Il team
Una volta individuato l’incidente, è essenziale isolare immediatamente la fonte del problema per evitare ulteriori compromissioni dei dati e danni ai propri sistemi informatici.
Il team di risposta agli incidenti, composto da esperti di sicurezza informatica, membri del personale IT e rappresentanti delle funzioni coinvolte, viene riunito immediatamente per coordinare le azioni necessarie.
identificazione
L’Incident Response è un processo costituito da 6 fasi:
- Preparazione;
- Rilevamento e identificazione;
- Isolamento;
- Bonifica;
- Ripristino;
- Verifica post attacco.
La preparazione è l’attività che precede l’attacco informatico. Procedure operative e Incident Response Plan vengono definiti in questa fase. Inoltre, l’Incident Response Team ha il compito di monitorare il corretto funzionamento dei sistemi aziendali.
Rilevamento e identificazione, invece, sono le prime azioni che si mettono in atto in caso di minaccia informatica. Durante il rilevamento si riconosce la presenza di un incidente di sicurezza informatica mentre con l’identificazione si eseguono tutte le indagini forensi per determinare tipologia e portata dell’attacco. L’identificazione, inoltre, include l’accertamento del numero di sistemi e account infetti, oltre che la preparazione di un piano d’azione per rispondere all’incidente.
Gli standard di gestione degli incidenti informatici raccomandano, quindi, una volta stabilita la tipologia di attacco, d’isolare i sistemi infetti subito dopo il rilevamento.
Bonifica, invece, comprende le attività che devono essere eseguite in maniera tempestiva e massiva immediatamente dopo l’isolamento. La ragione è semplice. É indispensabile impedire all’hacker di reagire con una contromossa. Blocco di domini e IP corrotti, cambio di password e reinstallazione dei sistemi compromessi, ad esempio, sono alcune delle azioni necessarie in queste fasi.
Una volta rimossa la minaccia, infine, si può procedere al ripristino.
Le attività post attacco consistono in verifiche e monitoraggi dell’ambiente IT. Esse, infatti, hanno la funzione di accertare che il sistema e la rete siano stati bonificati completamente. In questa fase si utilizzano strumenti di monitoraggio. Inoltre, è importante svolgere attività di prevenzione e audit
INSERISCI LA TUA EMAIL E RICEVI GRATIS LA NOSTRA GUIDA!
Ottieni subito la Guida helpdesk in pdf per affrontare e gestire al meglio il data-breach
I tuoi dati saranno protetti e trattati in conformità al regolamento privacy, per inviarti i materiali richiesti e nuovi aggiornamenti sul sistema helpdesk.
Non cederemo a nessuno i tuoi dati e potrai cancellarti in qualsiasi momento lo riterrai opportuno.