Preparazione ad attacchi futuri. Soluzione in breve: Come implementare la giusta strategia di...

Preparazione ad attacchi

futuri

www.emea.symantec.com/cyber-resiliencePiù FOCUS e minor RISCHIO.

Soluzione in breve: Come implementare la giusta strategia di sicurezza


IntroduzioneRecenti incidenti di malware hanno dimostrato quanto gli attacchi informatici possano risultare costosi e dannosi.È opinione diffusa che il worm Stuxnet abbia avuto un notevole impatto sul programma nucleare iraniano ed è ampiamente considerato la prima vera e propria arma informatica1. Shamoon ha compromesso e paralizzato 30.000 workstation di un'organizzazione produttrice di petrolio2. Un altro attacco di malware mirato a una società a capitale pubblico ha causato 66 milioni di dollari di perdite3.

Questi attacchi non sempre raggiungono il loro scopo, ma quando l'autore dell'attacco riesce a introdursi nei sistemi di un'organizzazione, una risposta rapida e ben preparata può contenere rapidamente i danni e ripristinare i sistemi prima che si verifichino danni significativi.

Per preparare tale risposta, le organizzazioni devono comprendere come gli attacchi possono evolversi, sviluppare una strategia di contrasto, decidere le azioni da intraprendere e chi se ne occuperà, quindi provare il piano e metterlo a punto.

www.emea.symantec.com/cyber-resilience

Descrizione di un attacco Un attacco inizia con un punto di ingresso all'organizzazione. Questo può essere un sistema non protetto al quale gli hacker riescono ad accedere, un computer vulnerabile nel quale viene eseguito del malware o un utente che è stato indotto a installare del malware. Il punto di ingresso può essere quindi utilizzato per diffondere attacchi nella rete, violando altri sistemi o utilizzando il malware per sfruttare vulnerabilità presenti nei sistemi e installarlo in altri sistemi.

Una volta che un sistema è stato compromesso, l'autore dell'attacco può installare altro malware o prendere il controllo del sistema e inviare comandi da eseguire. L'autore dell'attacco può tentare di estrarre informazioni come file riservati o nomi utente e password conservati nel sistema.

Protezione da un attacco La maggior parte degli attacchi può essere contrastata con l'implementazione di elementari pratiche di sicurezza delle informazioni. L'Australian Department of Defence ha rilevato che l'implementazione di quattro strategie di mitigazione è stata sufficiente a evitare l'85% degli attacchi mirati4. Il governo britannico ha indicato che la focalizzazione su dieci aree chiave è sufficiente per contrastare la maggior parte delle minacce informatiche5.

Come misura minima, le organizzazioni devono assicurarsi che il traffico di rete e i sistemi siano sottoposti a scansioni antimalware e che i registri delle attività di sistema e di rete siano conservati e utilizzati a fini di analisi in caso di necessità. Inoltre, backup regolari sono essenziali per assicurarsi che i sistemi danneggiati possano essere riportati a una normale condizione operativa.

Difese adeguate per la sicurezza delle informazioni riducono le probabilità di successo degli attacchi. Tuttavia, per ogni attacco informatico di una certa rilevanza c'era un'organizzazione che riteneva sufficienti le proprie difese. Gli incidenti importanti accadono ed è necessario anticiparli per ridurre le interruzioni del business, contenere i danni e abbreviare i tempi necessari per il recovery.


Ingresso Fase di espansione Fase di Exfiltration

Autore dell'attaccoUtente

Autore dell'attacco

Invio di comandi


Questi interventi possono avere un impatto su utenti e servizi nell'organizzazione. In particolare, possono influire sulle modalità di comunicazione degli utenti e del team di risposta. Occorre quindi valutare il modo in cui la comunicazione verrà mantenuta e come utenti ed executive saranno tenuti aggiornati nel corso della risoluzione dell'incidente.

Un'analisi scientifica può essere utile non solo per capire se i dati siano stati compromessi, ma anche per capire come l'autore dell'attacco si sia inizialmente introdotto nei sistemi. La vulnerabilità che è stata sfruttata per ottenere l'accesso deve essere risolta come priorità per evitare che l'attacco si ripeta in futuro. La raccolta e la conservazione dei dati di analisi può inoltre aiutare a identificare e perseguire i responsabili dell'attacco.


