Le attività di Incident Response prevedono competenze multidisciplinari e necessarie per poter gestire nel migliore dei modi situazioni critiche che si possono incontrare durante un Security Incident che magari ha impattato un’infrastruttura critica. Prevenire è sempre meglio di curare ed è per questo che le best practice condivise dal Nist insieme alle indicazioni del Sans Institute sull’implementazione di piano di Incident Response, permettono di avere un approccio strutturato e misurabile. Anche Nis2 prevede diversi punti che riguardano il tema dell’Incident Response:
– Obbligo di predisporre misure tecniche e organizzative di risposta agli incidenti;
– Approccio basato sul rischio e sulla continuità operativa;
– Obblighi di notifica degli incidenti;
– Ruolo del Csirt e cooperazione con l’Autorità Nazionale (Acn);
– Ruoli interni obbligatori:
1. Referente Csirt: punto tecnico per la gestione degli incidenti e la comunicazione con Acn;
2. Punto di Contatto Unico (Spoc) → interfaccia organizzativa con le autorità nazionali ed europee.
Entrambi devono essere formalmente designati e mantenere la reperibilità H24 per incidenti gravi.
– Requisiti operativi di Incident Response:
Per essere compliant, l’organizzazione deve dimostrare di avere:
1.Capacità di detection e monitoring (Siem, Edr/Xdr, log centralizzati, alerting);
2. Procedure documentate di analisi e escalation
3.Team IR interno o servizio gestito (Mssp/Csirt esterno)
4. Registro incidenti e lesson learned
5. Test periodici (tabletop o simulation test) dell’intero processo
Cynet è una piattaforma nata per approcciare velocemente è in modo efficace un Security Incident, partendo dalla fase di triage con l’identificazione degli host compromessi e la valutazione dell’impatto per poi passare alla fase di containment che ha lo scopo di mitigare l’incidente per ridurre al minimo le ripercussioni che spesso sono reputazionali e quindi economiche. Le forti competenze dell’Italy Hub di Cynet hanno permesso di supportare diversi clienti sia nella situazione di emergenza di un incidente sia nell’applicare le best practice per implementare tecnologia e processi di Incident Response in maniera veloce ed efficace.
Il tema dell’Incident Response sarà sempre più importante considerando, sia la dinamica delle statistiche degli incidenti in continuo aumento (ref. Clusit Report & Ransomfeed & RansomLook) sia per quanto riguarda l’adozione dell’AI da parte degli attacchi. Per quanto riguarda questo tema, ad esempio, l’utilizzo del tool HexStrike AI, un framework utilizzato dai gruppi di attaccanti per automatizzare velocemente le loro attività di compromissione ha aumentato il numero dei potenziali target che possono essere compromessi. Per rispondere concretamente a questi preoccupanti trend bisogna implementare delle misure di sicurezza efficaci per stare al passo con la continua e veloce evoluzione dei gruppi di attaccanti che monetizzano con il cybercrime e quindi le compromissioni continue.
Cynet è pronta a supportare i propri clienti nell’implementare la migliore strategia di protezione promuovendo la cultura del Continous Improvement e dell’Assume Breach, con l’obiettivo di ridurre il dwell time e velocizzare quindi il contenimento di un incidente. Inoltre, ogni incidente deve essere considerato come un’opportunità di apprendimento, per rendere più efficienti i processi e la tecnologia.
*Raffaele Amodeo Incident Response Leader, Cynet
Per saperne di più scarica il whitepaper: Incident Response Plan Template
Leggi tutti gli approfondimenti della Room: Cybersecurity totale senza complessità by Cynet
© RIPRODUZIONE RISERVATA
