Le aziende hanno trascorso più di 10 anni alla ricerca di firewall, antivirus, sistemi di crittografia e autenticazione per garantire un livello di sicurezza accettabile. Tutte queste soluzioni, però, oggi non sono più in grado di difendere la sicurezza IT aziendale su un fronte in cui gli attacchi sono sempre più sofisticati, strutturati e persistenti. Nonostante ciò, la stragrande maggioranza dei controlli sono ancora focalizzati sulla prevenzione e non sulle fasi di monitoraggio e risposta:
“Non prestare attenzione alla fase di rilevamento del pericolo – ha detto Anton Chuvakin, IT security analyst – significa non essere in grado di riconoscere un incidente quando questo si sta verificando e non poterlo quindi fronteggiare il prima possibile. Alcune aziende si ritengono proattive solo per il fatto di prestare attenzione esclusiva verso le misure preventive, ma trascurano il monitoraggio e la risposta: questo in realtà significa essere miopi, non proattivi”.
Prevenzione VS monitoraggio
Secondo un’analisi dello specialista della sicurezza RSA, l’80% dei budget aziendali per la sicurezza sono destinati alle misure preventive, mentre il restante 20% è suddiviso tra le azioni di monitoraggio e di ripristino. In questo scenario, secondo gli esperti, la Critical Incident Response sta emergendo come aspetto chiave della sicurezza IT: ecco perché le aziende sono chiamate a rivoluzionare (o nei casi migliori riequilibrare) le proprie strategie volte a contrastare il cybercrime.
Secondo l’esperto Matthew Gardiner, Senior Manager at RSA, il modo migliore per stabilire tale livello di maturità è considerare lo stato di tre aree aziendali ben consolidate e strettamente correlate. Il CIRP (Critical Incident Response Program), per integrarsi efficacemente nella strategia di sicurezza IT aziendale, deve essere focalizzato su tre aree specifiche:
- personale
- processi
- tecnologia
Ottimizzando questi aspetti è possibile ridurre i rischi migliorando il monitoraggio, individuando velocemente la causa dell’incidente e imparando da ciascun attacco per migliorare la sicurezza futura.
Mettere strumenti tecnologicamente avanzati nelle mani sbagliate, infatti, non porta da nessuna parte, così come è pressoché inutile avere a disposizione un team di professionisti esperti senza poter dare loro la possibilità di utilizzare gli strumenti appropriati. Lo stesso vale nel caso in cui professionisti competenti dotati di tecnologie avanzate operino senza processi ben definiti che possano ottimizzare i loro sforzi: ruoli e responsabilità devono essere delineati in modo chiaro. Persone, processi e tecnologie devono essere tre dimensioni strutturate in modo tale da potersi integrare l’un l’altra con successo.
Definire il livello del proprio Critical Incident Response Program
Le aziende devono definire il livello di maturità del proprio Critical Incident Response Program, per poter migliorare continuamente le loro capacità di risposta agli incidenti e ridurre così in modo significativo la probabilità di subire attacchi dannosi.
Gardiner ha stabilito tre diversi gradi di maturità per aiutare le aziende a valutare olisticamente la maturità della propria organizzazione, in relazione allo stato del relativo Critical Incident Response Program:
- bassa: la risposta agli incidenti si attiva solo in conseguenza a ogni singolo pericolo rilevato
- media: la strategia di risposta agli incidenti è una delle funzioni emergenti della sicurezza IT aziendale
- alta: la risposta agli incidenti è considerata elemento fondamentale nella difesa della sicurezza e nella gestione del rischio aziendali
Ovviamente ogni azienda è diversa dall’altra e questa categorizzazione va interpretata in base alle proprie peculiarità; può capitare che un livello di maturità non si adatti perfettamente a tutte e tre le categorie.
Secondo le stime di RSA il 65% delle aziende si trova oggi al livello più basso della categorizzazione, il 25% ha una maturità media, mentre il 10% considera la risposta gli incidenti come elemento fondamentale della strategia di sicurezza IT e quindi ha un alto livello di maturità. Una volta stabilito il proprio grado di maturità, ogni aziende deve interrogarsi su come raggiungere il massimo grado di efficienza su tutti e tre i fronti: persone, processi e tecnologia. E per farlo occorre creare un piano d’azione che bilanci gli investimenti nelle tre aree in un’ottica dinamica di miglioramento continuo. Vediamo quali sono i consigli degli esperti da seguire per ottimizzare il Critical Incident Response Program attraverso ciascuna delle tre categorie.
“È più importante dove si sta andando e il modo in cui ci si sta andando – sottolinea Gardiner – , piuttosto che dove ci si trova ora. Occorre tenere bene a mente questo punto di vista nel processo di valutazione del proprio Critical Incident Response Program”.