Preparazione agli incidenti Le organizzazioni devono aspettarsi che attacchi sofisticati verranno sferrati contro i loro sistemi e prepararsi a tale eventualità. Nella realtà, questi attacchi sono rari. Tuttavia, mantenendosi aggiornate sugli attacchi più recenti e sulle tecniche utilizzate dagli autori di tali attacchi, le organizzazioni possono verificare che i loro sistemi siano in grado di rilevare e contrastare tali minacce.

Una buona attenzione al processo di preparazione può garantire una rapida rilevazione di un eventuale attacco. A un'analisi più accurata, molti incidenti identificati possono rivelarsi falsi positivi, e molti saranno di secondaria importanza e non richiederanno una risposta consistente. Tuttavia, le organizzazioni devono assicurarsi di intercettare e registrare tutti gli incidenti in modo che gli attacchi che richiedono attenzione siano rapidamente identificati e portati all'attenzione di coloro che devono occuparsene. A tal scopo, è importante determinare i criteri di escalation e il meccanismo mediante il quale un incidente rilevato attiverà un piano di intervento adeguato.

Il primo passo del piano di intervento deve essere una valutazione della situazione. Questa deve essere seguita da interventi per impedire che l'attacco si propaghi ad altri sistemi e per evitare ulteriori danni. I sistemi che sono stati infettati dovranno essere isolati per contenere l'attacco. Potrebbe essere necessario disattivare temporaneamente i sistemi non ancora infettati per evitare che l'attacco si propaghi internamente, e limitare l'accesso alla rete.

Preparazione a un attacco Implementazione del piano di risposta Messa a punto del piano di risposta

Figura 2: Fasi di risposta agli incidenti

Preparazione Risposta RecoveryDetection Analisi

Tempo

Ingre

sso auto

re

dell'atta

cco

Autore

dell'atta

cco

indivi

duatoSist

emi

prote

tti

Ripre

sa della

normale

operativ

ità


La fase di recovery implica il ripristino dei sistemi al loro stato precedente all'infezione. L'accesso agli ultimi backup dei sistemi colpiti può facilitare notevolmente il processo, a condizione che non contengano malware. Occorre assicurarsi che i sistemi siano ripristinati a una condizione non infetta.

Ciascun incidente dovrà successivamente essere analizzato per identificare le procedure che hanno funzionato e le procedure che sono state carenti. Questa opportunità deve essere colta per imparare dall'incidente e migliorare le procedure per potenziare l'approccio alla sicurezza dell'organizzazione.

Creazione di un team di rispostaOltre a un piano di risposta, le organizzazioni devono disporre anche di un team che lo implementerà. In tal senso, un fattore chiave per il successo sarà il supporto dei senior manager. Quando un incidente evolve velocemente, il coinvolgimento di un senior manager con l'autorità di approvare le misure necessarie per contenerlo e risolverlo sarà cruciale per ottenere un vantaggio sull'autore dell'attacco.

Le parti interessate appropriate dei reparti che possono essere colpiti da un incidente dovranno essere inclusi nel team di risposta. Tuttavia, l'input maggiore per il team verrà dal personale tecnico, che implementerà il piano e disporrà delle competenze per rimediare al danno.

Le organizzazioni non devono ritenere che ogni posizione nel team di risposta debba essere coperta da una figura interna. Può essere utile chiedere un contributo esterno in termini di competenze specializzate ed esperienza con incidenti simili.

La composizione del team deve inoltre essere riveduta periodicamente. Ai membri del team di risposta può essere chiesto di essere reperibili per lunghi periodi di tempo; potrebbe quindi essere utile stabilire criteri di rotazione per consentire periodi di riposo. Analogamente, esercitazioni e test possono identificare ulteriori competenze che possono essere richieste dal team.



Test del pianoGli attacchi di rilievo sono rari. L’ideale sarebbe che il piano di intervento e le competenze del team di risposta non debbano mai essere messi in pratica. Tuttavia, ciò comporta di per sé dei rischi. Il test periodico del piano di intervento rivelerà i punti deboli ed eviterà di dimenticare le competenze raramente utilizzate.

Le esercitazioni possono essere semplicemente scritte, nel senso che la risposta a un attacco e la risoluzione dell'incidente sono solo su base teorica. Oppure, i test possono essere programmati con esercitazioni reali che coinvolgono il team in prove di penetrazione che simulano come l'autore di un attacco può compromettere i sistemi.

