8 passi per una risposta efficace dopo una violazione dati

Le violazioni di dati sono sempre più oggetto di grande attenzione. Capire come prevenirle e agire quando si verificano è essenziale. Un’azienda preparata ha un IRP (Incident Response Plan) da mettere in atto in caso di violazione, partendo dalla comunicazione immediata ai consulenti legali, per poi disporre di un team capace di rispondere agli incidenti.

In queste righe vengono fornite indicazioni chiave e buone pratiche per una gestione efficace delle violazioni, tra cui i passaggi chiave per rispondere con tempestività.

Cos’è una violazione dati

È un accesso non autorizzato o l’esposizione di informazioni sensibili o riservate. Può essere causata da molteplici fattori, tra cui hacking, attacchi malware, insider malintenzionati o persino da un semplice errore umano. Indipendentemente dalla loro origine, le ripercussioni delle violazioni di dati sono spesso pericolose e di vasta portata, in quanto possono causare la fuga di informazioni personali o finanziarie e la perdita di fatturato e fiducia nel brand.

I passaggi da seguire in caso di incidenti

La strategia di risposta si basa su processi strutturati progettati per identificare e gestire gli incidenti di cybersecurity che vengono predisposti con un certo anticipo. Le organizzazioni ben preparate devono infatti collaborare con i responsabili della sicurezza e i direttori delle divisioni business per mappare i rischi aziendali e specifici del settore, delineando un piano di risposta su misura per ogni esigenza. Si tratta di piani che documentano formalmente i ruoli e le responsabilità di ognuno, determinano i criteri di soglia per definire un incidente e pianificano il contenimento, la continuità operativa e il ripristino delle attività.

In caso di violazioni, i responsabili devono agire subito e possono agevolare le fasi che qui indichiamo.

1. Coinvolgere i consulenti legali e gestire gli incidenti

Le organizzazioni sono chiamate a destreggiarsi in un complesso quadro di obblighi legali e di piani di comunicazione sia interni che esterni. Anche se spesso variano a seconda della nazione o del settore, questi obblighi di solito comportano la notifica alle persone colpite, l’informazione alle autorità competenti e l’adozione di misure per ridurre al minimo la diffusione e attenuare i rischi futuri. Inoltre, le aziende potrebbero dover divulgare i dettagli della violazione agli enti di controllo, a seconda delle conformità applicabili. Occorre informare subito il consulente legale interno o esterno di un potenziale evento di cybersecurity e subito dopo serve rivolgersi al proprio vendor di servizi di incident response.

2. Mantenere in rete gli endpoint interessati

Dopo aver subito una violazione, i responsabili della sicurezza possono adottare un approccio basato sulla conservazione dei dati. A tal fine, non bisogna disattivare gli endpoint che si teme siano stati compromessi. La memoria RAM contiene prove preziose, ma quando i sistemi vengono spenti viene persa in modo permanente.

3. Disconnettersi dalla rete

I sistemi sospetti di essere stati compromessi si possono scollegare dalla rete in più modi:

• per gli endpoint gestiti da SentinelOne: mettere in quarantena i sistemi sospetti in modo che possano connettersi unicamente alla piattaforma SentinelOne;
• per gli endpoint gestiti da altri vendor: disconnettere le reti cablate e disattivare tutta la connettività wireless;
• per tutti gli endpoint: valutare di segmentare la rete compromessa dalla rete protetta per consentire le operazioni aziendali per le reti non compromesse.

4. Individuare e conservare le prove

Occorre rilevare le potenziali fonti di prova nei firewall, gli IDS (sistemi di rilevamento delle intrusioni), le VPN (reti private virtuali), le AV (soluzioni antivirus), i registri degli eventi. Assicurarsi che siano configurati in modo da conservare le prove e che non si annullino i registri vecchi.

5. Raccogliere gli indicatori di compromissione e dei campioni

È importante tracciare gli IOC (indicatori noti) e i campioni di codice maligno in quanto possono includere indirizzi IP o domini sospetti, hashtag, script PowerShell, eseguibili dannosi, richieste di riscatto e qualsiasi altro elemento utile a una indagine.

6. Predisporre il ripristino dei sistemi

Prepararsi a ripristinare la funzionalità della rete tramite qualsiasi soluzione di backup, se applicabile. È importante conservare le immagini forensi dei sistemi compromessi prima di ripristinare le versioni corrette.

7. Elaborare una cronologia

Preparare una cronologia degli eventi sospetti noti che mostri quando si ritiene che l’attacco sia iniziato e l’attività dannosa identificata più di recente.

8. Identificare gli endpoint

Cercare di identificare gli endpoint che hanno mostrato attività sospette, in particolare identificando il primo sistema colpito (paziente zero) e le potenziali fonti di esfiltrazione.

Dopo le violazioni, come mitigarne altre

La parte difficile di una violazione dati non è la conservazione delle prove, né il ripristino del sistema o le implicazioni finanziarie. Quando i dati sensibili vengono compromessi, possono causare gravi danni alla reputazione dell’azienda ed erodere la fiducia dei clienti. Per evitare violazioni di dati servono solide misure di sicurezza. Le migliori pratiche includono:

• investire in valide soluzioni come l’XDR (Extended Detection & Response) e la MDR (Managed Detection & Response), per garantire un approccio alla difesa;
• implementare sistemi di crittografia o MFA (l’autenticazione a più fattori) o il RBAC (controllo degli accessi basato sui ruoli), per impedire l’accesso non autorizzato;
• condurre audit di sicurezza regolari per identificare e risolvere le vulnerabilità;
• monitorare regolarmente il traffico di rete per identificare e rispondere alle minacce;
• delineare un piano di risposta agli incidenti, sviluppare partnership con esperti di cybersecurity e fornire training ai dipendenti sulla sicurezza dei dati e sulle migliori pratiche.

Conclusioni (provvisorie)

Le violazioni dei dati sono state oggetto di attenzione da parte degli organi stampa. Capire come prevenirle e cosa fare quando si verificano è essenziale per il successo di ogni organizzazione. Un’azienda ben preparata ha un IRP (piano di risposta agli incidenti) pronto per essere attuato in caso di violazione. Questi piani prevedono la comunicazione immediata con i consulenti legali, seguita dall’impegno di un team di risposta agli incidenti. SentinelOne promuove un approccio proattivo, sottolineando l’importanza di identificare gli indizi e la conservazione dei dati per gestire efficacemente la situazione.

 

– a cura di Paolo Cecchi, Sales Director Mediterranean Region di SentinelOne