Pre-Incident Planning: 5 Things to Document in an Incident Response Plan
Pianificazione prima dell’incidente:
Perché quando accadrà, non avrai il tempo di cercare queste informazioni.
La maggior parte delle guide alla preparazione in materia di sicurezza IT si concentra su cosa fare dopo l’inizio di un attacco. Isolare i dispositivi infetti. Contattare il team di incident response. Informare l’ufficio legale. Sono tutti consigli validi, ma utili solo se sai già chi chiamare, dove si trovano i backup e quali sistemi sono indispensabili per la sopravvivenza dell’azienda.
Il problema è che le prime ore di un incidente ransomware sono caotiche. Decisioni che dovrebbero richiedere pochi minuti richiedono molto più tempo quando le informazioni necessarie sono disperse tra thread di email, nella memoria istituzionale o in sistemi che ora potrebbero essere inaccessibili. Non è un fallimento tecnologico. È un fallimento della documentazione, ed è del tutto prevenibile.
Quello che segue non è un piano di risposta agli incidenti. È qualcosa di più mirato e immediatamente pratico: cinque categorie critiche di informazioni che il tuo team deve documentare e rendere accessibili prima che si verifichi un incidente. Creare questo elenco non richiederà molto tempo. Non averlo a disposizione quando servirà ne farà perdere molto di più di quanto ne faccia risparmiare.
Quando si verifica un incidente di sicurezza, la prima reazione è di solito prendere il telefono. Il problema è che molti team non sanno sempre chi dovrebbero chiamare.
La documentazione di escalation deve includere i contatti del tuo team di incident response, dei referenti principali e del partner DFIR. Includi anche il processo di ingaggio, i contatti del tuo consulente legale (con esperienza in materia di privacy dei dati) e il referente per i sinistri della tua assicurazione cyber, insieme al numero di polizza.
La documentazione di escalation deve contenere i contatti chiave e i dettagli della polizza necessari in caso di incidente. In particolare, deve includere:
Team di risposta agli incidenti e responsabili
Informazioni di contatto del tuo team interno di risposta agli incidenti e dei relativi responsabili
Partner DFIR
Dati di contatto del tuo partner di Digital Forensics and Incident Response (DFIR), incluso il processo di ingaggio.
Consulente legale
Informazioni di contatto del tuo consulente legale esterno, assicurandoti che abbia esperienza in materia di privacy dei dati.
Assicurazione cyber
Il referente per i sinistri della tua assicurazione cyber e il numero di polizza.
Quest’ultimo punto è quello che più spesso manca. Le polizze di assicurazione cyber prevedono generalmente specifiche finestre di notifica, e non rispettarle può creare complicazioni nella gestione del sinistro proprio nel momento in cui meno puoi permettertele. Conoscere il referente per i sinistri e il numero di polizza prima che si verifichi un incidente è fondamentale.
Un’ultima nota sull’assicurazione cyber: conserva la tua polizza in modo sicuro e separata dai sistemi principali. Attori malevoli che abbiano trascorso del tempo nella tua rete prima di avviare la cifratura potrebbero avere accesso ai documenti lì archiviati. Le informazioni sulla tua polizza non devono trovarsi in un luogo dove possano reperirle.
Quando tutto si muove rapidamente, non vuoi dover cercare un numero di telefono.
Gli attori malevoli prendono di mira prima i backup. Non è una supposizione. È un modello ricorrente che DriveSavers ha osservato in numerosi incidenti ransomware. Prima di cifrare i sistemi di produzione, gli attaccanti identificano e compromettono spesso l’infrastruttura di backup per eliminare il percorso di ripristino più diretto della vittima. Quando la cifratura viene avviata, i backup potrebbero essere già scomparsi.
Questo dovrebbe guidare il modo in cui consideri la documentazione dei backup. Non basta sapere che i backup esistono. Il tuo team deve poter valutare rapidamente l’integrità dei backup in condizioni di incidente, il che significa che l’architettura deve essere documentata in modo sufficientemente dettagliato da consentire tale valutazione prima che qualcuno si trovi sotto pressione.
