischio di una simile violazione in futuro.

Come funziona la risposta agli incidenti?

La risposta agli incidenti normalmente inizia quando il team di sicurezza riceve un avviso credibile da un sistema SIEM (Security Information and Event Management).

I membri del team devono verificare che l'evento rappresenti un incidente, quindi isolare i sistemi infetti e rimuovere la minaccia. Se l'incidente è grave o richiede tempi di risoluzione lunghi, le organizzazioni potrebbero aver bisogno di ripristinare i dati di backup, gestire un riscatto o informare i clienti della compromissione dei loro dati.

Per questo motivo, anche le persone che non fanno parte del team di cybersecurity vengono normalmente coinvolte nella risposta. Esperti di privacy, avvocati e responsabili delle decisioni aziendali contribuiranno a determinare l'approccio dell'organizzazione a un incidente e alle relative conseguenze.

Tipi di incidenti di sicurezza

Sono molti i modi in cui gli autori degli attacchi provano ad accedere ai dati di un'azienda o comprometterne in altro modo il sistemi e le operazioni aziendali. Ecco alcuni dei più comuni:

Phishing

Il phishing è un tipo di ingegneria sociale in cui un utente malintenzionato usa posta elettronica, SMS o una telefonata per fingersi una persona o un brand stimati. Un tipico attacco di phishing prova a persuadere i destinatari a scaricare malware o a fornire la propria password. Questi attacchi sfruttano la fiducia delle persone e impiegano tecniche psicologiche come la paura per spingerle a fare qualcosa. Molti di questi attacchi non sono mirati, sono rivolti a migliaia di persone nella speranza che almeno uno risponda. Tuttavia, una versione più sofisticata detta spear phishing usa la ricerca approfondita per creare un messaggio che vuole essere persuasivo per un singolo utente.

Malware

Il malware fa riferimento a qualsiasi software progettato per danneggiare un sistema informatico o esfiltrare dati. Può assumere molte forme tra cui virus, ransomware, spyware e trojan. Utenti malintenzionati installano malware sfruttando vulnerabilità hardware e software o convincendo un dipendente a farlo tramite una tecnica di ingegneria sociale.

Ransomware

In un attacco ransomware, gli utenti malintenzionati usano il malware per crittografare i dati e sistemi critici, quindi minacciarli di renderli pubblici o distruggerli qualora la vittima non pagasse un riscatto.

Attacco denial of service

In un attacco DDoS (attacco denial-of-service), un attore di minacce sovraccarica una rete o un sistema con traffico fino a rallentarli o a causarne un arresto anomalo. Generalmente, gli utenti malintenzionati prendono di mira aziende di profilo elevato come banche o governi con l'obiettivo di causare loro un danno in termini di tempo e denaro, ma le organizzazioni di tutte le dimensioni possono essere vittime di questo tipo di attacco.

Attacco Man-in-the-middle

Un altro metodo che i criminali informatici usano per rubare i dati personali consiste nell'inserirsi nel mezzo di una conversazione online tra persone che pensano di comunicare privatamente. Intercettando i messaggi e copiandoli o modificandoli prima dell'invio al destinatario desiderato, provano a manipolare uno dei partecipanti affinché gli dia dei dati di valore.

Minaccia interna

Anche se la maggior parte degli attacchi è condotta da persone esterne a un'organizzazione, i team della sicurezza devono fare attenzione anche alle minacce interne. I dipendenti e altre persone che hanno legittimamente accesso alle risorse sottoposte a restrizioni potrebbero divulgare, involontariamente o anche intenzionalmente, dei dati sensibili.

Cos'è un piano di risposta agli incidenti?

Rispondere a un incidente richiede che un team lavori in modo efficace ed efficiente per eliminare la minaccia e soddisfare i requisiti normativi. Nelle situazioni di elevato stress, è facile cedere alla frustrazione e commettere errori, ecco perché molte aziende sviluppano un piano di risposta agli incidenti. Il piano definisce ruoli e responsabilità e include i passaggi necessari per risolvere, documentare e comunicare correttamente un incidente.

L'importanza del piano di risposta agli incidenti

Un attacco significativo non danneggia solamente le operazioni di un'organizzazione, influisce anche sulla reputazione dell'azienda tra i clienti e nella comunità e potrebbe avere anche delle ripercussioni legali. Tutto, inclusa la rapidità con cui il team di sicurezza risponde all'attacco e al modo in cui i dirigenti comunicano l'incidente, influisce sul relativo costo complessivo.