HR: consolidare i ruoli e costruire nuove professionalità
Probabilmente le aziende che si trovano allo stadio più basso di maturità ritengono di non avere personale adatto al ruolo di incident responder e nella maggior parte dei casi hanno ragione di pensarlo. Occorre dedicare delle risorse specifiche a tali attività: professionisti che siano qualificati nell’ambito dell’individuazione degli incidenti, delle analisi legali, nell’analisi di malware, nella threat intelligence e nella gestione delle violazioni. Se queste figure non sono ancora disponibili in azienda, conviene identificare chi tra i dipendenti sia pronto e motivato per affrontare questa sfida e investire senza indugio sulla sua formazione. Fatto ciò, si dovrà poi resistete alla tentazione di deviare queste risorse su altri progetti o su attività operative di sicurezza meno strategiche. Come potrebbe essere composto un team modello?
Occorrerà definire e creare specifici ruoli professionali con analisti suddivisi in diversi livelli (due o tre, secondo gli esperti, dovrebbero essere sufficienti) impiegati nella fornitura di servizi investigativi specializzati e facenti tutti capo al Security Operations Center Manager. I responsabili di livello 1 dovranno occuparsi delle analisi basate sui livelli di servizio (attenendosi a processi ben documentati, procedure e checklist), mentre gli incaricati delle risposte agli incidenti di livello 2 saranno responsabili della risoluzione dei problemi e della correlazione dei dati proveniente da fonti differenti.
Queste figure dovrebbero poi essere affiancate da altri specialisti dedicati alla threat intelligence, all’analisi delle campagne attive e nella costruzione di strumenti per il rilevamento, l’indagine e la risposta (in uso agli analisti dei livelli 1 e 2). È auspicabile prevedere la contrattualizzazione di un fornitore di servizi che possa fungere da elemento chiave per supportare lo staff interno, fornire servizi integrativi e alleviare la pressione operativa del personale addetto al CIRC (computer incident response center). Non ultimo, è importante che questi ruoli siano definiti in modo tale che sia garantita la rotazione e un adeguato percorso formativo-professionale: ciò permetterà di stimolare le risorse e farà sì che la squadra non diventi eccessivamente dipendente da un singolo individuo.
Business continuity: definire i processi prioritari
Quanti più eventi vengono controllati, tanto più ci sarà necessità di ulteriori indagini. Tutti questi casi, però, non possono essere affrontati con la stessa priorità: la lista diventerebbe troppo lungo e impossibile da gestire con efficacia. Il CIRC deve stabilire policy e procedure utili a guidare le indagini condotte dagli analisti, che possono essere perfezionate mano a mano che l’azienda acquista esperienza e maturità. Dato lo scenario attuale della sicurezza informatica, gli esperti consigliano di impiegare i team CIRC nell’elaborazione di procedure di indagine e di risposta anticipate, senza aspettare che l’attacco si verifichi effettivamente.
L’organizzazione per la sicurezza dovrebbe predefinire livelli e tipi di incidenti ed elaborare le politiche di gestione degli attacchi per aiutarne la prioritizzazione. Assegnare delle priorità agli incidenti permette di concentrare più attenzione, personale e budget sulle applicazioni, sui dati e sulle piattaforme di maggiore valore o più vulnerabil. Infine, il CIRC non dovrebbe operare senza un’adeguata supervisione e una efficiente integrazione con il resto del business.
Tecnologia: non c’è sicurezza senza visibilità (e consapevolezza)
Il terzo ambito fondamentale da considerare in qualsiasi Critical Incident Response Program è relativo ai sistemi che vengono utilizzati dagli analisti e dai loro responsabili per eseguire le loro attività investigative, di indagine, di risposta e di gestione. Nell’ambito dell’incident response velocità, efficienza ed efficacia sono tre aspetti chiave: la sfida è come raggiungere questi obiettivi all’interno di ampie strutture con un numero relativamente piccolo di risorse dedicate al CIRC. Per questo gli analisti della sicurezza devono poter avere visibilità immediata e completa su tutta l’infrastruttura a livello di log, rete e host.
Ma non è solo questione di visibilita IT. Gli analisti necessitano anche di conoscere e comprendere il contesto in cui operano, sia dal punto di vista tecnologico che del business: solo in questo modo possono conferire la giusta priorità alle proprie indagini ed eseguire al meglio le valutazioni forensi. Infine, per accelerare le proprie operazioni, i team di incident response hanno bisogno di poter contare su un buon grado di automazione, sotto diversi aspetti. La tecnologia infatti non rappresenta di certo l’unica panacea alle sfide dei team CIRC, ma è pur vero che se ben utilizzata può aiutare le organizzazioni a ottenere il massimo dalle proprie risorse. Solo per citare alcune delle aree che, se automatizzate, agevolerebbero il lavoro del team CIRC potremmo segnalare la gestione di allarmi, indagini, incidenti, violazioni, orari del personale, threat intelligence, reporting, run-book e registri di rischio.