Documenta dove si trovano i backup (in sede, fuori sede e nel cloud), come vengono eseguiti i processi di backup e con quale pianificazione, nonché le procedure di ripristino passo dopo passo.
Considera che i tuoi backup potrebbero essere compromessi finché non puoi verificarne l’integrità.
In caso di incidente di sicurezza, non sarà possibile ripristinare tutto contemporaneamente. Le decisioni su cosa ripristinare per primo verranno prese rapidamente, sotto pressione, da persone che potrebbero aver dormito pochissimo. Queste decisioni vengono prese molto meglio in anticipo, senza la pressione del momento.
La tua lista dei dati critici deve identificare i sistemi senza i quali l’azienda non può operare, i set di dati necessari per le attività quotidiane e un chiaro ordine di priorità per il ripristino: indispensabili rispetto a desiderabili.
Sii onesto su ciò da cui l’azienda dipende realmente rispetto a ciò che è semplicemente importante. Questa chiarezza è molto più difficile da ottenere nel mezzo di un incidente attivo. Dai priorità ai set di dati indispensabili da ripristinare prima di occuparti di quelli secondari. Non tutto può tornare online per primo, e saperlo in anticipo rappresenta un vantaggio operativo significativo.
In caso di incidente di sicurezza, il ripristino non riguarda solo il recupero dei dati, ma il ripristino dei dati giusti per primi.
In caso di incidente di sicurezza, il ripristino non riguarda solo il recupero dei dati, ma il ripristino dei dati giusti per primi.
Nella maggior parte degli ambienti di dimensioni significative, l’infrastruttura di backup si estende su più sedi. La documentazione delle responsabilità deve indicare chi è responsabile di ciascun ambiente di backup, le credenziali di accesso a backup, snapshot e repliche, e dove possono trovarsi sistemi secondari e copie aggiuntive.
Tieni presente che gli stessi dati esistono spesso in più forme: un backup primario, uno snapshot, una replica, una copia archiviata su nastro o in un ambiente cloud secondario. In scenari in cui i backup primari sono stati compromessi, sapere dove altro cercare può fare una differenza significativa.
Una mappatura completa delle responsabilità è, in termini pratici, una mappa della tua superficie di ripristino. Più è completa prima di un incidente, più opzioni avrai durante la sua gestione.
Gli stessi dati esistono spesso in più forme. Sapere dove cercare amplia le opzioni di ripristino.
Il successo del ripristino operativo dopo un attacco informatico dipende in larga misura dai fornitori che offrono i prodotti e i servizi su cui si basa la tua infrastruttura. Per questo è essenziale documentare i loro percorsi di escalation e i canali di supporto prima che si verifichi un incidente.
L’elenco dei contatti dei fornitori deve includere i fornitori necessari per ripristinare le operazioni principali, i loro canali di supporto e percorsi di escalation, nonché un partner per il recupero dei dati nei casi in cui backup e strumenti di decrittazione abbiano fallito.
Quel terzo punto è quello che la maggior parte delle organizzazioni omette completamente. Il fallimento dei backup e degli strumenti di decrittazione non sono casi rari o marginali. Sono esiti realistici di un attacco informatico ben eseguito. Avere un partner professionale per il recupero dati identificato e documentato prima di un incidente significa non dover valutare fornitori nel momento peggiore per la tua organizzazione. Significa anche che il tuo team di risposta agli incidenti dispone di un percorso di recupero parallelo, anziché attendere un unico punto di risoluzione.
Documentare queste relazioni in anticipo garantisce che, quando inizia il ripristino, il tuo team stia eseguendo un piano, e non cercandone uno.
English (United States) 
English (Australia) 
French (France) 
English (UK) 
French (Canada) 
English (Canada) 
Spanish (Mexico) 
German 
Dutch 
Italian 
Finnish 
Polish 
Norwegian 
Swedish 
Danish 
Spanish (Spain) 
Chinese 
Japanese 
German (Austria)