Le aziende che nascondono i danni ai clienti ed enti pubblici o che non prendono seriamente una minaccia potrebbero violare le normative vigenti. Questi tipi di errori sono più comuni tra coloro che non hanno un piano. Nella foga del momento, c'è il rischio che le persone prenderanno decisioni precipitose guidate dalla paura, che finiranno con il danneggiare l'organizzazione.

Un piano ben pensato consente alle persone di sapere cosa dovrebbero fare in ogni fase di un attacco, affinché non debbano deciderlo nel mezzo dell'emergenza. E dopo il ripristino, qualora ci fossero domande dal pubblico, l'organizzazione sarebbe in grado di mostrare esattamente in che modo ha risposto e offrire ai clienti la tranquillità che l'incidente è stato affrontato in modo serio e sono state attuate le procedure necessarie per impedire un esito peggiore.

Procedura di risposta agli incidenti

Non esiste un solo modo di affrontare una risposta agli incidenti e molte organizzazioni fanno affidamento su un'organizzazione che si occupa di standard di sicurezza affinché guidi il loro approccio. SysAdmin Audit Network Security (SANS) è un'organizzazione privata che offre un framework di risposta in sei passaggi, descritto di seguito. Molte organizzazioni adottano anche il framework di ripristino in seguito a incidente del NIST (National Institute of Standards and Technology).

  • Preparazione:  prima che si verifichi un incidente, è importante ridurre le vulnerabilità e definire criteri e procedure di sicurezza. Nella fase di preparazione, le organizzazioni conducono una valutazione del rischio per determinare dove sono presenti debolezze e classificare in ordine di priorità le risorse. Questa fase include la scrittura e il perfezionamento delle procedure di sicurezza, la definizione di ruoli e responsabilità e l'aggiornamento dei sistemi per ridurre il rischio. La maggior parte delle organizzazioni ripete regolarmente questo passaggio per apportare miglioramenti a criteri, procedure e sistemi man mano che apprendono lezioni o man mano che la tecnologia cambia.
  • Identificazione delle minacce:  in un giorno qualsiasi, il team di sicurezza può ricevere migliaia di avvisi che indicano attività sospetta. Alcuni di questi sono falsi positivi o potrebbero non raggiungere il livello di incidente. Una volta identificato un incidente, il team deve approfondire la natura della violazione e documentare quanto scoperto, tra cui l'origine della violazione, il tipo di attacco e gli obiettivi dell'utente malintenzionato. In questa fase, il team deve anche informare gli stakeholder e comunicare i passaggi successivi.
  • Contenimento della minaccia:  contenere la minaccia nel modo più rapido possibile e la priorità successiva. Maggiore è il tempo concesso agli utenti malintenzionati per accedere, maggiore è il danno che possono causare. Il team di sicurezza funziona per isolare rapidamente le applicazioni o i sistemi che sono sotto attacco dal resto delle reti. Ciò contribuisce a impedire che gli utenti malintenzionati accedano ad altre parti dell'azienda.
  • Eliminazione della minaccia:  una volta completato il contenimento, il team rimuove l'utente malintenzionato ed eventuali malware dai sistemi e dalle risorse interessati. Questo può voler dire portare offline i sistemi. Il team continua, inoltre, a informare gli stakeholder dell'avanzamento.
  • Recupero e ripristino:  il recupero dopo un incidente può richiedere diverse ore. Una volta neutralizzata la minaccia, il team ripristina i sistemi, recupera i dati dal backup e monitora le aree interessate per garantire che l'utente malintenzionato non acceda di nuovo.
  • Feedback e perfezionamento:  quando l'incidente è risolto, il team analizza cosa è accaduto e identifica i miglioramenti che possono essere apportati al processo. Imparare da questa fase aiuta il team a migliorare le difese dell'organizzazione.

Cos'è un team di risposta agli incidenti?

Un team di risposta agli incidenti, detto anche CSIRT ovvero team di risposta agli incidenti di sicurezza informatica, un team di risposta agli incidenti di cybersicurezza (CIRT) o un team di risposta alle emergenze informatiche (CERT), include un gruppo di persone appartenenti a varie funzioni nell'organizzazione responsabile di attuare il piano di risposta agli incidenti. Include non solo le persone che rimuovono la minaccia, ma anche coloro che prendono decisioni aziendali o legali correlate all'incidente. Un team tipico include i seguenti membri:

  • Un responsabile della risposta agli incidenti, spesso il direttore dell'IT, supervisiona tutte le fasi della risposta e tiene informati gli stakeholder interni. 

