Vietato ricorrere al “fai da te”: nell’attuale panorama della cyber security, pensare di poter gestire in autonomia la protezione dagli attacchi informatici è qualcosa che possono permettersi soltanto realtà estremamente strutturate e dotate di team di security particolarmente “robusti”.
Chi non ha queste caratteristiche, oggigiorno, deve necessariamente rivolgersi a un partner specializzato che possa fornirgli in outsourcing competenze, strumenti e servizi per gestire la sicurezza dell’infrastruttura IT.
Indice degli argomenti
Cosa si intende per incident response in outsourcing
L’outsourcing dei servizi di incident response e di cyber security sta diventando una pratica sempre più diffusa tra le aziende di tutte le dimensioni.
Questo trend è dovuto alla crescente complessità delle minacce informatiche, che richiedono competenze tecniche aggiornate e strumenti avanzati per essere gestite efficacemente.
Affidare a un partner esterno (outsourcing) queste attività consente alle aziende di accedere a personale specializzato ed esperto, capacità tecniche avanzate, monitoraggio continuo delle minacce e tempi di risposta rapidi in caso di incidenti di sicurezza.
In particolare, il servizio di incident response prevede l’intervento immediato in caso di attacco informatico, con l’obiettivo di limitare i danni, rimuovere la minaccia dalla rete aziendale e ripristinare le operazioni ordinarie nel più breve tempo possibile.
Affidare questi servizi a esperti del settore può quindi aumentare significativamente la resilienza di un’azienda alle minacce cyber.
«Il ricorso ai servizi gestiti in outsourcing offre, in generale, numerosi vantaggi» conferma Vincenzo Digilio, Offensive Security Expert di Cyber Division, controllata al 51% da Cyberoo «e il contributo in fase di incident response è particolarmente importante».
Ottimizzazione dei costi e migliore efficacia
La complessità delle strutture IT e la costante crescita degli attacchi informatici, sia a livello di frequenza sia di professionalità, non consentono più di gestire la cyber security in maniera “passiva”.
La presenza di antivirus a livello di endpoint e di firewall per la protezione del traffico di rete rimangono strumenti indispensabili, ma insufficienti per fare fronte agli attacchi di nuova generazione.
Qualsiasi azienda, a prescindere dal settore di attività e dalle dimensioni, deve poter contare su un SOC (Security Operation Center) in grado di reagire tempestivamente di fronte a una minaccia. «Predisporre un team di cyber security attivo 24 ore al giorno e sette giorni a settimana è un investimento impegnativo» spiega Digilio. «Attraverso l’outsourcing è possibile avere a disposizione analisti e tecnici competenti senza dover affrontare costi che, per molte realtà, avrebbero costi esorbitanti in un’ottica di gestione interna».
Una formula, quella dei servizi di sicurezza informatica gestita, che sta prendendo piede con una rapidità straordinaria e che nel settore viene considerata la “nuova normalità” anche con riferimento all’incident response.
Il nodo dell’incident response
Se il rilevamento degli attacchi ha un ruolo fondamentale, altrettanto importante è essere in grado di rispondere in maniera adeguata alle minacce.
L’equazione del successo in fase di response è composta da diverse variabili che incidono direttamente sul risultato. Oltre al fattore umano (le competenze), ha un’importanza fondamentale l’esperienza.
Una caratteristica, questa, che nella formula dell’outsourcing può avvantaggiarsi di un effetto simile alle economie di scala: affidare la gestione di un incidente informatico a chi quotidianamente opera su un ampio numero di reti e infrastrutture IT, infatti, significa avere a disposizione esperti che hanno una maggiore visibilità su ciò che succede nel mondo della cyber security e una conseguente migliore conoscenza delle tecniche usate dai criminali informatici.
«In ambito incident response, l’esperienza è di grande aiuto» conferma l’esperto di Cyberoo. «Nella pratica, però, non si può mai pensare che la risposta a un attacco possa seguire un copione già scritto. È sempre indispensabile adattarsi alla situazione contingente».
«La strategia di response adottata dagli esperti» precisa poi Digilio, «è infatti basata sulla strategia OODA (Observe, Orient, Decide and Act) mutuata dal settore militare ed è affidata a specialisti in sicurezza “offensiva”».
La logica è cristallina: le competenze più adeguate a contrastare un attacco risiedono più facilmente in chi è abituato a utilizzare le tecniche di attacco stesse, per esempio in ambito di penetration test
La tattica da applicare in ambito incident response
L’intervento in ambito di incident response richiede per prima cosa la predisposizione di una “task force” che coinvolga sia gli esperti di sicurezza organizzati in team operativi, sia gli addetti all’amministrazione IT (normalmente interni all’azienda) con cui devono collaborare.
Il primo passo è l’individuazione di due soggetti (uno per gruppo) che abbiano il ruolo di referenti, tra i quali viene stabilito un canale di comunicazione criptato.
«Quando ci si trova di fronte a un incidente di sicurezza non si può dare nulla per scontato, nemmeno la presenza di un impiegato infedele che abbia collaborato con i Cracker» spiega Vincenzo Digilio. «L’individuazione di un unico referente interno esclude fughe di notizie, mentre l’uso della crittografia esclude che i cyber criminali possano intercettare le comunicazioni».
Altrettanto fondamentale, spiega l’esperto di Cyberoo, è garantire l’efficacia delle operazioni, partendo dalla sincronizzazione dei dispositivi su un unico Network Time Protocol che consente di avere un unico centro di comando. In questo modo è possibile implementare rapidamente qualsiasi contromisura sia necessaria. Inoltre, è indispensabile eseguire rapidamente una mappatura di tutte le risorse di rete presenti nel network aziendale.
Non solo i responsabili tecnici
A seconda dello scenario dell’attacco, i processi di incident response possono coinvolgere diversi settori dell’azienda.
«Nell’ipotesi di una compromissione delle credenziali di accesso degli utenti, può essere necessaria una modifica di username e password o l’introduzione di un sistema centralizzato di accesso» spiega Vincenzo Digilio. «In tutti questi casi è indispensabile comunicare agli impiegati ciò che sta succedendo e fornire loro le indicazioni per contribuire a contrastare eventuali ulteriori attacchi da parte dei criminali informatici».
Pur mantenendo le modalità di comunicazione “a monte” precedentemente descritte, quindi, può rendersi necessario coinvolgere settori come le risorse umane. Il coordinamento con il settore IT, invece, è indispensabile per agire in maniera tale che le operazioni non abbiano conseguenze negative sulle attività dell’azienda.
«Se ci troviamo nella condizione in cui si rende necessario mettere offline un server è importante sapere quale sarà l’impatto» spiega l’esperto di Cyberoo. «Se gestisce servizi mission critical, per esempio, quell’operazione dovrà essere fatta in modo da preservarne la continuità».
Insomma: ancora una volta chi elabora la tattica nell’incident response deve essere in grado di adattarla alla concreta situazione che si trova ad affrontare.