Le esercitazioni periodiche assicurano che i membri del team conoscano il proprio ruolo e le proprie responsabilità. Il test di diversi scenari di attacco assicura che le procedure siano abbastanza complete e flessibili per rispondere ad attacchi futuri. I team devono adottare il seguente modello: pianificazione, attuazione, controllo e intervento.

Pianificazione Stabilire obiettivi, policy e procedure per soddisfare i requisiti del business.

Attuazione Implementare queste policy e procedure.

Controllo Verificare la loro efficacia per soddisfare gli obiettivi nella pratica.

Intervento Intervenire per modificare i piani in base all'esperienza acquisita per metterli a punto e ottimizzarli.


Più FOCUS e minor RISCHIO.

Pia

nificazione Attuazione

Intervento Controllo


Conclusioni La conoscenza delle modalità di attacco, l'implementazione di procedure adeguate e lo sviluppo di una chiara strategia di risposta possono aiutare le organizzazioni a contrastare le nuove minacce e a recuperare più rapidamente dagli incidenti.

Riferimenti1 N. Falliere, L. O. Murchu, E. Chien, “W32. Stuxnet Dossier”, Symantec

Security Response Whitepaper, febbraio 2007 S. Davies, “Out of Control”, Engineering & Technology v.6 (6) p.60-62, luglio 2011

2 D. Walker “Saudi Oil Company Back Online After Cyber Sabotage Attempt”, SC Magazine, 27 agosto 2012

3 H. Tsukayama, “Cyber Attack on RSA Cost EMC $66 Million”, The Washington Post, 26 luglio 2011

4 “Top Four Mitigation Strategies to Protect Your ICT System”, Australian Government Department of Defence Intelligence and Security, p. 1, settembre 2011

5 “Executive Companion: 10 Steps to Cyber Security”, Dept. for Business Innovation & Skills, Centre for the Protection of National Infrastructure, Office of Cyber Security & Information Assurance, p. 1, settembre 2012



Ulteriori letture“Computer Security Incident Handling Guide. Recommendations of the National Institute of Standards and Technology”, NIST SP 800-61 rev. 2.

“Guide to Malware Incident Prevention and Handling. Recommendations of the National Institute of Standards and Technology”, NIST SP 800-83.

BS ISO/IEC 27002:2005 Information technology – Security techniques – Code of practice for information security management.

BS ISO/IEC 27035:2011 Information technology – Security techniques – Information security incident management.

PD ISO/IEC TR 18044:2004 Information technology – Security techniques – Information security incident management.

BS ISO/IEC 27031:2011 Information technology – Security techniques – Guidelines for information and communication technology readiness for business continuity.

“Best Practices for Troubleshooting Viruses on a Network”, Knowledge Base Symantec

B. Nahorney & E. Maengkom, “Containing an Outbreak. How to clean your network after an incident.”, White paper di Symantec Security Response.

Symantec Security Response, “Security Best Practices”

Training Symantec, “Security Awareness Program”

Solution Brief: Symantec Managed Security Services, “Symantec Security Monitoring Services: Security log management, monitoring, and analysis by certified experts”

Solution Brief: Symantec Managed Security Services, “Symantec Managed Protection Services: Optimize enterprise security protection while maintaining control”

Symantec Italia

Segreen Business Park

Via San Bovio 3 - Edificio E

San Felice di Segrate - 20090 (MI) - Italy

Tel: +39 02703321

Symantec è un leader globale nella fornitura di soluzioni per la sicurezza, lo storage e la gestione dei sistemi che aiutano i clienti a proteggere e gestire le informazioni e le identità.

Copyright © 2013 Symantec Corporation. Tutti i diritti riservati. Symantec, il logo Symantec e il logo Checkmark sono marchi o marchi registrati di Symantec Corporation o delle sue consociate negli Stati Uniti e in altri paesi. Altri nomi possono essere marchi dei rispettivi proprietari. 12/12

Per queste e altre risorse, visita: www.symantec.com/it/it/security_response

www.emea.symantec.com/cyber-resiliencePiù FOCUS e minor RISCHIO.

Preparazione ad attacchi futuri. Soluzione in breve: Come implementare la giusta strategia di...

Software

Transcript of Preparazione ad attacchi futuri. Soluzione in breve: Come implementare la giusta strategia di...