  • Gli analisti della sicurezza analizzano l'incidente per provare a capire cosa sta accadendo. Documentano, inoltre, quanto scoperto e raccolgono prove forensi.

  • Gli analisti della minaccia guardano al di fuori dell'organizzazione per raccogliere intelligenza e fornire ulteriore contesto. 

  • Qualcuno della gestione, ad esempio un chief information security officer o un chief information officer, offre indicazioni e funge da collegamento con gli altri dirigenti.

  • Gli specialisti delle risorse umane aiutano a gestire le minacce interne.

  • Il general counsel aiuta il team a comprendere i problemi di responsabilità e a garantire la raccolta delle prove forensi.

  • Gli specialisti delle relazioni pubbliche coordinano una comunicazione esterna accurata con i media, i clienti e altri stakeholder.

Un team di risposta agli incidenti può essere un sottoinsieme di un centro operazioni per la sicurezza (SOC), che gestisce le operazioni per la sicurezza dopo una risposta agli incidenti.

Risposta automatizzata agli incidenti

Nella maggior parte delle organizzazioni, le soluzioni di reti e sicurezza generano un numero di avvisi di sicurezza che non può essere oggettivamente gestito dal team di risposta agli incidenti. Per concentrarsi sulle minacce legittime, molte aziende implementano una risposta agli incidenti automatizzata. L'automazione usa l'intelligenza artificiale e l'apprendimento automatico per valutare gli avvisi, identificare gli incidenti ed estirpare le minacce eseguendo un playbook di risposta basato su script programmatici.

Security orchestration automation and response (SOAR) rappresenta una categoria di strumenti per la sicurezza che le aziende usano per automatizzare la risposta agli incidenti. Queste soluzioni offrono le seguenti funzionalità:

  • Correlazione dei dati di più endpoint e soluzioni di sicurezza per identificare gli incidenti che gli umani devono analizzare.

  • Esecuzione di un playbook pre-elaborato per isolare e affrontare i tipi di incidente noti.

  • Creazione di una timeline investigativa che include azioni, decisioni e prove forensi che possono essere usate per l'analisi.

  • Introduzione di intelligenza esterna pertinente per l'analisi umana.

Come implementare un piano di risposta agli incidenti

Lo sviluppo di un piano di risposta agli incidenti può intimorire, ma può ridurre significativamente il rischio che la tua azienda si faccia trovare impreparata davanti a un incidente serio. Ecco come iniziare:

Identifica e classifica in ordine di priorità le risorse

Il primo passaggio di un piano di risposta agli incidenti consiste nel sapere cosa stai proteggendo. Documenta i dati critici dell'organizzazione, ad esempio dove si trovano e il relativo livello di importanza per l'azienda.

Determina i rischi potenziali

Ogni organizzazione presenta rischi diversi. Acquisisci familiarità con le principali vulnerabilità della tua organizzazione e valuta i modi in cui un utente malintenzionato potrebbe sfruttarle. 

Sviluppa procedure di risposta

Durante un incidente stressante, procedure chiare ti aiuteranno molto ad affrontare l'incidente in modo rapido ed efficace. Inizia dalla definizione di incidente, quindi stabilisci i passaggi che il team deve eseguire per rilevare, isolare e ripristinare in seguito a un incidente, incluse le procedure per documentare le decisioni e raccogliere prove.

Crea un team di risposta agli incidenti

Crea un team interfunzionale responsabile di comprendere le procedure di risposta e agire in caso di incidente. Assicurati di chiarire ruoli e di includere ruoli non tecnici che possono aiutare a prendere decisioni in materia di comunicazione e responsabilità. Includi qualcuno del gruppo dirigente che potrà sostenere il team e le sue esigenze davanti ai livelli più alti dell'azienda. 

Definisci il piano di comunicazione

Un piano di comunicazione elimina l'incertezza di quando e come dire alle persone interne ed esterne all'organizzazione quello che sta accadendo. Pensa a diversi scenari per determinare in quali circostanze devi informare i dirigenti, l'intera organizzazione, i clienti e i media o altri stakeholder esterni.

Forma i dipendenti

Gli utenti malintenzionati prendono di mira i dipendenti a tutti i livelli dell'organizzazione, ecco perché è importante che tutti capiscano il piano di risposta e sappiano cosa fare se sospettano di essere vittima di un attacco. Metti periodicamente alla prova i tuoi dipendenti per verificare siano in grado di riconoscere e-mail di phishing e semplifica la procedura di segnalazione al team di risposta agli incidenti qualora facessero accidentalmente clic su un link dannoso o aprissero un allegato infetto. 

Soluzioni di risposta agli incidenti

Essere preparati a un incidente grave è una parte importante della protezione della tua organizzazione dalle minacce. Creare un team di risposta agli incidenti ti darà la sicurezza di essere pronto qualora fossi vittima di un utente malintenzionato.

Sfrutta le soluzioni SIEM e SOAR, come Microsoft Sentinel, che usano l'automazione per aiutarti a identificare e rispondere automaticamente agli incidenti. Le organizzazioni con meno risorse possono ampliare i propri team con un provider di servizi in grado di gestire più fasi della risposta agli incidenti. Indipendentemente dal fatto che il tuo team di risposta agli incidenti sia interno o esterno, assicurati di avere un piano.

Scopri di più su Microsoft Security

Microsoft threat protection

Identifica e rispondi agli incidenti nella tua organizzazione con la protezione dalle minacce più recente.

Scopri di più

Microsoft Sentinel

Rileva minacce avanzate e rispondi in modo deciso con una potente soluzione SIEM, basata sul cloud e sull'intelligenza artificiale.

Scopri di più

Microsoft Defender XDR

Blocca gli attacchi a endpoint, posta elettronica, identità, applicazioni e dati.

Scopri di più

Domande frequenti

  • La risposta agli incidenti include tutte le attività che un'organizzazione compie quando sospetta una violazione della sicurezza. L'obiettivo è isolare ed eliminare gli utenti malintenzionati nel minor tempo possibile, rispettare le normative in materia di privacy dei dati e recuperare in modo sicuro arrecando il minor danno possibile all'organizzazione.

  • Un team interfunzionale è responsabile della risposta agli incidenti. L'IT si occupa generalmente di identificare e isolare le minacce ed eseguire il successivo ripristino, tuttavia la risposta agli incidenti non riguarda solo l'individuazione e l'eliminazione degli utenti malintenzionati. In base al tipo di attacco, qualcuno potrebbe dover prendere una decisione aziendale, ad esempio riguardo il modo in cui affrontare un riscatto. I professionisti legali e di pubbliche relazioni aiutano l'organizzazione a rispettare le leggi in materia di privacy dei dati, incluse le modalità appropriate di comunicazione a clienti ed enti pubblici. Se la minaccia è perpetrata da un dipendente, le risorse umane suggeriranno l'azione appropriata.

  • CSIRT è un altro nome per indicare il team di risposta agli incidenti. Include un team interfunzionale di persone responsabili della gestione di tutti gli aspetti di una risposta agli incidenti, incluso il rilevamento, l'isolamento e l'eliminazione della minaccia, il ripristino, la comunicazione interna ed esterna, la documentazione e l'analisi forense.

  • La maggior parte delle organizzazioni usa una soluzione SIEM o SOAR per identificare e rispondere alle minacce. Queste soluzioni generalmente aggregano dati da più sistemi e usano l'apprendimento automatico per contribuire a identificare le minacce vere. Possono anche automatizzare la risposta per determinati tipi di minaccia in base a playbook pre-elaborati.

  • Il ciclo di vita della risposta agli incidenti include sei fasi:

    1. La preparazione è la fase precedente all'identificazione di un incidente e include la definizione di ciò che l'organizzazione considera un incidente e tutti i criteri e le procedure necessarie a impedire, rilevare, eliminare un attacco e a riprendersi.
    2. L'identificazione delle minacce è un processo che usa analisti umani e l'automazione per identificare quali eventi sono minacce reali da dover affrontare.
    3. Il contenimento della minaccia prevede azioni che il team esegue per isolare la minaccia e impedire che infetti altre aree dell'azienda. 
    4. L'eliminazione della minaccia include i passaggi per rimuovere malware e utenti malintenzionati da un'organizzazione.
    5. Il recupero e il ripristino prevedono il riavvio dei sistemi e dei computer e il ripristino dei dati persi. 
    6. Il feedback e il perfezionamento sono operazioni che il team esegue per capire cosa apprendere dall'incidente e applicare quanto appreso ai criteri e alle procedure. 

Segui Microsoft Security